Quels sont les signes indiquant que votre site a été piraté ?
a) Site mis sur liste noire par Google (ou d’autres moteurs de recherche)
Si Google détecte que votre site web contient des logiciels malveillants, il le signalera par une page rouge « Site trompeur à venir » ou « Le site que vous allez visiter contient des logiciels malveillants » lorsque vous essaierez de le visiter.
b) Message dans les résultats de recherche Google (site piraté)
Si Google détecte que votre site a été piraté, il peut l’indiquer dans les résultats de recherche avec un message « Il est possible que ce site ait été piraté ».
c) Console de recherche Google
Si vous avez entré votre site dans la console de recherche Google, dans la section « Trafic de recherche » > « Analyse de recherche », vous trouverez dans la liste des requêtes de recherche des utilisateurs, des termes qui n’ont pas grand chose à voir avec les thèmes de votre site. Par exemple, des termes qui sont clairement du spam, tels que cialis, viagra, sexe, casino en ligne, et bien d’autres.d) Nouveaux utilisateurs dans le tableau de bord de WordPress
Un signe clair de piratage consiste à trouver de nouveaux utilisateurs ayant des droits d’administrateur dans le tableau de bord de WordPress.e) Page contenant les mots « hacked » (piraté) lorsque vous vous connectez à votre site
La défiguration consiste à changer la page principale du site piraté en une page qui contient généralement une image menaçante ainsi que le nom de la personne malveillante qui a piraté le site.
Procédure étape par étape
1) Documenter les faits en détail
Dans cette première étape, essayez de rassembler autant d’informations que possible sur l’incident : a) Date et heure auxquelles vous avez eu connaissance du fait. b) Quel est l’élément qui vous a fait découvrir la compromission de votre site (par exemple si la page principale de votre site a été remplacée par une autre, dans ce cas faites une capture d’écran de la page et enregistrez-la dans un dossier avec toute la documentation recueillie) c) La date et l’heure auxquelles vous avez contacté votre hébergeur et toutes les informations que vous pourrez recueillir (appels téléphoniques, courriels, etc.)2) Faites un balayage du site piraté
La deuxième étape consiste à scanner l’ensemble du site à la recherche de virus ou de logiciels malveillants qui pourraient avoir été installés par le pirate pour exploiter le serveur compromis. Le balayage peut être effectué : a) S’il est possible de se connecter au tableau de bord, utiliser une extension de sécurité (Sucuri, ou autres) b) S’il n’est pas possible de se connecter au tableau de bord ou si vous souhaitez effectuer une deuxième analyse, utilisez un scanner en ligne (Sucuri Site Check ou Quttera)3) Scannez votre ordinateur
Il arrive souvent que le pirate informatique parvienne à voler les identifiants d’accès au tableau de bord de WordPress grâce à un virus installé sur votre ordinateur. Il est donc très important de s’assurer que votre ordinateur ne soit pas infecté par des virus, des chevaux de Troie ou des backdoors. Utilisez un logiciel antivirus professionnel tel que Bitdefender.4) Informez votre fournisseur d’hébergement
L’hébergeur peut aider dans de tels cas, et il arrive souvent qu’il soit le premier à informer le propriétaire du site du piratage. En général, l’hébergeur dispose d’une équipe de techniciens formés à ce type d’événement, qui peuvent vous aider à résoudre le problème le plus rapidement possible.5) Mettre votre site en maintenance
A ce stade, il faut mettre le site en état de maintenance, afin d’éviter que des virus ou des logiciels malveillants n’infectent les ordinateurs des visiteurs du site. Le moyen le plus simple et le plus rapide est de saisir le code suivant dans le fichier functions.php du thème enfant : Si tout fonctionne comme prévu, votre site web devrait afficher un message de ce type :
Lorsque vous avez fini de nettoyer votre site, il vous suffit de supprimer le code que vous avez ajouté dans le fichier functions.php.
