Comment nettoyer un site WordPress piraté ?
Stupeur en savourant votre café ce matin, vous découvrez que votre site WordPress a été hacké. L’intrus a créé des comptes utilisateurs et a publié des milliers de page sur le casino et le poker. Moins visible, il a aussi laissé plusieurs backdoors pour accéder à votre site. Et en fouillant un peu, vous trouverez peut-être un fichier de vérification Google ou un robots.txt totalement modifié.
Les piratages WordPress peuvent prendre différentes formes, j’ai eu l’occasion d’en connaître plusieurs durant ma carrière. Dans la majorité des cas, j’ai pu sauver le site sans perdre de données. Bien sûr, je recommande de prendre des dispositions en amont. Par exemple, en cachant votre nom d’utilisateur, en ayant toujours des thèmes et des plugins à jour et modifiant la page wp-login.php. Selon la nature du projet, d’autres actions peuvent être mises en place. Notamment, une sauvegarde automatique de votre base de données et de votre site.
Bon à savoir : je propose des prestations de maintenance et dépannage WordPress pour vous assurer d’avoir toujours un site à jour, sécurisé et sauvegardé régulièrement.
Ci-dessus, l’exemple d’un site de moto, devenu un site promotionnel pour le casino. Et on peut voir ci-dessous que des pages casinos sont indexées sur Google :
Pour ce site précis, je n’ai pas constaté de mots-clés positionnés mais sur d’autres sites que j’ai nettoyé cela arrive fréquemment, surtout si on agit pas rapidement.
A noter qu’en apparence le site est normal, il est tout à fait possible de passer à côté de ce hack pendant un moment. Une fois connecté au site, les plus experts remarqueront la présence de plugins qui n’ont rien à faire là ou de comptes utilisateurs étranges.
Mon process pour nettoyer un site WordPress hacké
Voici la procédure que j’applique en cas de piratage pour nettoyer les fichiers et la base de données. Si vous avez un bon hébergeur, vous pourrez également faire tourner l’antivirus, mais ce n’est pas suffisant pour tout nettoyer.
Etape 1 : nettoyage de la base de données
Pour commencer, je me connecte à la base de données afin de supprimer les utilisateurs créés par le pirate dans la table users.
Ici il y a 4 utilisateurs en trop par rapport aux deux utilisateurs légitimes :
Il suffit de les sélectionner et de les supprimer.
Il est également possible de supprimer les utilisateurs directement depuis WordPress.
Etape 2 : supprimer les pages et articles sur le casino
Cette seconde étape peut-être un peu plus complexe.
Sur WordPress, il n’y a pas d’articles ou de pages supplémentaires :
Nombre d’articles :
Nombre de pages :
Où sont les articles ?
Voici ce que m’indique la base de données, table « posts » :
6698 ! ça fait beaucoup d’articles pour un petit site. En regardant plus en détail, je vois que tous ces contenus ont le même post_author, le 1603.
Je peux donc les supprimer rapidement avec une requête SQL que voici :
DELETE FROM wp_posts
WHERE post_author = 1603;
Remplacer « wp_ » par le préfixe de votre table.
Et voici le résultat :
Mais, nous n’avons pas terminé ! Maintenant, il va falloir nettoyer les fichiers contenant des backdoors.
Etape 3 : le Grand Mènage dans les fichiers
Désormais, nous allons nous rendre dans le Gestionnaire de fichiers si votre hébergeur le propose ou en utilisant une connexion FTP. Rendez-vous dans le répertoire où est installé WordPress et supprimer tous les fichiers louches.
J’ai entouré en rouge les fichiers qui ne devraient pas être là. Vous pouvez vous aider des dates aussi. Pour ce site, il n’est pas connecté à Google Search Console et le fichier de vérification n’a rien à faire là. Même chose pour le robots.txt que je n’avais pas créé pour ce site.
Pour votre site, vérifier avant de supprimer la légitimé de ces fichiers ou non.
Et avant de tout supprimer, pensez à copier ces fichiers quelque part au cas où. Les suppressions sont généralement irrerversibles, surtout par FTP.
Ensuite, rendez-vous dans wp-content. Vous trouverez peut-être des fichiers directement dans ce répertoire.
