Se faire hacker un site WordPress, cela arrive toujours au mauvais moment… coïncidence ? 🙂

Du coup, lorsque cela arrive, on a tendance à paniquer et à être perdu. La structure du site WordPress nous paraît soudainement floue et l’infection semble venir d’un autre monde : « Mais comment font-ils pour faire intrusion ? » 

Pourtant, nous les utilisateurs de WordPress, nous avons de la chance…

WordPress est de loin le CMS le plus facile à nettoyer et sécuriser en cas d’infection.

Cela, nous le devons à son énorme écosystème. Merci aussi au repository open source officiel, WordPress.org. Et merci à la structure MVC de WordPress, compartimentée en : Cœur, Thème et Plugins.

Grâce au mode de fonctionnement du cœur de WP, nous pouvons suivre des étapes très simples pour récupérer une installation saine, exempte de malware, ainsi qu’éviter facilement les réinfections dues aux Backdoors (portes ouvertes).

Nous allons voir 9 étapes simples, à suivre, pour dépanner un site WordPress piraté. 

Bien sûr, cela peut vous paraître très technique au premier abord, mais il n’en est rien, n’ayez pas peur de WordPress… 

WordPress est votre ami 🙂

Commençons par la première étape.

1. Faire un backup de son site WordPress

Certes, votre installation de WordPress est vérolée, mais cela est tout à fait récupérable.

Par contre, nous nous apprêtons à faire de grosses interventions sur votre site WordPress, qui pourraient potentiellement casser des choses. Il est donc indispensable de réaliser une sauvegarde fiable du site WP concerné. 

Si votre hébergement fonctionne sous cPanel, comme le proposent des hébergeurs comme EasyHoster ou o2switch, le moyen le plus simple pour réaliser un backup est de passer par « l’Assistant de Sauvegarde » de votre interface de gestion d’hébergement. 

Un simple clic sur le bouton « Sauvegarde complète » aura pour effet de lancer la création d’une archive “.tar.gz” contenant toutes les données relatives à votre compte cPanel. Vous pourrez ensuite choisir de la télécharger sur votre ordinateur et/ ou la conserver sur le serveur.

Si votre hébergement n’est pas muni du meilleur panel de gestion (cPanel), vous n’avez pas de chance. Tant pis 🙂 Il va falloir vous reporter à la documentation de votre hébergeur pour trouver la meilleure procédure recommandée pour réaliser un backup de votre hébergement.

2. Bloquez toutes les connexions extérieures vers votre site WordPress

Foutu pour foutu, nous allons créer une fausse « panne » sur votre site WordPress afin que les pirates ne puissent plus accéder (et donc attaquer) votre site depuis l’extérieur. 

En effet, les manipulations qui vont suivre ne peuvent pas être réalisées « toutes, simultanément ». Donc, pendant que vous êtes en train de colmater une brèche « sur la gauche », les pirates peuvent réinstaller des backdoors « sur la droite ».

Pour éviter de devoir effectuer nos opérations de nettoyage et de sécurisation “en local” (ce qui ne serait pas optimal), nous allons empêcher l’accès à votre site pendant toute l’opération de nettoyage.

Pour cela, la meilleure manière de procéder est d’interdire toutes les connexions entrantes, grâce au fichier .htaccess placé à la racine de WordPress, sauf bien sûr, pour votre propre adresse IP. Vous me suivez ? 

Commencez donc par trouver votre IP publique sur Internet et ajoutez ce code (ci-dessous) au fichier .htaccess de votre installation de WordPress, en n’oubliant pas de l’adapter à votre situation. 

• order deny,allow
• deny from all
• allow from 123.45.67.89 #À remplacer par votre IP 

Grâce à cette mesure, vous pourrez travailler sereinement sur le nettoyage de votre site. Personne d’autre que vous ne verra les effets de l’intervention en cours sur votre site. 

