Comment réparer parfaitement un site WordPress piraté ?
De nos jours, les sites Web WordPress manquent notoirement en matière de confidentialité et de sécurité, et ils sont souvent la cible d’un piratage WordPress. Que ce soit à cause des mesures de sécurité insuffisantes du développeur ou de l’utilisation de l’un des nombreux plugins disponibles (dont la sécurité ne peut être garantie).
Avec WordPress fonctionnant sur un à cinq sites Web sur Internet, il n’est pas surprenant qu’ils soient une cible à la fois pour les script-kiddies et les hackers expérimentés. En 2013, environ 90 000 sites Web WordPress ont été piratés pour être utilisés dans un botnet. Ils sont une cible populaire pour les chevaux de Troie et les logiciels malveillants.
C’est pourquoi nous avons pris notre temps pour détailler certains scénarios qui pourraient être utilisés pour résoudre les failles de sécurité habituelles ou les malversations présentes dans des millions de sites Web WordPress et pourraient aider à prévenir un piratage de site Web WordPress.
Empêcher les piratages WordPress
Pourquoi la prévention des piratages WordPress est-elle beaucoup plus simple que la récupération des dommages ?
La plus petite prévention vaut une tonne de guérison. Ce n’est pas plus vrai en ce qui concerne les hacks de sites Web WordPress. Les sites Web WordPress ne sont pas compromis par des pirates sophistiqués et experts, mais par des robots uniquement écrits pour exploiter les vulnérabilités connues et expérimentales. Ces vulnérabilités sont des plugins obsolètes, des mots de passe faibles, des thèmes obsolètes et un hébergement Web de mauvaise qualité.
Lorsqu’un site Web est piraté, les ressources suivantes peuvent être affectées :
- Les fichiers sur le serveur, tels que vos fichiers de thème, pourraient être modifiés.
- Les fichiers peuvent être téléchargés sur le serveur, qui peut contenir des portes dérobées PHP ou du code malveillant.
- Le code pourrait être injecté dans votre base de données WordPress.
- Des pages et des messages énormes pourraient être publiés contenant du code de spam et du contenu malveillant.
- Votre site Web pourrait être redirigé vers les sites malveillants.
- Les utilisateurs avec des privilèges administratifs pourraient être insérés dans votre base de données.
Le piratage de votre site Web pourrait être un énorme gâchis à réparer. Cela pourrait réellement prendre des heures et des jours pour récupérer, et votre référencement pourrait subir un coup dur si Google choisit de mettre votre site Web sur liste noire.
Heureusement, la prévention des piratages est assez facile, même si cela nécessite de la diligence.
10 conseils pour prévenir les piratages WordPress
1 – Gardez les plugins, les thèmes et le noyau WordPress à jour
Il ne suffit pas de se connecter une fois par mois ou moins pour mettre à jour. Les exploits se produiraient en quelques jours ou heures sur un grand nombre de sites Web dès leur publication. Notre site Web oublié que nous n’avons pas mis à jour a été exploité quelques heures après l’annonce de la vulnérabilité Gravity Forms . Vous devez mettre à jour dès que possible lorsqu’il y a une mise à jour.
Pour les plugins qui n’ont pas de fonctionnalité frontale, vous pouvez utiliser le plugin Shield WordPress Security pour effectuer des mises à jour automatiques pour vous. Si vous avez plusieurs sites Web, consultez cet article sur les plugins de gestion sur site.
2 – Des mots de passe forts
Vous devez obtenir un plugin de suivi des mots de passe ou un outil comme 1Password pour suivre tous vos mots de passe. Vous ne pouvez plus utiliser le même mot de passe sur tous les comptes Internet et vous en tirer. Vous ne pouvez pas utiliser le nom ou le nom de marque de votre chien, ou une boisson gazeuse spéciale. Vous avez besoin de mots de passe longs, compliqués et non mémorisables.
Deux clients nous ont appelés il y a quelques jours parce que leur Instagram, Gmail ou AppleID a été piraté en raison de l’utilisation d’un mot de passe faible sur chaque compte et appareil. Il est assez facile d’utiliser un programme de piratage de mot de passe pour découvrir ce qu’est un mot de passe. Nos clients utilisaient des mots de passe dans les deux cas, qui pouvaient être devinés par un outil de détection de mot de passe en moins d’une seconde !
Vous devriez tester la force de vos mots de passe existants. Et puis, réfléchissez sérieusement à l’utilisation de 1Password et créez des mots de passe complexes, longs et obscurs, et vous devez les changer fréquemment. Avec l’aide de 1Password, vous devez vous souvenir d’un mot de passe complexe.
