Wiki pour l'équipe Futée

Un site qui est piraté peut avoir plusieurs manifestations : des articles de blogue crées, des textes injectés au milieu des pages, des redirections de la page d’accueil vers un autre site…
Souvent, le piratage est relié à une faille de sécurité d’un plugin ou un mot de passe faible d’un administrateur.

Lorsqu’on constate qu’un site est hacké, il faut faire un état des lieux, en regardant :
– S’il y a des thèmes qui semblent suspects ;
– S’il y a des plugins qui semblent suspects avec des noms bizarres (attention, parfois on ne les voit pas dans l’admin alors qu’ils sont bien dans le cPanel) ;
– S’il y a des comptes administrateurs qui paraissent suspects ;
– Si dans les articles WordPress il y a des articles crées qui n’ont pas rapport avec l’objet du site ;
– S’il y a des choses anormales écrites dans le fichier wp-config, ex : au début du fichier avant le premier commentaire.

Si on a accès au cPanel et à un backup, il peut être possible de trouver la date approximative du piratage en fonction de la date d’installation des thèmes et ou plugins suspects / de création des articles pas rapport.

Dans ce cas, la solution la plus simple, s’il n’y a eu aucune modification sur le site par nous ou par le client, c’est la restauration d’un backup à la date estimée puis le changement de tous les mots de passe des comptes administrateurs. Dans l’idéal, il faudrait aussi faire toutes les mises à jour du site mais c’est à valider avec un responsable en fonction de ce qui est prévu dans le contrat du client.

Si on n’arrive pas à évaluer la date ou s’il y a eu des modifications entre-temps ou des commandes traitées sur le site pour les boutiques en ligne, il va falloir nettoyer méthodiquement le site.

  1. Supprimer les thèmes autre que le thème parent et enfant utilisés ;
  2. Supprimer les plugins bizarres et ceux qui ne sont pas utilisés ;
  3. Supprimer les comptes administrateurs suspects et changer les mots de passe des autres en mettant un mot de passe d’un niveau de sécurité suffisant (15 caractères au moins) ;
  4. Vérifier si on bloque bien les connexions à l’admin en dehors du Canada, si ce n’est pas le cas, ajouter le code dans le .htaccess qui se trouve dans le manuel de procédure (p.12-13) ;
  5. Nettoyer tous les articles de blogue qui n’ont pas rapport ;
  6. Nettoyer le fichier wp-config.
  7. Mettre à jour le site (thème et plugins), si c’est prévu dans le contrat ou validé avec le client (voir un responsable pour confirmer).
  8. Faire un tour sur les pages du site pour voir rapidement si on ne voit pas de termes bizarre (ex : ‘viagra’ en plein milieu d’un paragraphe…). Il s’agit d’un tour rapide, ne pas lire toutes les pages