Votre site WordPress a été piraté et redirigé, comment le nettoyer ?

Club/Redirect: Votre site WordPress a été piraté et redirigé, comment le détecter et le nettoyer ? Alors, est-ce que ça vous énerve quand vous voyez votre site web redirigé vers des sites de phishing, pornographique, de malware ou inexistants?Environ 30 000 sites Web sont piratés chaque jour. Il est donc très important de savoir quoi faire quand ce jour vient! Car cela affectera votre référencement et votre crédibilité.

Si votre site Web est piraté, il est plus probable que des hackers insèrent un code malveillant redirigeant votre site vers des sites Web de phishing ou de logiciels malveillants afin de capturer du trafic. Cela ne fait qu’ajouter une insulte à la blessure et peut réellement nuire à la réputation de votre site Web.

Si votre site redirige les visiteurs vers du phishing ou un site malveillant, vous serez peut-être mis sur la liste noire par Google! Google ne va pas prendre de risque avec sa réputation, si votre page Web sent la moindre arnaque, il sera mis sur liste noire.

Lire aussi: Comment vérifier la sécurité de votre thème et de vos plugins WordPress

Qu’est-ce qu’une redirection malveillante

Un pirate informatique peut utiliser un script créé pour rediriger systématiquement votre site Web vers un site Web frauduleux ou un site Web pour adultes (call me Porn) afin de nuire à la réputation de votre propre site Web. Le plus souvent, ils utiliseront les astuces suivantes pour modifier le comportement d’un site Web!

• Télécharger ou créer un fichier sur votre site WordPress avec le script malveillant codé.
• S’ajouter en tant qu’administrateur Ghost sur votre site Web.
• Exécuter le code PHP qu’ils envoient via un navigateur.
• Recueillir des informations personnelles telles que les Emails, à des fins de spam.
• Changer tout ce qu’ils veulent sur votre site Web.
• Si un fichier est ajouté, il est souvent nommé pour ressembler à un fichier légitime comme s’il s’agissait d’une partie des fichiers principaux de WordPress. Le fichier peut s’appeler sunrise.php, wp-users.php, wp-system ou wp-configuration.php ou quelque chose de similaire.

En général, les pirates informatiques ajoutent les scripts malveillants aux dossiers .htaccess, wp-includes, wp-content / themes, wp-content / plugins ou wp-content / uploads, ou peuvent également modifier votre fichier wp-config.php. Parfois même, le code est dissimulé dans un fichier qui semble être une icone.

Redirections malveillantes dans l’en-tête

Du code malveillant codé est ajouté au fichier Top of Header de votre thème WordPress actif: header.php

Redirections malveillantes dans le pied de page

Un script malveillant est ajouté dans le pied de page du thème WordPress actif.

À quoi ressemble la liste noire de Google?

Tous les sites Web figurant sur la liste noire ne présenteront pas forcément ces signes. Cependant, la plupart d’entre eux peuvent vous aider à déterminer si votre site est en difficulté:

• Il y a un trafic énorme / soudain sur votre site Web pour des mots clés spécifiques qui n’ont rien à voir avec le contenu de votre site Web, en particulier en ce qui concerne les produits pharmaceutiques.
• Votre site est soudainement redirigé vers des sites Web anonymes que vous ne connaissez pas.
• Les administrateurs Ghost apparaissent dans le tableau de bord de votre site Web et n’ont pas été créés par vous ou par d’autres utilisateurs administrateurs légitimes.
• De manière inattendue, votre site Web a été identifié comme contenant des programmes malveillants dans les résultats de moteur de recherche ou par le logiciel de détection antivirus pour ordinateurs de bureau ou cellulaires.
• Votre fournisseur d’hébergement a soit suspendu ou déplacé votre site Web en mode indésirable ou en quarantaine.
• Il est important de garder à l’esprit que Google peut également émettre divers avertissements relatifs à la sécurité. Ces avertissements peuvent apparaître dans la page de résultats du moteur de recherche où votre site Web est indexé. Les avertissements les plus courants que vous verrez sont comme suit:

• 

• 

Guide pas à pas pour la suppression des scripts et des redirections malveillants

1- Scan de vote site WordPress

Si vous pensez que votre site Web a été piraté avec un script malveillant, il existe différentes méthodes de vérification. Toutefois, avant de les exécuter, vous devez générer une sauvegarde complète de votre site Web. Bien que votre site puisse être piraté, il y a encore une possibilité que la situation empire avant de s’améliorer.