3 – Gardez votre serveur propre
Supprimez les versions inutilisées de WordPress sur le serveur. Il est facile d’oublier que ces versions existent. Les plugins, fichiers, thèmes, etc. WordPress inutilisés, même s’ils ne sont pas utilisés, pas actifs, même pas associés à votre installation, pourraient être exploités facilement. Supprimer supprimer supprimer. Exécutez le navire étanche.
4 – Protégez votre ordinateur et votre réseau domestique
Exécutez des analyses antivirus à chaque fois, surtout si vous utilisez Windows. Faites attention aux sites Web que vous visitez. Vous pourriez par inadvertance fournir votre connexion WordPress uniquement par un cheval de Troie de suivi de frappe qui volerait vos mots de passe lorsque vous les tapez sur le clavier.
Protéger l’ordinateur consiste souvent à ne pas visiter les sites qui distribuent des logiciels malveillants. Cependant, même les sites Web connus, tels que le blog de cuisine d’un ami, peuvent être piratés. Il est donc préférable que vous disposiez d’une certaine protection où que vous surfiez sur le Web.
Pour les fenêtres:
- Avast ! Et Avira est à la fois les meilleures applications antivirus.
- Assurez-vous que le pare-feu Windows est actif.
Pour Mac OS :
- Un logiciel d’analyse n’est pas nécessaire, mais Avira est la meilleure option car il reconnaît les modèles de logiciels malveillants avec les signatures de chevaux de Troie et de logiciels malveillants.
- Activez le pare-feu dans Sécurité et confidentialité (Paramètres système). Dans le pare-feu, cochez la case pour autoriser le mode furtif. Cela permettra à votre ordinateur de ne pas être visible sur les réseaux individuels.
5 – Vérifiez vos thèmes et plugins pour le support continu
N’utilisez pas de thèmes et de plugins qui ne sont plus disponibles ou maintenus par les développeurs. Si un plugin ou un thème n’a pas été mis à jour depuis un an ou plus, vous devez le remplacer. Cela pourrait être un énorme problème avec les thèmes. Des tonnes de développeurs volent la nuit et ne restent pas plus de quelques mois pour prendre en charge leurs plugins et thèmes.
Lorsque vous achetez un plugin ou un thème, recherchez un plugin ou un thème avec des demandes de support actuelles auxquelles on a répondu et résolu à temps, des mises à jour récentes et fréquentes et de bonnes notes.
Tous les plugins et thèmes les plus vendus ne sont pas les thèmes ou plugins idéaux, mais ils sont plus susceptibles d’avoir des mises à jour et un support continu. Lisez les commentaires pour la haute qualité de la réponse et du ton. Recherchez l’enthousiasme, la serviabilité, la minutie, une bonne articulation, une réponse rapide et une attitude positive.
Les thèmes premium sont souvent fournis avec des plugins tiers. Le développeur de thème peut ou non proposer des mises à jour opportunes pour ces plugins préinstallés groupés. Par exemple, le Revolution Slider, un slider le mieux animé, qui est fourni avec des centaines de thèmes sur The ThemeForest.
Un mot sur Revolution Slider
En plus de cela, The Revolution Slider avait une vulnérabilité de sécurité importante en 2014. Mais, les développeurs de thèmes qui l’ont emballé avec leurs thèmes n’ont pas nécessairement mis à jour le plugin lorsqu’ils ont mis à jour leurs thèmes.
En conséquence, des tonnes de thèmes sur The ThemeForest ont distribué un plugin massivement non sécurisé pendant des mois, même après la découverte de la vulnérabilité. De plus, cette vulnérabilité entraîne le piratage de centaines de milliers de sites et dirige le trafic vers des sites Web malveillants.
Le principal résultat de tout cela est simplement si vous achetez un thème premium fourni avec les plugins premium, tels que Layer Slider, Revolution Slider, Visual Composer ou autres. Vous devez acheter ces plugins SÉPARÉMENT, afin que vous puissiez être informé des mises à jour des plugins de manière significative et ne dépendez pas d’un développeur de thème ou de plugin pour vous protéger.
6 – Exécutez un plugin de sécurité WordPress
Nous avons fortement suggéré le plugin MalCare par les créateurs de BlogVault. Ils ont à la fois une version payante et gratuite. Nous aimons le plus leur plugin car il n’y a pas d’options personnalisées, ce qui pourrait être très déroutant avec d’autres plugins de sécurité.
Toutes les analyses de logiciels malveillants ont lieu sur les serveurs cloud, il n’y a donc aucun effet sur les performances de votre site Web. Il exécute un pare-feu robuste et une protection contre la force brute.
