pharma hack spam

WordPress Pharma / Viagra Hack – Les résultats de Google affichent les résultats de Viagra / Cialis

Qu’est-ce que le piratage de l’industrie pharmaceutique ?


Il y a des années, un client m’a demandé de supprimer une page de son site WordPress. Une page concernant les produits pharmaceutiques. J’ai fait des recherches parmi les articles, les pages, les types d’articles personnalisés ou tout autre chose à laquelle j’ai pu penser et j’ai passé des jours à assurer au client qu’aucune page ou article de ce type n’existait sur son site WordPress.

Ils ont péniblement insisté et ont dit avoir trouvé une page en vérifiant les résultats de recherche de leur site sur Google. J’ai vérifié les résultats moi-même et, à ma grande surprise, j’ai trouvé la page qu’ils ont mentionnée. Cette page renvoyait à un autre domaine qui vendait des médicaments en ligne, mais l’URL provenait du site de mon client. Je me suis dit : “C’est probablement une erreur de la part de Google, non ?”.

Faux ! C’était le Pharma Hack.

Alors, qu’est-ce que Pharma Hack exactement ? WordPress Pharma Hack est une méthode d’injection de spam. Son but est de rediriger les visiteurs d’un site par ailleurs légitime vers des sites de vendeurs de pharmacies qui vendent des médicaments interdits (comme le Viagra, le Cialis, le Nexium, etc.) ou qui proposent généralement des médicaments sur ordonnance – sans ordonnance.

Il s’agit d’un système très subtil – on peut le considérer comme un parasite qui se nourrit des pages les plus importantes du site dans le but d’obtenir des liens utiles. Vous et vos visiteurs ne le verrez pas, il ne provoque aucun dysfonctionnement visible et je n’ai pas encore entendu dire qu’un tel piratage a provoqué le crash du site. Cela semble presque inoffensif.

Mais c’est parce que c’est un parasite intelligent – il a besoin d’un hôte vivant et ne veut pas éveiller de soupçons et se faire remarquer. Comme il est très discret, il travaille généralement derrière le rideau pendant des mois et des mois avant que les propriétaires du site ne le remarquent et ne le suppriment. Il est également très probable qu’elle revienne si elle n’est pas enlevée correctement. Cela va lentement dégrader votre référencement et votre réputation en rien, obtenez vous avez été mis sur la liste noire de Google et cela vous a probablement coûté un peu (ou beaucoup) d’argent. Pas si inoffensif, n’est-ce pas ?

Comment savoir si votre site WordPress est infecté par le Pharma Hack ?

  1. Utilisez les opérateurs de recherche avancée de Google
    Comme le piratage est invisible pour vous, vous devez recourir à un outil qui vous aidera à le démasquer : le moteur de recherche. Il vous suffit d’ouvrir Google.com et de rechercher votre nom de domaine (en tapant simplement i.e. domain.com) ou d’utiliser les opérateurs de recherche avancée de Google comme “site:votredomaine.com”, “inurl:votredomaine.com”, etc.

Si vous utilisez l’opérateur “site:votredomaine.com”, Google répertoriera toutes vos pages indexées. Certains des résultats pourraient inclure des liens Pharma Hack comme celui-ci :

Si vous souhaitez être plus précis, vous pouvez lancer la recherche en utilisant “inurl:votredomaine.com viagra” (vous devez bien sûr remplacer “votredomaine.com” par votre propre nom de domaine et vous pouvez également rechercher un autre nom de médicament).

Vous trouverez sur cette page des instructions sur la manière d’utiliser les opérateurs de recherche avancée de Google.

  1. Chercher la page en tant que Googlebot
    La raison pour laquelle les pages ne sont visibles que sur les moteurs de recherche est que le Pharma Hack n’est visible que par certains agents-utilisateurs, comme Googlebot. Cela signifie que même si vous avez trouvé une page sur Google qui redirige vers le site d’un pharmacien, vous ne pourrez pas voir le piratage même si vous consultez la source de la page, car votre navigateur a une chaîne User-Agent différente.

Afin de visualiser la page telle qu’elle serait vue par le Googlebot, vous aurez besoin d’un navigateur Chome User-Agent Switcher ou Firefox User-Agent Switcher add-on.

