Guide avancé pour résoudre les problèmes de piratage de sites WordPress

Ce guide avancé fournit des informations supplémentaires pour les cas non couverts par notre guide de base sur la gestion d’un site WordPress piraté. Nous vous recommandons de suivre d’abord le guide de base pour éviter des modifications inutiles sur votre site.

Si vous disposez d’une sauvegarde de votre site, vous pouvez remplacer la version piratée par une version sécurisée. Cela fonctionne souvent, mais ce n’est pas toujours une solution parfaite, car l’attaque peut provenir d’un fichier ou dossier distant situé ailleurs dans votre espace d’hébergement.

Examinons pourquoi la récupération d’un site WordPress piraté peut être complexe. Si les étapes de dépannage de base n’ont pas résolu le problème, vous avez peut-être un rapport de scan de notre équipe de support dans le Advanced Panel (propulsé par Webuzo) ou via l’outil Virus Scanner.

Vous avez peut-être déjà essayé de modifier le fichier .htaccess, de désactiver les thèmes et plugins, ou de remplacer les fichiers principaux de WordPress, sans succès. Dans ce cas, il y a probablement un logiciel malveillant (malware) dans votre compte ou un répertoire spécifique du site. La première étape consiste à nettoyer le compte ou le site de ce malware.

Gérer les malwares

Si le Virus Scanner détecte des virus dans votre compte, passez au processus de nettoyage dans le menu Virus Scanner. Vous verrez un tableau listant les fichiers infectés et les virus associés. Sous le tableau, trois options s’offrent à vous :

  • Supprimer : Le fichier sera complètement retiré de votre panneau d’hébergement.

  • Mettre en quarantaine : Le fichier sera isolé des autres, mais vous pourrez toujours y accéder et vérifier son contenu.

  • Ignorer : Le fichier infecté restera à son emplacement actuel avec le malware.

Si le Virus Scanner ne détecte aucun virus dans le Advanced Panel, notre équipe de support hostbas.com peut effectuer un scan interne et vous fournir un rapport détaillé sur chaque fichier de votre panneau d’hébergement, y compris les virus et les correspondances suspectes (le cas échéant). Pour en savoir plus, consultez notre guide sur l’utilisation du rapport de scan.

Astuce rapide : Si le rapport de scan indique quelque chose comme [Virus Found] : The_name_of_virus, supprimez immédiatement le fichier.

Étant donné que le nettoyage des virus et la suppression des fichiers ou bases de données malveillants peuvent affecter la structure de votre site, il n’est pas garanti que le site affiche correctement le contenu supprimé ou mis en quarantaine. Assurez-vous d’avoir une sauvegarde de vos fichiers avant toute suppression.

Sachez que Google et d’autres moteurs de recherche peuvent bloquer les sites contenant du contenu malveillant à leur seule discrétion pour protéger les appareils des utilisateurs. Dans ce cas, votre hébergeur ne peut pas débloquer votre site.

Dans votre rapport de scan, un Webshell est un fichier permettant à un acteur malveillant d’accéder à distance à votre répertoire ou compte d’hébergement. Un répertoire Worldwriteable indique que le fichier ou dossier a des permissions permettant à des utilisateurs externes de le manipuler, ce qui permet aux attaquants d’exécuter des scripts malveillants à l’échelle mondiale. En savoir plus dans notre guide sur les permissions de fichiers.

Supprimer les tâches cron malveillantes

Supposons que vous ayez nettoyé votre site des contenus malveillants et des virus, mais que les mêmes fichiers réapparaissent peu après leur suppression. Cela se produit car les virus créent parfois des tâches cron dans le Advanced Panel pour se régénérer ou exécuter d’autres tâches malveillantes sur le serveur. Si des fichiers réapparaissent après suppression, vérifiez le menu « Cron Jobs » dans votre Advanced Panel et supprimez toute tâche cron inconnue.