La version premium du MalCare n’est pas chère, seulement 99 $ / an, ce qui est une bonne affaire par rapport à d’autres services identiques. Il devrait être préférable que vous l’essayiez pour connaître tout le potentiel de ce puissant plugin et faites-nous savoir comment cela fonctionne pour votre site Web dans les commentaires ci-dessous.
Nous aimons aussi Shield WordPress Security par iControlWP. Nous avons utilisé Wordfence dans le passé, et il a continuellement fait des erreurs dans les journaux d’erreurs sur plusieurs sites Web.
D’autres plugins célèbres pourraient facilement casser votre site Web ou vous concentrer sur les mesures de « sécurité », qui ne font rien pour la sécurité lorsque vous manquez des choses essentielles comme la protection de connexion.
7 – Installez un certificat SSL sur votre site
Le certificat SSL cryptera vos données et celles des utilisateurs sur votre site Web transférées par le site Web, telles que la soumission de formulaires de contact ou l’utilisation de la connexion dans les pages Web. Sinon, vos données sont transférées comme une carte postale sous forme de courrier, ce qui signifie que tous ceux qui regardent peuvent les lire comme du texte brut.
L’intégration de SSL sur votre site Web vous permet de vous connecter en toute sécurité (par HTTPS) lors de vos déplacements. De nombreux hébergeurs fournissent gratuitement ce service utile, et vous pouvez utiliser ce plugin SSL simple pour forcer l’ensemble de votre contenu à utiliser HTTPS.
8 – Ne vous connectez pas sur les réseaux WiFi publics
Supposons que vous êtes connecté à votre site Web sur un réseau Wi-Fi public ou un réseau distribué public. Dans ce cas, vous fournissez essentiellement vos identifiants de connexion à tous les autres utilisateurs du même réseau susceptibles d’exécuter un script de reniflage de paquets.
Si vous n’avez pas intégré de certificat SSL sur votre site Web (qui crypte votre mot de passe et votre nom d’utilisateur sur le réseau), utilisez un service de réseau privé virtuel (VPN) afin de crypter votre trafic sur le même réseau. Utilisez-le même si vous avez un certificat SSL sur le site Web, car il est bon de rester dans un VPN sur n’importe quel réseau public.
9 – Sauvegardez votre site Web
Bien que les sauvegardes ne soient pas toujours très utiles pour récupérer d’un piratage de site Web, elles sont toujours essentielles pour la récupération complète, en particulier en ce qui concerne les dommages causés à votre base de données, où tout le contenu de votre site Web est stocké.
10 – Envisagez un meilleur hébergement web
Des sociétés d’hébergement comme SiteGround, Kinsta, WP Engine et Flywheel vous soutiennent en matière de confidentialité et de sécurité. Ils effectuent régulièrement des analyses de sécurité et nettoient gratuitement votre site Web piraté, bien que nous sachions que de nombreuses personnes ont également été piratées sur ces services, et cela peut prendre plusieurs jours pour ne pas être piraté ou pas du tout.
Nous suggérons toujours d’exécuter le plug-in MalCare, car les hôtes ne sont pas des experts en logiciels malveillants. Nous avons récemment hébergé la plupart de nos sites avec le SiteDistrict. Leurs performances et leur sécurité sont assez excellentes en termes de vitesse de site Web (juste là-haut avec Kinsta), et leur support client est proactif et pratique.
Étapes pour réparer votre site Web WordPress piraté
Étape 1 – Analysez le problème
Étape 2 – Sauvegardez l’intégralité de votre site Web
Étape 3 – Installer le plugin de sécurité et de débogage
Étape 4 – Corrigez les erreurs spécifiques
Étape 5 – Supprimer WordPress
- Suppression manuelle
- Désinstallation de CPanel
- Supprimer manuellement la base de données
Étape 6 -Vérifier les comptes FTP et supprimer les comptes non autorisés et inutilisables
Étape 7 – Mettre à jour tous les plugins et thèmes
Étape 8 – Supprimer les thèmes et plugins inutilisés
Étape 9 – Modifiez vos noms d’utilisateur et mots de passe
Étape 10 – Confirmez auprès de votre hébergeur toute détection de logiciel malveillant sur le site Web ou la base de données
Étape 11 – Sauvegardez les copies propres de votre site Web une fois que tous les fichiers piratés ont été supprimés
Étape 12 – Réinstallez WordPress
Étape 13 – Restaurez votre site Web avec la sauvegarde précédente sans fichiers malveillants
Étape 14 – Analysez à nouveau votre site Web
Étape 15 – Vous devez prendre des mesures préventives pour empêcher le pirate d’attaquer à nouveau
Commençons,
Vérifier la gravité des attaques
L’étape de l’opération de réparation du site WordPress piraté consiste à vérifier si vous pouvez vous connecter à votre panneau d’administration. Si vous n’en êtes pas capable, la gravité est assez élevée et vous aurez peut-être besoin de professionnels pour vous aider à gagner du temps et à effectuer un nettoyage en profondeur.