Avoir une sauvegarde est peut-être la meilleure chose. Si vous commettez accidentellement une erreur lors du nettoyage de votre site, votre sauvegarde est considérée comme votre coffre-fort.
Vous pouvez restaurer votre site Web au point où vous avez commencé à y travailler et continuer à enquêter à partir de là, comme si de rien n’était. Une fois que vous avez sauvegardé votre site Web complètement, vous êtes prêt à commencer.

Conseil supplémentaire: Voici quelques sites Web proposant des analyses gratuites des fichiers malveillants.

• Unmask Parasites: Vous aide à savoir si votre site Web a été piraté. C’est une excellente première étape pour déterminer s’il existe ou non un problème.
• Norton Safe Web: Vous pouvez savoir rapidement s’il existe des menaces à votre site Web.
• Quttera: Analyse en profondeur votre site pour détecter les programmes malveillants.
• VirusTotal: L’un des meilleurs sites Web d’analyse en ligne disponibles pour analyser votre site Web ou votre adresse IP pour les virus courants, les scripts malveillants, les portes cachées, etc. Il utilise plus de 50 antivirus en ligne pour obtenir des résultats plus précis.
• Web Inspector: Ce site Web analyse les backdoors, les scripts injectés, les codes de redirections malveillantes avec un rapport assez détaillé.
• Scan My Server: Analyse les logiciels malveillants, les injections SQL, XSS et plus avec un rapport détaillé. Le rapport détaillé vous est envoyé par courrier électronique et prend environ 24 heures.

2- Localisez le code suspect

Il existe différents endroits où vous pouvez rechercher le logiciel malveillant sur votre site Web. Ce n’est pas toujours un moyen facile de scanner le code de chaque page de votre site Web, morceau par morceau. Parfois, le coupable est enfermé quelque part sur votre serveur. Pourtant, il existe certains endroits que les assaillants visent principalement. Vous aurez besoin des informations de connexion ftp / ftps pour accéder à ces emplacements et lancer le processus de nettoyage des programmes malveillants.

Si votre site Web est soudainement redirigé vers un ou plusieurs sites Web anonymes, vous devez consulter les sections suivantes du code suspect:

• Fichiers WordPress de base
• Fichier d’index de votre site Web (vérifiez à la fois index.php et index.html!)
• fichier .htaccess

Si votre site Web déclenche un téléchargement pour les visiteurs, vous devriez jeter un coup d’œil aux endroits suivants:

• Header.php: fichier d’en-tête du thème actuel
• Footer.php: fichier de pied de page du thème actuel
• Fichier d’index de votre site Web (vérifiez à la fois index.php et index.html!)
• Les fichiers de votre thème

3- Creusez plus loin: supposez que vous êtes un bot

Parfois, l’exécution de tests pour analyser si votre site Web infecté par un logiciel malveillant pourrait mettre votre propre ordinateur en danger. Donc, pour éviter cela, vous pouvez utiliser cURL CLI (interface de ligne de commande) pour prétendre que vous êtes un bot Google ou un agent utilisateur.

Vous pouvez entrer la commande suivante pour émuler un bot via un client ssh:

$ curl –location -D – -A "Googlebot" somesite.com

Une fois que vous entrez ceci, vous devriez chercher quelque chose qui n’a pas de sens dans le code. Donc, des bits qui sont dans une langue différente de la vôtre ou un contenu qui ressemble au charabia en général. Oui, vous devrez au moins reconnaître le langage HTML. Quelque chose dans une balise iFrame ou script doit également attirer votre attention.