3. Modifiez tous vos mots de passe 

Cette étape peut être répétée autant de fois que vous le souhaitez. On ne modifiera jamais assez régulièrement ses password (au cours de cette procédure). N’hésitez donc pas à le faire aussi souvent que possible…

• modifiez le pass de votre base de données MySQL
• modifiez le pass de connexion à cPanel
• modifiez le pass de tous vos administrateurs WordPress
• modifiez le code pin de votre smartphone, de votre CB et le code du cadenas de votre vélo (on n’est jamais trop prudent) 🙂

Bref, modifiez, modifiez, modifiez… !

Gardez à l’esprit que les pirates peuvent être en possession de certains de vos mots de passe.

4. Demandez un scan antimalware à votre hébergeur

Les meilleurs Hébergeurs cPanel disposent d’un antimalware très performant, ImunifyAV (version light, gratuite) ou encore mieux, Imunify360 (version premium) ! 

Si votre hébergeur dispose d’ImunifyAV, sur simple demande au support technique, ils peuvent manuellement lancer un scan des fichiers de votre site WordPress, pour vous donner la liste des fichiers infectés. Cela pourrait vous aiguiller, en vue d’un nettoyage manuel. 

En revanche, si votre hébergeur s’est muni de la solution premium Imunify360 (comme EasyHoster par exemple), ils pourront même désinfecter une grosse partie (voir la totalité) de votre site WordPress à la volée, sans affecter l’intégrité des fichiers légitimes. 

Découvrez EasyHoster, l’Hébergeur WordPress

Grâce à mon code promo ELLIOTT, vous bénéficiez de 15% de remise sur votre première commande d’un Hébergement EasyHoster.

Grâce à cette technologie antimalware et grâce à l’étape suivante, la moitié des sites WordPress seront d’ores et déjà nettoyés et exempts de backdoors. 

5. Mettez à jour WordPress, votre thème et toutes vos extensions

La quasi-totalité des infections par malware est due à un manque de maintenance du site WordPress. C’est-à-dire, un oubli de mises à jour et de nettoyage des plugins WordPress inutilisés ou devenus obsolètes. 

La mise à jour des plugins pourrait donc permettre de colmater les failles de sécurité qui ont causé l’infection. 

Lorsqu’un plugin est mis à jour, tous ses fichiers sont remplacés par leur nouvelle version “propre”, c’est-à-dire, sans code malicieux. 

En complément(sur la capture ci-dessus), vous voyez qu’il est également possible de « Réinstaller les fichiers du cœur de WordPress ». 

Puisque personne n’aura fait l’erreur d’aller mettre ses doigts dans ce code (hardcoding), vous pouvez sans crainte demander à WordPress de réinstaller la copie d’usine de tous ses fichiers, c’est-à-dire, les fichiers d’origine de WP (propres, sans corruption). Cela permettra de faire le ménage dans les malwares, au cas où les pirates se seraient attaqués aux fichiers du cœur de WP.

Sincèrement, quel autre CMS nous met aussi à l’aise que WP ?

On n’est pas bien chez WordPress ? 🙂

6. Installer les plugins de sécurité Wordfence et Sucuri 

Ce conseil vient de l’Hébergeur EasyHoster, qui ne cesse de répéter que Wordfence + Sucuri est le meilleur combo de plugins WordPress pour la sécurité « avant » ou même « après » infection.

Ensemble, ces 2 plugins permettent de… 

1. détecter les fichiers modifiés dans le coeur de WordPress (intégrité des fichiers)
2. détecter les plugins obsolètes (non mis à jour depuis 2 ans par exemple)
3. réinstaller la copie d’usine de tous les plugins gratuits (depuis WordPress.org)
4. durcir la sécurité du site WordPress (hardening et firewall logiciel)

Et bien plus encore ! Dans le jargon, c’est ce qu’on appelle communément « une pépite ».

7. Réaliser un durcissement de sécurité grâce à WordPress Toolkit, via cPanel

Si vous disposez déjà de la Rolls-Royce de l’Hébergement Web, c’est-à-dire, un hébergeur cPanel avec WordPress Toolkit Deluxe (comme proposé par EasyHoster), vous pourrez renforcer plusieurs points de sécurité supplémentaires que Sucuri aurait laissé passer. 