Après avoir installé le module complémentaire User-Agent Switcher de votre navigateur préféré, vous devez vous rendre sur la page qui s’est affichée comme étant piratée dans les résultats de recherche Google. Ensuite, la chaîne User-Agent devra être modifiée comme suit :

La chaîne User-Agent devra être remplacée par l’une de ces valeurs :

  • Mozilla/5.0 (compatible ; Googlebot/2.1 ; +http://www.google.com/bot.html)
  • Googlebot/2.1 (+http://www.googlebot.com/bot.html)
  • Googlebot/2.1 (+http://www.google.com/bot.html)


Après cela, il vous suffit de consulter la page source et vous pourrez voir la redirection vers le site d’un vendeur de produits pharmaceutiques :

Important : Ne laissez pas l’add-on User-Agent Switcher actif. Comme vous imiterez Googlebot, les sites dotés d’une sécurité adéquate le remarqueront et vous bloqueront temporairement ou définitivement.

Comment fonctionne le Pharma Hack ?

Comme mentionné précédemment, vous et vos visiteurs ne remarquerez aucun changement sur le site. Le Pharma Hack va passer outre la balise titre et insérer des liens de spam dans le contenu de la page. Cette balise de titre modifiée et les liens de spam ne sont visibles que par les moteurs de recherche et les crawlers de moteurs de recherche (comme Googlebot). Cette méthode s’appelle le camouflage.

Où le Pharma Hack cache-t-il son code ?

Comme la plupart des hackers de WordPress, le hack de Pharma utilise le noyau de votre site, le plugin et les fichiers de thème pour stocker ses logiciels malveillants. Dans ce cas, le Pharma Hack utilise également la base de données pour conserver la persistance.

Par le biais de fichiers malveillants dans les répertoires par défaut de WordPress (noyau, plugins, thèmes)

Les fichiers malveillants doivent être placés dans votre répertoire WordPress. Ils contiennent généralement des fonctions telles que base64_decode() et eval(). En ce sens, le Pharma Hack n’est pas différent de tout autre hack.

Par le biais d’un code crypté dans la base de données WordPress
Ce qui est différent, c’est que, avec Pharma Hack, ces fonctions sont stockées dans la base de données sous forme de chaînes de caractères et codées à l’envers, ce qui en rend beaucoup plus difficile à trouver et à éliminer. Lorsque le fichier de piratage est exécuté, il tire les chaînes de la base de données, les décode et les exécute en tant que fonctions.

Par exemple, jetez un coup d’œil à ceci :

JHBoYXJtYWhhY2sgPSAnVGhpcyBpcyBwaGFybWEgaGFjay4nOwplY2hvICRwaGFybWFoYWNrOwo=

On dirait du charabia, mais lorsqu’il est décodé avec la fonction base64_decode(), il le devient :

Bien sûr, le code que j’ai écrit est inoffensif et ne fait rien, mais n’importe quel code malveillant peut avoir l’air identique, comme une chaîne aléatoire de caractères alphanumériques, mais en fait il met en place une redirection sur votre site qui peut amener votre prochain visiteur à une page qui propose le Propranolol sans ordonnance.

Comment supprimer le “Pharma Hack


Comme mentionné précédemment, le Pharma Hack se compose de deux parties, les fichiers de piratage qui permettent un accès détourné et le code crypté dans la base de données.

Afin de supprimer correctement le WordPress Pharma Hack, il faudrait s’occuper des deux. En profondeur. Si l’un des fichiers reste sur le serveur, une réinfection est tout simplement inévitable et vous revenez à la case départ.

Avant de travailler sur votre site WordPress, assurez-vous de faire une sauvegarde de vos fichiers WordPress (fichiers de base, thèmes et plugins) et de la base de données afin de pouvoir la restaurer au cas où quelque chose tournerait mal.

Conseil : Si vous n’êtes pas familier avec l’utilisation du FTP pour vous connecter à votre serveur (ou au moins avec le gestionnaire de fichiers comme celui du cPanel) et, plus important encore, si vous n’êtes pas familier avec phpMyAdmin, je vous déconseille fortement de suivre les instructions ci-dessous. Dans ce cas, je vous suggère de soumettre une demande de correction de piratage pharmaceutique par l’intermédiaire de notre service de suppression des logiciels malveillants.

