Vous avez été piraté ? Votre site WordPress n’est plus accessible ? Le panneau d’administration non plus ?

Voici un guide de débogage pour rendre de nouveau accessible votre site Internet WordPress piraté. N’hésitez pas à me contacter pour dépanner votre WordPress.

SOS débogage : remettre sur pied son site WordPress

Si vous n’avez plus du tout d’accès à votre panneau d’administration WordPress /wp-admin/  il va falloir mettre les mains dans le cambouis car il est impossible d’installer un plugin qui va faire le travail à votre place. Pour ne rien vous cacher, c’est un peu technique. (Vous pouvez également faire appel à mes services).

1) Se connecter au serveur FTP

La première chose à faire va être de se connecter à votre serveur FTP (Je conseille le logiciel gratuit FileZilla). Une fois connecté à votre serveur, vous devriez avoir la liste des fichiers et dossiers WordPress :

2) Faire une sauvegarde WordPress

Rapatrier l’ensemble des fichiers sur votre ordinateur. Cela pourra toujours vous servir ultérieurement si vous devez retrouver un fichier par la suite.

3) Vérifier le .htaccess

Souvent, le fichier .htaccess a été corrompu. Vous pouvez supprimer le .htaccess OU le modifier et y remettre le fichier de base. Voici le contenu par défaut du fichier WordPress .htaccess :

RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]


A savoir qu’il devrait y avoir un seul fichier .htaccess sur votre site. Vérifier donc tous les dossiers et supprimer tous les .htaccess

Je conseille de mettre ensuite ce fichier .htaccess en lecture seule (CHMOD 444) afin de s’assurer qu’il ne soit plus modifié.

Si vous l’avez supprimé, seule votre page d’accueil de votre site sera accessible. Il faut dans ce cas là de nouveau générer le .htaccess en allant dans  l’admin WordPress -> Admin -> Réglages -> Permaliens et valider le formulaire.

4) Fichier impossible à supprimer ou à lire

Votre site web peut être inaccessible car l’ensemble des fichiers et dossiers de votre site a perdu ses droits de lecture. (Un malware peut retirer les permissions sur les fichiers).

Si vous n’arrivez pas à supprimer des fichiers sur votre FTP, c’est que les permissions (droits d’accès) du fichier ont été modifiées. Soit par votre hébergeur pour la sécurité du site, soit par le virus lui même. Il faut donc redonner les droits d’accès (CHMOD) aux dossiers et fichiers.

Sur Filezilla, bouton droit sur un fichier ou un dossier > Droits d’accès aux fichiers

Pour les fichiers, CHMOD 604
Pour les dossiers, CHMOD 705

5) Activer l’affichage des erreurs (fichier wp-config.php)

Votre site WordPress ne s’affiche plus et affiche une page blanche ? Pour comprendre pourquoi votre site bug, il faut activer l’affichage des erreurs PHP.

Pour afficher les erreurs, ouvrir le fichier wp-config.php

Ensuite, on change la valeur des paramètres suivants :

define('WP_CACHE', false);
define('WP_DEBUG', true);
error_reporting(E_ALL);
ini_set("display_errors", 1);


Votre site devrait à présent afficher la raison pour lequel il plante.

Il suffira de remettre les valeurs par défaut une fois que les erreurs auront été corrigées :

define('WP_CACHE', true);
define('WP_DEBUG', false);
#error_reporting(E_ALL);
#ini_set("display_errors", 1);

6) Trouver et corriger les erreurs

Les erreurs de type Warning ou Notice ne font pas planter WordPress. Elles peuvent néanmoins vous indiquer des problèmes qui empêchent un plugin de fonctionner.

C’est souvent une Fatal error qui fait planter le site.

Il est indiqué le nom du fichier et la fonction qui fait planter.

Si c’est un fichier dans un plugin /wp-content/plugins/
Désactiver le plugin via le FTP en renommant le nom du dossier du plugin en question. Ajouter un OLD au nom du dossier. Cela le désactivera.

Si c’est un fichier dans un thème /wp-content/themes/
Désactiver le thème via le FTP en renommant le thème. WordPress basculera automatiquement sur le thème par défaut. Attention, il faut absolument que votre dossier themes contienne un theme par defaut. (twentytwenty)

Soit vous vous y connaissez en PHP, et vous essayez de corriger l’erreur.

7) Remettre les fichiers d’origine de WordPress

Il est possible que les fichiers de base de WordPress aient été compromis (du code malveillant s’est immiscé dedans).

Toujours via FTP, je vous invite à upload de nouveau tous les fichiers WordPress. Pour cela, télécharger WordPress sur le site officiel, extraire l’archive et remplacer tous les fichiers sur le FTP.

Si vous avez accès de nouveau à l’admin WordPress, vous pouvez faire cette manip directement depuis le panel d’administration.

Les meilleurs plugins Anti-Malware WordPress

Si vous avez accès au panneau d’admin WordPress, je vous invite à installer un plugin WordPress qui va scanner votre site Web à la recherche du virus, , de codes malveillants, ou de codes obsolètes.

