Piraté : que faire lorsque votre site WordPress a été compromis

Cela commence par un sentiment nauséabond que quelque chose ne va pas avec votre site Web WordPress. Peut-être que votre plugin de sécurité vous a alerté sur un fichier modifié auquel vous savez que vous n'avez pas touché. Ou vous voyez du contenu inconnu dans votre liste de publications.

Quel que soit l'indicateur, il mène à une conclusion : votre site Web a été piraté. Que faire maintenant?

Bien qu'il soit parfaitement normal d'avoir peur et/ou d'être frustré, ce n'est pas le moment de paniquer. Au lieu de cela, il est temps de passer à l'action ! Un peu comme un super-héros, mais vos armes de choix sont un scanner de sécurité et un client FTP.

Pourtant, vous avez la possibilité de sauver la journée. Suivez simplement notre guide pour faire face à un site Web WordPress piraté.

Utilisez vos sauvegardes

Gérer un site Web - qu'il fonctionne sur WordPress ou non - signifie être prêt à agir à tout moment en cas de problème. Comment tu fais ça? En conservant des sauvegardes régulières de l'ensemble de votre site, y compris sa base de données et ses fichiers.

La restauration de versions propres de vos fichiers et de vos données remettra rapidement votre site Web en bon état. Si vous n'avez pas de sauvegarde vers laquelle vous tourner, la récupération après un piratage peut être d'autant plus difficile.

Sans sauvegarde, eh bien, il s'agit de passer votre installation au peigne fin. Vous devrez rechercher un code potentiellement malveillant, le supprimer et espérer que vous avez tout attrapé.

Il peut y avoir une grâce salvatrice : votre hébergeur peut très bien avoir une sauvegarde propre pour vous aider. Cependant, il est toujours préférable de prendre les choses en main. Compter sur les autres pour vous sortir d'une situation difficile n'est pas une stratégie durable.

Modifier les mots de passe et les clés de sel

Selon la vulnérabilité utilisée par un attaquant pour pirater votre site, il pourrait très bien avoir un accès administrateur. Par conséquent, il est préférable de modifier les mots de passe de chaque compte administrateur. Si vous avez des comptes inutilisés qui traînent, pensez à les supprimer.

En outre, le mot de passe de la base de données du site doit également être modifié. Cela pourrait aider à prévenir toute attaque par injection MySQL qui aurait pu se produire.

Enfin, un changement rapide de vos clés de sel WordPress est également recommandé. Cela expulsera tous les utilisateurs connectés susceptibles d'espionner.

Rechercher des indices de fichiers modifiés

Si votre site Web a été compromis, il ne suffit pas de simplement restaurer une sauvegarde. Il est également important d'essayer de comprendre exactement ce qui s'est passé. Les fichiers de sauvegarde peuvent être propres, mais ils peuvent toujours contenir des failles de sécurité qui conduiront à un autre piratage.

Par conséquent, c'est une bonne idée de télécharger une copie de votre site piraté avant de restaurer cette sauvegarde. Ou, si votre site est sauvegardé quotidiennement, vous pourrez peut-être simplement récupérer cette dernière copie si vous pensez qu'elle souffre également de la même affliction.

Vous pouvez également l'exécuter via un scanner de sécurité, tel que l'outil gratuit SiteCheck de Sucuri. Cela pourrait potentiellement vous conduire directement à un problème de sécurité spécifique qui a causé le piratage.

Une fois que vous avez une copie de votre site infecté, il est temps de fouiller et de chercher des indices. Voici quelques articles qui valent le détour :

Vérifier WordPress Core, Plugins et Thèmes

Une chose à garder à l'esprit est que du code malveillant peut être injecté dans n'importe quelle zone de votre site Web WordPress. Cela peut être un fichier core, un plugin ou un thème. Même les éléments inactifs auraient pu fournir une porte dérobée.