Suppression des fichiers piratés de WordPress


Je ne vais pas mentir – c’est un travail ennuyeux, mais quelqu’un doit le faire. Ce que vous devez faire, c’est vérifier si des fichiers suspects se trouvent dans les répertoires des plugins et des thèmes. J’espère que vous n’êtes pas un de ces propriétaires de sites qui ont un plugin pour TOUT et qui gardent 12 thèmes inactifs juste au cas où. Si vous êtes cette personne, vous avez des heures, non, des jours pour fouiller dans les dossiers.

Ci-dessous, nous allons montrer un exemple d’inspection et de suppression de fichiers piratés. Vous devez répéter le processus pour tous les fichiers de base, les thèmes et les plugins de votre site WordPress.

Connexion à votre serveur d’hébergement
Vous devrez vous connecter à votre serveur d’hébergement par FTP ou vous connecter à cPanel et utiliser le gestionnaire de fichiers (que j’utiliserai dans les exemples ci-dessous).

Une fois connecté, vous devez vous assurer que l’option “Afficher les fichiers cachés” est cochée :

Allons dans le répertoire des plugins d’Akismet – allez dans “wp-content” -> “plugins” -> “Akismet”.

Trouver les fichiers piratés et les logiciels malveillants

La première chose à laquelle vous devez prêter attention, ce sont les conventions d’appellation. Les fichiers piratés ont généralement une pseudo-extension au milieu (comme .class, .cache, .old) afin d’imiter les véritables fichiers de plugin.

De plus, un point devant le nom du fichier (comme “.htaccess”) cachera le fichier à moins que l’option “Afficher les fichiers cachés” ne soit activée. C’est toujours un motif de suspicion.

Pour confirmer, le contenu de ces dossiers devrait ressembler à ceci :

< ? php $XZKsyG= ‘as’;$RqoaUO= ‘e’;$ygDOEJ=$XZKsyG.’s’.$RqoaUO.’r’.’t’;$joEDdb
= “b”.$XZKsyG.$RqoaUO.(64). “_”. “d”.$RqoaUO. “c”. “o”. “d”.$RqoaUO;@$ygDOEJ(@$j
oEDdb(‘ZXZhbChiYXNlNjRfZGVjb2RlKCJhV1lvYVhOelpY…

Si vous n’êtes pas sûr que le fichier fait partie intégrante du plugin, vous pouvez télécharger la nouvelle version du plugin à partir de WordPress.org et comparer le contenu du répertoire du plugin sur votre serveur et l’installer.

Le fichier .htaccess

Le fichier .htaccess serait également un bon endroit pour vérifier. C’est un exemple de code qui ne devrait pas être là :

RewriteEngine On
RewriteCond %{ENV:REDIRECT_STATUS} 200
RewriteRule ^ - [L]
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR] #checks for Google, Yahoo, msn, aol and bing crawler
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^(.*)$ somehackfile.php?$1 [L] #redirecte vers un fichier piraté

Si vous voyez un code comme celui-ci, il est préférable de le supprimer. Bien entendu, vous devez sauvegarder une copie de sauvegarde du fichier .htaccess au cas où. Si vous avez besoin de recréer le fichier, allez simplement dans votre tableau de bord WordPress, puis allez dans “Paramètres” -> “Permaliens” et cliquez sur “Enregistrer” (vous n’avez pas à modifier la structure des permaliens) et le fichier .htaccess sera régénéré.

Rechercher les différences de contenu des fichiers

Cela peut être un peu trop pour certains plugins qui ont un grand nombre de fichiers (comme le JetPack). Vous pouvez donc aussi utiliser le scanner d’exploitation ou un plugin de sécurité similaire pour vérifier les modifications de fichiers. Le plugin Exploit Scanner recherchera dans tous les fichiers de base de WordPress, les thèmes et plugins de tiers qui sont distribués par le dépôt officiel de WordPress, ainsi que dans les tables des messages et commentaires de votre base de données, les entrées suspectes et les noms de fichiers inhabituels. L’inconvénient est que le plugin Exploit Scanner génère un grand nombre de faux positifs. Vous devez donc vérifier chaque résultat qu’il produit alors qu’il ne fonctionne pas avec les plugins premium ou les plugins personnalisés.