Pour cela, il suffit d’activer chaque option de durcissement via ces petites cases à cocher…

Pas belle la vie ?

Ensuite, n’hésitez pas à modifier encore une fois tous vos mots de passe… ou passer cette étape si vous vous sentez l’âme d’un aventurier prêt à braver tous les danger, le soir, nu dans la neige 😀

8. Faire un nouveau backup et rouvrir votre site au monde entier

Il est venu le temps de supprimer notre restriction d’accès .htaccess, mais avant cela, il serait intelligent de faire une sauvegarde de tout votre travail de nettoyage. De cette façon, si une petite backdoor a été oubliée dans un coin, il ne sera pas nécessaire de tout recommencer depuis le départ, encore et encore. Car cela peut vite faire perdre patience d’essuyer réinfection après réinfection, sans comprendre pourquoi.

Après avoir réalisé une sauvegarde facile à restaurer, désactivez la protection par .htaccess (en supprimant les 3 lignes de code de tout à l’heure).

Ensuite, patientez quelques heures en observant bien votre site, pour vérifier si votre travail de nettoyage et de sécurisation a fait son job. 

Si ce n’est pas le cas, malheureusement, puisque chaque cas de figure est unique, le problème est peut-être plus profond et se joue sur un détail spécifique. La moindre petite backdoor peut entraîner la réinfection complète de tout votre site, dès que les robots pirates décident de repasser vous voir.

N’hésitez pas à revérifier scrupuleusement chaque étape décrite ci-dessous, depuis le début. 

Si malgré toutes ces étapes, vous pensez que votre site est victime de réinfection par backdoor, il peut être nécessaire de faire appel à un prestataire spécialisé, ou de requérir l’aide de votre Hébergeur, à condition qu’il propose de l’assistance technique premium (point suivant).

9. Demander de l’aide à votre Hébergeur WordPress Premium 

Certains hébergeurs (en tout cas, il y en a au moins un), proposent de nettoyer et sécuriser votre site WordPress à votre place, sans surcoût, et ce, même si vous étiez avant chez un hébergeur concurrent. 

C’est le cas d’EasyHoster qui propose un service gratuit de nettoyage et de sécurisation WordPress. 

Si vous n’êtes pas encore hébergé chez eux, il vous suffit de leur commander un hébergement et de leur demander de migrer votre site sur leur infrastructure. 

Ensuite, sur simple demande, ils se chargeront de nettoyer votre site et de le placer sous la protection de leur pare-feu premium, Imunify360. 

Le travail de nettoyage effectué par EasyHoster est garanti. 

C’est-à-dire qu’en cas de réinfection, ils interviennent autant de fois que nécessaire, jusqu’au moment où la sécurité est 100% efficiente. Dans la plupart des cas, une ou deux phases de nettoyage sont largement suffisantes pour vous retrouver avec un site WordPress comme neuf, la protection en plus.

Vous l’avez compris, EasyHoster est un hébergeur légèrement plus cher que des solutions d’hébergement plus massives, mais si vous comparez Les Tarifs d’EasyHoster avec le coût d’un prestataire de service spécialisé en sécurité WordPress, vous devriez vous rendre compte qu’EasyHoster est en réalité une solution très rentable, surtout pour les sites importants et/ou les utilisateurs qui apprécient pouvoir bénéficier de beaucoup d’assistance !

Grâce à mon code promo ELLIOTT, vous bénéficiez de 15% de remise sur votre première commande d’un Hébergement EasyHoster.

Découvrez EasyHoster, l’Hébergeur WordPress

Si vous tenez à la sécurité de vos sites WordPress, que vous n’avez pas les ressources en interne pour sécuriser vos sites, ni les moyens de faire appel à un prestataire en cas d’urgence, je ne saurais trop vous recommander de jeter un coup d’oeil aux offres d’Hébergement WordPress EasyHoster. 

Leur solution pourrait bien vous faire gagner en confort et sérénité, surtout pour vos sites les plus sensibles.