Il vaut également la peine de vérifier les autorisations de fichiers de votre serveur pour vous assurer qu'elles sont conformes aux recommandations de WordPress.

Regardez les dates modifiées

Un signe révélateur d'un fichier infecté est une date de modification suspecte. Par exemple, si vous n'avez pas changé le modèle d'un thème depuis des mois - et que la date de modification était la semaine dernière - cela pourrait être un signe de jeu déloyal.

Cela peut être un peu plus difficile à repérer dans les plugins, car ils ont tendance à être mis à jour plus fréquemment. Mais si quelque chose ne va pas, consultez le journal des modifications du plugin. Cela peut vous indiquer la date de la dernière mise à jour. Même si vous n'avez pas mis à jour le moment où la nouvelle version a été publiée, vous aurez au moins une plage de temps à rechercher.

Ouvrir les fichiers suspects (avec précaution)

Si vous avez trouvé des fichiers suspects, vous pouvez les ouvrir et inspecter leur code. Avant de faire cela, il peut être judicieux de les faire passer par un scanner de logiciels malveillants - juste pour être sûr.

Le code malveillant semble ressortir comme un pouce endolori, mais le test du globe oculaire seul peut ne pas suffire pour en être sûr. Dans ce cas, vous pouvez récupérer une autre copie du fichier - une qui est connue pour être propre - et comparer. Si vous repérez des différences, vous saurez que quelque chose se passe.

Rechercher sur le Web

Les forums de support WordPress.org peuvent être un excellent endroit pour recueillir des informations. Si vous soupçonnez un plugin spécifique ou même un noyau WordPress, il y a de fortes chances que d'autres utilisateurs aient vécu quelque chose de similaire. Vous constaterez peut-être simplement que vous n'êtes pas seul dans votre souffrance.

De plus, la base de données de vulnérabilités WPScan propose une longue liste d'informations de sécurité sur le noyau, les plug-ins et les thèmes. C'est un excellent endroit pour rechercher des problèmes connus.

Contactez votre hébergeur

Il n'y a aucune garantie que votre hébergeur aurait pu empêcher un piratage particulier. Mais même ainsi, cela vaut la peine de les contacter dans ces situations. C'est particulièrement le cas si vous n'êtes pas tout à fait sûr du coupable. Et, c'est tout simplement une bonne pratique si vous êtes sur un compte d'hébergement partagé, car cela peut affecter d'autres utilisateurs (ou d'autres sites que vous hébergez).

Si vous ne parvenez pas à identifier une vulnérabilité spécifique qui a conduit au piratage, votre hébergeur peut être une excellente ressource. Ils ont peut-être vu d'autres clients avec des problèmes similaires, ou cela peut déclencher un drapeau rouge qui conduit à la correction d'une faille de sécurité.

De plus, certains hébergeurs proposent également des analyses de sécurité et un nettoyage des logiciels malveillants. Bien qu'ils vous coûteront probablement un peu d'argent, cela pourrait vous aider à éliminer un problème récurrent. Assurez-vous simplement de vous renseigner sur les garanties et de savoir ce qui est couvert avant de faire l'investissement.

Prendre note des leçons apprises

En fin de compte, il y a de fortes chances que vous ayez appris une chose ou deux sur la sécurité de WordPress. C'est une bonne nouvelle, car vous pouvez appliquer ces nouvelles connaissances pour assurer la sécurité de votre site Web.

Par exemple, la récupération d'un site Web piraté peut entraîner l'utilisation de mots de passe plus forts ou la mise à jour plus fréquente des logiciels. Vous pouvez même mettre en œuvre des mesures telles que l'authentification à deux facteurs. Cela peut également vous informer des paramètres du serveur qui peuvent rendre plus difficile pour un acteur malveillant de faire des dégâts.

Le but est de renforcer la sécurité au point où vous pouvez au moins repousser les types d'attaques les plus courants. Au-delà de cela, il s'agit de rester vigilant et de ne jamais prendre la sécurité pour acquise.