Une fois que vous avez découvert quels fichiers sont piratés et distribuent des logiciels malveillants, vous devez les supprimer immédiatement. Si vous avez trouvé un plugin piraté qui contient un grand nombre de fichiers, il est probablement plus efficace de supprimer le plugin entier et de le réinstaller à partir de zéro. La plupart du temps, les options et les paramètres des plugins sont stockés dans la base de données de votre site, de sorte que la restauration des fichiers de plugins par défaut ne vous portera pas préjudice.

Une fois que vous aurez supprimé tous vos fichiers WordPress piratés, les symptômes de Pharma Hack devraient disparaître et les résultats de recherche de votre site reviendront à la normale après quelques jours (Google doit parcourir à nouveau votre site pour vérifier qu’il est propre). Toutefois, cela ne met pas fin au processus de nettoyage, car vous devrez encore traiter le code résiduel dans la base de données.

Gardez à l’esprit que si des fichiers piratés sont laissés derrière vous, votre site WordPress sera tôt ou tard réinfecté par le Pharma Hack. Cela dit, passons au nettoyage de la base de données.

Suppression des codes malveillants de la base de données WordPress

Toutes les instructions ci-dessous impliquent une manipulation de la base de données, il est donc important de ψreate une sauvegarde de votre base de données (si vous ne l’avez pas déjà fait)
et suivez bien les instructions, car toute improvisation pourrait faire planter votre site.

Encore une fois, si vous n’êtes pas à l’aise pour effectuer des modifications via phpMyAdmin, c’est une bonne idée d’engager un professionnel ou d’essayer notre service de suppression des logiciels malveillants.

Connectez-vous à phpMyAdmin

Si vous utilisez un pack d’hébergement avec cPanel, cette étape est facile. Il vous suffit de cliquer sur l’icône “phpMyAdmin” :

Sinon, vous aurez besoin d’une URL de connexion phpMyAdmin, d’un nom d’utilisateur et d’un mot de passe. Votre fournisseur d’hébergement devrait pouvoir vous aider à cet égard.

Sélectionner la bonne base de données

Une fois connecté, vous devrez sélectionner la bonne base de données, pour vous assurer que vous effectuez les modifications au bon endroit.

Si vous avez plus d’une base de données, vous pouvez vérifier votre fichier wp-config.php et rechercher le nom de la base de données. Il sera dans la ligne de code suivante – define(‘DB_NAME’, ‘yourdatabasename’) ;

Recherche de codes malveillants

Maintenant que vous avez sélectionné la bonne base de données, vous devrez naviguer vers la table “wp_options” (le préfixe de la table peut être différent selon la façon dont il a été défini lors de l’installation de votre site WordPress). Une liste de tableaux WordPress doit être affichée sur le côté gauche de l’écran (vous pouvez soit cliquer sur cette entrée, soit sur le bouton “Parcourir” de la liste du milieu) :

Après avoir sélectionné la table wp_options, vous devrez rechercher les entrées malveillantes de la base de données en utilisant l’onglet Recherche en haut de la page.

Les entrées que vous devrez rechercher en les saisissant dans le champ “nom_option” sont les suivantes :

  • wp_check_hash
  • support_générique_de_classe
  • widget_generic_support
  • ftp_credentials
  • fwp
  • rss_%

Attention ! Dans ce cas, vous devez supprimer toutes les correspondances sauf rss_language, rss_use_excerpt et rss_excerpt_length (il s’agit d’entrées légitimes de la base de données WordPress).

Faites bien attention à ne pas supprimer des informations importantes dans le tableau wp_options, car cela pourrait produire des erreurs ou même faire planter votre site WordPress.

Comment vérifier que votre site WP est propre

Répétez la recherche sur Google en utilisant les mêmes opérateurs de recherche

Après avoir supprimé les fichiers piratés de WordPress de votre site, les résultats de recherche sur Google devraient se normaliser. Vous devez ensuite répéter la recherche Google, en utilisant les opérateurs de la Recherche avancée pour vérifier si certaines des pages apparaissent toujours dans les résultats.

Il ne serait pas surprenant que certains des résultats de Pharma Hack soient encore visibles. Google indexe votre site depuis un certain temps et il faut parfois plusieurs jours, voire plusieurs semaines, pour réparer les dégâts. Cela pourrait également signifier que certains fichiers piratés sont toujours présents sur les serveurs, vous devriez donc répéter la procédure de nettoyage de Pharma Hack.