Vous pouvez également utiliser ce petit code pour émuler un agent utilisateur (à nouveau via un client ssh):

$ curl -A "Mozilla/5.0 (compatible; MSIE 7.01; Windows NT 5.0)" http://www.somesite.com

Vous pouvez éditer ou remplacer la balise « browser » qui est référencée ici en fonction de vos besoins.

Grep et Find sont quelques commandes que vous voudrez peut-être utiliser, qui fonctionnent via un client ssh. Ces commandes vous aideront à découvrir où le piratage a eu lieu sur votre site Web. Vous pouvez donc supprimer manuellement le code malveillant qui vous a placés sur la liste noire de Google.

Voici une liste de ressources utiles pour accélérer le processus de nettoyage de votre site sur le terminal.

• Ligne de commande
• SSH
• Quel est mon agent utilisateur?

4- Supprimer le code malveillant

Si des malwares sont injectés sur votre site Web, vous devez supprimer les scripts malveillants à l’origine des redirections vers les sites Web abusifs. Si les attaquants ont créé de nouvelles pages avec du code malveillant, vous pouvez les supprimer des résultats du moteur de recherche en accédant à la console du moteur de recherche de Google et en utilisant la fonctionnalité Supprimer les URL.
Ensuite, vous devez mettre à jour le thème, les plugins et installer toutes les nouvelles mises à jour principales disponibles. Assurez-vous que tout est aussi à jour que possible. Cela réduira les vulnérabilités de votre site Web.

Enfin, modifiez tous les mots de passe sur votre site Web. Et je veux dire tous! Non seulement le mot de passe de l’administrateur WordPress, vous devez également réinitialiser les mots de passe de votre compte FTP, régénérer les clés de salve WordPress, la ou les bases de données, l’hébergement et tout autre élément lié à votre site Web pour assurer la sécurité.

5- Soumettez à nouveau votre site

Si votre site Web a été mis sur la liste noire à cause de redirections malveillantes et qu’il a été supprimé des résultats de recherche de Google, vous devez soumettre votre site à l’examen. Sinon, Google ne saura pas que vous avez pris des mesures utiles pour remédier à ce problème.

Si votre site Web était impliqué dans du phishing, vous devrez soumettre une demande de réexamen via Google Webmaster Tools (cette application s’appelle désormais Google Search Console).

6- Des plugins pour aider à tester et à nettoyer votre site

Voici quelques plugins WordPress pouvant détecter les fichiers infectés:

• Theme Check
• iThemes Security
• Acunetix WP Security
• Vaultpress
• WordFence

Comment finalement garder votre site sécurisé

Afin de garder votre site sécurisé, vous devez vous assurer de suivre les instructions ci-dessous:

• Avoir vos fichiers de base de site WordPress mis à jour.
• Avoir vos thèmes et plugins mis à jour.
• Utilisez un service d’hébergement sécurisé dans WordPress, si possible, choisissez-en un qui puisse gérer votre site WordPress au lieu de l’héberger.
• Si vous choisissez d’utiliser un compte d’hébergement revendeur sous un autre fournisseur d’hébergement convivial pour WordPress, évitez d’ajouter des sites en tant que modules complémentaires sous votre compte principal. Vous pouvez configurer ces sites dans un compte de site distinct.
• Supprimez tous les thèmes ou plugins inactifs que vous ne prévoyez pas d’utiliser sur votre site.
• Passez en revue vos plugins et thèmes WordPress et assurez-vous qu’ils ont tous été mis à jour récemment par ses développeurs. Dans le cas contraire, vous devriez rechercher des alternatives et les supprimer de votre site WordPress.
• N’installez jamais de thèmes ou plugins crackés.
• Conservez un ou deux comptes d’administrateur, rétrogradez le reste de vos utilisateurs d’administrateur en auteur ou en éditeur.
• Supprimez toutes les configurations dev / demo de votre installation WordPress en dehors de votre répertoire public.