Ouvrez le dossier plugin, et supprimer les plugins qui ne devraient pas être là :
Une fois encore, les dates peuvent vous aider à vous répérer même si c’est moins évident avec les mises à jour automatique des plugins. En cas de doute, ouvrez le dossier pour vérifier. Ne vous fiez pas au nom, ils sont à chaque fois différents sauf pour wp-file-manager.
Maintenant rendez-vous dans le dossier themes, là aussi vous devriez trouver des faux thèmes contenant des backdoors :
Enfin, dans le dossier uploads, deux autres dossiers sont à supprimer
Nous venons de faire un gros nettoyage, mais il est possible que le hacker est planqué d’autres backdoors dans les fichiers du coeur de WordPress.
A cette étape, je télécharge un WordPress vierge que je décompresse. Je supprime wp-admin et wp-includes sur mon hébergement et j’importe les nouveaux dossiers depuis le WordPress vierge. Je fais de même pour les fichiers de base de WordPress dans le répertoire racine.
Pour aller plus loin, vous pouvez également supprimer tous les plugins et les réinstaller, de même pour les thèmes car des fichiers malveillants peuvent s’y trouver.
Etape 4 : changement de mot de passe
Par sécurité et pour prévenir de nouvelles attaques, nous allons modifier les mots de passes de la base de données et du compte administrateur.
Rendez-vous sur votre espace de gestion des bases de données et indiquer un nouveau mot de passe pour l’utilisateur de votre base de données. Puis mettez à jour wp-config.php avec ce nouveau mot de passe.
Pour le compte administrateur, connectez-vous à votre site et modifier le mot de passe. Répètez l’opération si vous avez plusieurs comptes administrateurs.
Etape 5 : Ajoutons un peu de sécurité
Si vous ne l’avez pas déjà fait, pensez à changer le slug pour l’administrateur de WordPress avec Edit Author Slug afin de ne pas révéler votre identifiant de connexion.
Installez WPS Hide Login pour changer l’url de connexion à WordPress. Par défaut, le lien de connexion de WordPress est wp-login.php. Avec ce plugin vous allez pouvoir définir une url que vous serez le seul à connaître.
Ne laissez pas login, même si ça limite l’action de certains script pirate automatique. Remplacez-le par quelque chose de plus personnel.
Etape 6 : Vérifier que nous avons éliminé les menaces
Pour le moment, nous avons fait une grande partie du travail manuellement. J’ai trouvé un plugin efficace qui scan les fichiers et la base de données. Il s’agit de GOTMLS ou « Sécurité Anti-Malware et Pare-feu anti attaque par force brute« , il est gratuit et fonctionne grâce à des dons. Vous devrez simplement vous enregistrer pour pouvoir télécharger les mises à jour des définitions et procéder à un scan efficace.
Une fois que vous avez obtenu votre clé et télécharger les dernières définition, lancer un scan complet. Il prend plusieurs minutes pour analyser la base de données et les fichiers du site. Surtout, il permet de s’assurer de ne pas être passé à côté de quelque chose.
Par exemple, j’ai oublié de supprimer le fichier « wp-config-sample.php » qui contient un script malveillant. Il a aussi détecté plusieurs fichiers suspects dans les fichiers de mon thème WordPress et trouver une injection dans la base de données.
Une fois le scan terminé, vous pourrez nettoyer les « Menaces connues » pour les placer en quarantaine.
Site WordPress Hacké : que faire ?
Vous venez de terminer le nettoyage de votre site WordPress piraté. Il est un peu plus sécurisé qu’auparavant mais il faut rester prudent. Je préconise de surveiller durant plusieurs jours que le hack ne revient pas. Si c’est le cas, c’est qu’une backdoor existe toujours et qu’il faudra investiguer à nouveau pour corriger les problèmes.
Une fois que vous êtes certain que le site est sûr, propre comme un sou neuf, faîte un backup. Et prévoyez la mise en place d’une routine de backup, quotidienne, hebdomadaire ou mensuelle. Cela vous permettra d’agir rapidement en cas de nouveaux hacks.
J’espère que ce petit tuto vous sera utile, comme moi, j’imagine que vous détestez vous faire hacker. Malheureusement, c’est quelque chose qui arrive fréquemment. Mon premier hack c’était en 2011 et je m’en souviens encore.