6) Faites une copie de sauvegarde de votre site (fichier + base de données)
Il est conseillé de faire une sauvegarde même si le site est toujours infecté, car c’est la preuve du piratage, et cela vous aidera dans l’étape suivante où vous devrez comparer les fichiers du site infecté avec les fichiers WordPress originaux que vous téléchargerez. À l’aide de cPanel, sélectionnez tous les fichiers de votre site et compressez-les dans un fichier .ZIP que vous téléchargerez sur votre ordinateur. Pour sauvegarder la base de données, utilisez phpMyAdmin pour créer un dump de la base de données.7) Supprimer tout utilisateur administrateur ajouté par le pirate
Il est important de bloquer l’accès au tableau de bord de WordPress à l’intrus. Vérifiez soigneusement si un utilisateur administrateur a été ajouté, auquel cas il doit être immédiatement supprimé. Si vous n’avez pas accès au tableau de bord de WordPress, vous pouvez le faire en utilisant phpMyAdmin.8) Modifier les mots de passe de tous les utilisateurs / services du site piraté
a) Mot de passe de l’administrateur C’est le premier mot de passe que vous devrez changer. Avant de le modifier, vous devez d’abord changer les « clés de sécurité » de votre site. Les clés de sécurité sont de longues chaînes de caractères aléatoires dans le fichier de configuration de WordPress, wp-config.php, qui sont utilisées pour crypter les mots de passe et les cookies sur votre site WordPress.
La façon la plus simple de modifier les clés de sécurité est de se connecter au panneau d’administration cPanel, ouvrir le fichier de configuration wp-config.php et de remplacer tout le bloc dea clés de sécurité par des chaînes de caractères uniques créées à l’aide de l’outil fourni par WordPress.org (Salt Key Generator https://api.wordpress.org/secret-key/1.1/salt/)
Note : à chaque rafraîchissement de la page du site, un nouvel ensemble de chaînes de caractères uniques est affiché
Une fois que vous avez changé les clés de sécurité, connectez-vous au tableau de bord et modifiez le mot de passe de l’administrateur.
Définissez un mot de passe sécurisé d’au moins 12 caractères, comprenant des lettres majuscules et minuscules, des chiffres et des symboles tels que £$%@*§# (pour le définir automatiquement, vous pouvez utiliser un générateur de mots de passe tel que Password Generator Plus https://passwordsgenerator.net/plus/).
S’il n’est pas possible de se connecter au tableau de bord, connectez-vous à votre serveur d’hébergement via cPanel, ouvrez phpMyAdmin, et dans le tableau wp_users, vérifiez que l’adresse e-mail de l’utilisateur administrateur, corresponde à l’adresse que vous avez définie lors de l’installation de WordPress. Si l’adresse électronique de l’administrateur a été modifiée par le pirate, réinitialisez-la à l’adresse initiale.
Rendez-vous sur la page de connexion (wp-login.php) et cliquez sur le lien « Mot de passe oublié » pour réinitialiser votre mot de passe.
b) Autres mots de passe
Une fois que le mot de passe de l’administrateur a été modifié, changez le mot de passe des autres utilisateurs, le mot de passe de la base de données du site, le mot de passe de cPanel et enfin les mots de passe FTP ou SSH.
9) Suppression logiciel malveillant
C’est l’étape la plus délicate et la plus complexe de toute la procédure. Si vous avez accès au tableau de bord de WordPress, vous pouvez installer une extension antivirus (Sucuri, ou autres) et scanner l’ensemble du site à la recherche de logiciels malveillants. Une fois le virus détecté, vous pouvez le supprimer en cliquant sur le bouton « Malware ». Si vous n’avez pas accès au tableau de bord, vous devez contacter un expert en sécurité de WordPress qui peut vous aider à supprimer les logiciels malveillants et à nettoyer le site !Vous avez besoin d’aide pour nettoyer votre site WordPress ? Nettoyer mon site
10) Sécuriser votre site
Une fois que le site a été nettoyé et vérifié par un nouveau scan à l’aide des services fournis par Sucuri Site Check ou Quttera, il est conseillé de procéder à une sécurisation de votre site WordPress.Vous avez besoin d’aide pour sécuriser votre site WordPress ? Sécuriser mon site