Attention, la liste des plugins ci-dessous permet de scanner votre site à la recherche de virus. Pour lancer ces plugins, il faut déjà avoir réussi à remettre en place votre admin WordPress.

Ces plugins scannent la totalité du site à la recherche de fichiers malveillants (fichiers modifiés, virus, trojan, failles de sécurité) comprenant du code compromettant.

Généralement, des fichiers malveillants se sont introduits sur votre site par une porte d’entrée (via votre thème, vos plugins ou votre installation WordPress obsolète).

Les fichiers scannés positifs au virus sont pour la plupart du temps des fichiers de type .htaccess , des fichiers php ou encore des fichiers javascripts .js

Mais il arrive également que du code malveillant soit offusqué dans des fichiers de types .html, dans php.ini ou même des fichiers .css

Dans tous les cas, il faut scanner la totalité du site, puis supprimer les fichiers malveillants (mettre en quarantaine), ou les nettoyer un par un. Parfois, supprimer un fichier vous fera planter votre WordPress car le fichier était primordial au fonctionnement de WordPress. Il faut dans ce cas là nettoyer le fichier. Soit avoir le fichier original et le remplacer, soit trouver et effacer le code malveillant dans le fichier.

Les hackers cachent leur code à l’aide de fonction PHP qui ressemblent à ça :

passthru, shell_exec, system, phpinfo, base64_decode, chmod, mkdir, str_rot13, eval, gzinflate, auth_pass, gzinflat, display_errors, X-XSS

Les plugins anti-virus scannent tous les fichiers pour trouver du code malveillant.

NinjaScanner – Virus & Malware scan

J’ai été agréablement surpris par ce plugin qui dans sa version gratuite propose tout ce qu’il faut, à savoir un scan complet du site avec vérification de codes malveillants + comparaisons des fichiers de type plugins / noyaux avec les originaux.

GOTMLS : Sécurité Anti-Malware et Pare-feu anti attaque par force brute.

Ce plugin offre une version gratuite qui permet de scanner son site rapidement. Je l’utilise sur la plupart de mes sites en complément de Ninja Scanner
Il faut la version payante (30 euros en moyenne) pour vérifier si les fichiers de base WordPress n’ont pas été corrompus. Plugin efficace et pas trop lourd.

NinjaFirewall

Du même développeur que Ninja Scanner, je trouve ce plugin très facile d’utilisation, et surtout efficace. Il permet de contrôler les activités suspectes sur votre site et de détecter des tentatives de piratage. Il envoie un email dès qu’il y a quelque chose de suspect (tentative d’intrusion, Bruteforce, changement suspect, installation en BDD). Pas mal d’options pour bloquer des portes d’entrée potentiel d’un virus. Franchement, le plugin NinjaFirewall est indispensable dès lors que vous avez été hacké une fois.

BPS Security

Ce n’est pas mon plugin préféré, mais il permet de scanner également la BDD. Parfois, du code malveillant s’est glissé directement dans la base de données MySql. Ce plugin vérifie que ce n’est pas le cas. Il faut par contre ensuite aller nettoyer manuellement les tables concernées si nécessaire.

Eliminer définitivement le virus de son site WordPress

Une fois que votre site web est rétabli, cela ne veut pas dire que le virus a complètement disparu. Il peut encore y avoir des traces du virus, et surtout la porte d’entrée du virus est certainement encore là. Si vous ne trouvez pas la porte d’entrée du virus, c’est à dire comment le virus est arrivée sur votre site, il y a de fortes chances pour que votre site wordpress soit hacké de nouveau dans les prochains jours.

1. Vérifier les utilisateurs qui ont les droits « Admin ». Les hackers créent souvent de nouveaux utilisateurs afin d’avoir les droits d’administration.
   Allez dans WordPress > Admin > Comptes.
   Supprimez tous les utilisateurs qui vous semblent suspects.
2. Changer le mot de passe des admins. Cela peut paraitre anodin, mais il est très certain que si un virus est entré, que votre mot de passe est fuité. Changer le pass WordPress des admins
3. Changer le mot de pass du serveur MySQL, généralement, le pass est en clair dans le fichier wp-config.php et il a surement été récupéré par le virus.
4. Scanner la totalité du site (utilisé les plugins anti-malware) et supprimer tous les fichiers malveillants
5. Mettre à jour WordPress
6. Mettre à jour les plugins. Des failles de sécurité sont régulièrement trouvées et exploitées par les virus. Attention : si votre site date, mettre à jour un plugin peut complètement le faire planter.
7. Nettoyer les articles et pages : certains virus vont créer des centaines d’articles WordPress. Il faut tout supprimer.
8. Mettre un Firewall. Je vous conseille le plugin Ninja Firewall qui fait très bien le boulot dans sa version gratuite. Cela vous permettra également d’être prévenu si votre site est attaqué de nouveau.