Les tâches cron malveillantes incluent souvent la commande wget, un téléchargeur réseau non interactif qui envoie des requêtes GET au serveur de l’attaquant pour mettre à jour ou réinstaller des fichiers malveillants.

Processus du serveur

Si vous suspectez une activité malveillante, demandez à notre équipe de support hostbas.com de réinitialiser votre environnement virtuel léger (cage) pour arrêter les scripts interceptés par les virus. Pour voir les processus actifs sur le serveur, utilisez l’une des commandes suivantes dans Advanced Panel > Terminal :

  • ps axu

  • ps faux ou top -c

Ces commandes fournissent un rapport des processus actifs. Si vous remarquez quelque chose d’inhabituel ou suspect, contactez-nous via le Live Chat sur hostbas.com.

Permissions et propriétaires

Vous pourriez rencontrer une erreur lors de la tentative de suppression d’un répertoire, comme : FileOp Failure on: /path/directory/file: Directory not empty

Cette erreur indique que vous n’avez pas les permissions nécessaires pour supprimer le contenu du répertoire, car il contient des fichiers non réinscriptibles. Des informations détaillées sur les permissions de fichiers et dossiers sont disponibles dans notre guide des permissions.

Les permissions correctes sont 0644 pour les fichiers et 0755 pour les dossiers. Si vous n’avez pas les permissions nécessaires, essayez de modifier les permissions du répertoire et tentez à nouveau de supprimer le fichier/dossier. Suivez ce guide pour plus de détails.

Notez qu’un fichier ou dossier #WorldReadable dans votre rapport de scan peut indiquer qu’un attaquant dispose de permissions élevées. Nous recommandons de vérifier les permissions avant de les modifier ou de supprimer les fichiers.

Étapes finales

Après avoir supprimé les virus, arrêté les tâches cron et processus malveillants, et configuré les permissions appropriées pour les fichiers et dossiers sécurisés, suivez ces étapes pour restaurer votre site :

  1. Suivez notre guide pour remplacer les fichiers principaux de WordPress.

  2. Videz le cache LiteSpeed et purgez les plugins de mise en cache.

  3. Rescanner votre compte d’hébergement pour vous assurer qu’aucun fichier malveillant ne subsiste.

  4. Améliorez la sécurité de WordPress en fonction de votre rapport de scan. Par exemple, si une exploitation PHP a été détectée dans un plugin, signalez la vulnérabilité aux développeurs ou utilisez un plugin alternatif. Si un script malveillant a été trouvé dans la base de données du site, mettez à jour le mot de passe de la base de données dans le menu MySQL Databases et dans le fichier wp-config.php en suivant ce guide.

  5. Si ces étapes échouent, demandez une restauration de sauvegarde via le Live Chat sur hostbas.com.

Remarque : Nous ne pouvons pas surveiller ou maintenir les sites pour déterminer quand ou comment ils ont été attaqués, ni combien de temps les fichiers malveillants sont restés dans les répertoires du site.

C’est tout ! Contactez-nous via le Live Chat sur hostbas.com pour toute assistance supplémentaire.

  • 0 Utilisateurs l'ont trouvée utile
Cette réponse était-elle pertinente?

Articles connexes

What is WordPress heartbeat and how to deal with admin-ajax.php usage

You may have noticed, that when you have the WordPress dashboard open in multiple tabs, the CPU...

Comment réparer un site WordPress cassé ou piraté avec le panneau Advanced Panel de HostBas

Un site WordPress qui ne fonctionne plus correctement peut nuire à votre image professionnelle et...

Guide étape par étape pour installer WordPress sur hostbas.com

Installer WordPress sur votre site avec hostbas.com est un processus simple et rapide grâce au...

Guide étape par étape pour accélérer les sites WordPress sur hostbas.com

Accélérer votre site WordPress avec hostbas.com est essentiel pour améliorer l’expérience...

Guide étape par étape pour sauvegarder et restaurer votre site WordPress avec les outils hostbas.com

Sauvegarder et restaurer votre site WordPress avec hostbas.com est crucial pour protéger vos...