Utiliser les outils Google pour les webmasters

Les Google Webmaster Tools devraient être utilisés pour réindexer le site après que le Pharma Hack ait été complètement supprimé. L’option État de l’index et logiciels malveillants peut vous indiquer si le site est toujours signalé comme infecté par Google.

Comment scanner votre site à la recherche d’entrées piratées

Il existe un certain nombre de plugins de sécurité qui peuvent déterminer s’il y a ou non une infection par un malware sur votre site. Comme indiqué précédemment, le Pharma Hack peut être extrêmement difficile à attraper, il est donc tout à fait possible qu’il soit manqué par un plugin de sécurité.

Il existe également des scanners de site, que différentes entreprises fournissent gratuitement.

Comment forcer Google à ré-indexer votre site WordPress gratuit Pharma Hack

Soumettre un nouveau plan du site

Un plan du site contient une liste de toutes les pages et de tous les messages de votre site. Le fait de soumettre le plan du site pourrait accélérer le processus de réindexation. Si vous avez déjà un plan de site, essayez de le supprimer et de le soumettre à nouveau. Cela permettra également de supprimer toutes les pages et URL liées aux produits pharmaceutiques (le cas échéant).

L’outil de suppression de contenu obsolète de Google

Si certaines pages sont encore indexées avec le Pharma Hack, elles doivent être soumises pour suppression. Même si votre site WordPress est exempt de Pharma Hack, certaines des pages piratées apparaîtront toujours dans le résultat de recherche de Google. Google vous permet désormais de demander la suppression de ces pages obsolètes via l’outil Supprimer le contenu obsolète. Si c’est le cas, copiez l’URL comme indiqué dans les résultats de recherche Google, puis collez-la dans l’outil et demandez sa suppression.

Comment sécuriser le site pour d’éventuelles futures attaques de piratage

Toute tentative de piratage réussie (ou non) commence par une tentative d’exploitation des faiblesses du site. Le plus souvent, l’infection par des logiciels malveillants est possible en raison de l’utilisation de logiciels obsolètes ou périmés, comme le noyau, les thèmes et les plugins de WordPress. Des mises à jour régulières sont une étape importante pour accroître la sécurité de votre site.

Après avoir supprimé le logiciel malveillant, vous pouvez modifier les informations d’identification FTP, supprimer les utilisateurs inconnus et limiter les privilèges des utilisateurs. Il est également judicieux de mettre en place un plugin de sécurité et de surveiller votre site.

Nous vous suggérons de lire notre article détaillé sur la manière de protéger un site WordPress contre le piratage. Il est long mais nous sommes certains qu’il vous aidera à sécuriser votre site WordPress contre les pirates comme Pharma et les redirections de logiciels malveillants.

Répétez le nettoyage de la pharmacie pour tous vos sites WordPress

Si vous hébergez plus d’un site WordPress sous le même compte de piratage, vous DEVEZ nettoyer tous les sites, sinon il sera piraté encore et encore. Il est très fréquent que nous recevions des demandes de hacking pour un site WordPress et que nous y trouvions deux sites ou plus sous le même compte d’hébergement. Dans ce cas, nous suggérons à nos clients de nous laisser les nettoyer tous ou bien nous préférons abandonner la demande car nous ne pouvons pas garantir que le site dont le nettoyage est demandé restera propre dans un avenir proche.

Dernières réflexions

Le Pharma Hack existe depuis longtemps et il est en constante évolution. L’enlever est toujours difficile et prend du temps, surtout si la réinfection se produit. Les étapes de diagnostic et de réparation du hack fournies dans cet article devraient vous aider à lutter efficacement contre ce problème et à réduire les chances qu’il se reproduise à l’avenir. Toutefois, si vous n’êtes pas sûr d’avoir réussi à supprimer le Pharma Hack et à sécuriser votre site contre les futures tentatives de piratage, vous pouvez opter pour nos services d’assistance et de maintenance WordPress. Il peut s’agir d’un coût supplémentaire maintenant, mais il peut vous faire économiser de l’argent à long terme.

Si votre site WordPress a été infecté par le piratage japonais, nous vous suggérons de consulter notre guide Comment identifier et réparer le piratage de mots-clés japonais.

Leave a Comment