Cependant, si vous pouviez toujours accéder au panneau d’administration, vous pourriez passer à l’étape suivante de l’opération. Nous vous suggérons fortement de modifier les mots de passe de votre site Web avant de commencer le nettoyage en profondeur.
Vérificateur de site Google
Grâce à la technologie de navigation sécurisée de Google , vous pouvez rapidement vérifier si un site constitue un danger potentiel en tant qu’utilisateur. Un autre choix est le bilan de santé, qui est disponible dans la console Google via l’élément de menu Santé.
Une fois que Google a déjà identifié un fichier ou un programme malveillant sur le site que vous visitez, vous devez avoir reçu un avertissement « Ce site peut être piraté », qui disparaîtra une fois le site Web réparé.
Analyse et suppression de WordPress
Il existe des tonnes de scanners sur le site Web qui pourraient découvrir et supprimer tout cheval de Troie et logiciel malveillant d’un site. Après l’analyse, vous passerez en revue les problèmes rencontrés, tels que les modifications non autorisées ou le spam éventuel sur la page Web.
Les utilisateurs peuvent appliquer des plugins avec des fonctionnalités utiles telles que le dernier accès, la vérification post-liste et diverses notifications de sécurité. En plus de cela, les pirates cachent souvent leur porte dérobée dans les plugins et les thèmes des sites Web WordPress.
Vous devez consulter votre site Web et supprimer tous les plugins et thèmes désactivés. Vous pouvez en savoir plus sur le piratage de WordPress Backdoor. Une fois que vous avez supprimé le thème et les plugins, vous devez réanalyser votre site Web pour obtenir une liste à jour des problèmes.
Les endroits les plus basiques sont les répertoires de plugins WordPress et de thèmes WordPress, wp-config.php, les répertoires wp-includes, les répertoires de téléchargement wp-content et les fichiers .htaccess.
Vous devez exécuter votre site via le vérificateur d’authenticité du thème, lié ici . Le vérificateur d’authenticité du thème affichera la clé de détails juste à côté du thème concernant tout fichier infecté. Il vous montrerait également le code corrompu et malveillant qu’il découvre.
Restaurez votre site WordPress à partir de la sauvegarde
Si possible, vous devez restaurer votre site Web au point précédent, lorsqu’il n’a pas été piraté. Vous pouvez accéder aux étapes pour effectuer une sauvegarde et restaurer entièrement WordPress manuellement ici. Si vous êtes capable de restaurer votre site Web, il y a de fortes chances que votre site Web soit de nouveau opérationnel très bientôt.
L’inconvénient pourrait toujours être que vous pourriez risquer de perdre vos articles de blog publiés après avoir repris, de nouveaux commentaires, etc. vous pourriez même vouloir supprimer manuellement le piratage, en fonction de la mesure de la quantité de contenu piraté et du temps dont vous disposez.
Plugin de sécurité WordPress
Il existe de nombreux plugins de sécurité de WordPress pour la protection contre les chevaux de Troie, les logiciels malveillants et les rootkits. Lorsque nous parlons des logiciels malveillants dans WordPress, vous devez porter une attention particulière.
Mettre à jour / supprimer les plugins et thèmes inutilisés
Vous devez mettre à jour tous les thèmes et plugins. Soit dit en passant, bien que vous puissiez avoir des plugins sur votre site Web et que chacun d’entre eux vous offre des fonctionnalités uniques, cela n’a aucun sens d’avoir certains thèmes installés.
Supprimez tous les thèmes que vous n’utilisez pas et maintenez le thème actif avec lequel vous travaillez mis à jour. C’est ainsi que nous pourrions mettre à jour les plugins et les thèmes. Pour vous donner un aperçu de l’ensemble de l’opération, nous l’avons divisée en quelques étapes :
- Téléchargez votre thème avec la dernière version.
- Décompressez ce fichier pour accéder à ce thème mis à jour.
- Ensuite, allez dans le panneau et activez le mode maintenance.
- Connectez-vous à votre hébergement via FTP.
- Renommez votre répertoire de thèmes avec n’importe quel nom familier : themename-OLD.
- Téléchargez ce répertoire de thèmes mis à jour précédemment téléchargé.
- Vérifiez la version du thème actif.
- Vérifiez que tout (pages, fonctions, CSS et JS) fonctionne correctement.
- Supprimez cet ancien répertoire de thèmes (themename-OLD)
