Site piraté/hack : nettoyage de fichiers corrompus sous WordPress

Nous avons reçu le mail suivant un matin :

Site Wordpress piraté OVH Google Ads

"Bonjour Monsieur,

Est-ce possible d'échanger afin de réparer

un site Wordpress sous OVH piraté.

Nos campagnes Google Ads ne peuvent démarrer.

En vous remerciant de votre retour,

Bien à vous"

 

Après échange avec le client, il a constaté :

  • Que le virus se manifeste sur son poste…
  • … Mais pas depuis celui d'autres collaborateurs. D'où la difficulté de se rendre compte de l'infection et de la traiter.

 

Concrètement, c'est son anti-virus NortonLife qui lui a envoyé le signalement suivant :

Site malveillant bloqué Norton

 

Un malware présent sur le site essayait de le rediriger vers des sites douteux.

Ce site figurait avec d'autres sur une liste de sites à bloquer avec Adblock.

Surtout, un autre internaute se plaignait de ne plus pouvoir accéder à sa campagne Google Ads suite à un même message :

Redirection suspecte depuis site malware

 

Le timing est intéressant puisque c'est vers cette date également que les messages d'alerte avaient démarré pour le client.

Le webmaster de l'entreprise avait installé une première extension de sécurité sur le Wordpress, mais sans succès. Il ne parvenait pas à identifier les liens et fichiers suspects.

Nous avons commencé à scanner le site avec un logiciel plus robuste.

Il a signalé divers éléments d'usage à corriger :

  1. Nom du compte admin = admin, avec mot de passe simple.
  2. Divers thèmes Wordpress standards installés, non utilisés et jamais mis à jour.
  3. Extensions non mises à jour, dont certaines pas forcément utiles.
  4. Version du CMS non mise à jour également, le tout fonctionnant sur une vieille version de php.

Le pirate "professionnel" cherche des failles connues, faciles à exploiter et à rentabiliser. Il avait trouvé le candidat idéal avec ce site.

Profitant d'un élément non mis à jour, il a pu installer certains fichiers et modifier le code d'autres :

Fichiers infectés Wordpress

 

Faisant des recherches sur ces fichiers, nous avons découvert effectivement que le virus ne se manifestait pas pour les internautes ayant déjà eu un compte log sur le site :

Pubs non visibles pour IP déjà log sur site

 

Solution pour ce type de cas :

Suppression des fichiers ajoutés :

Fichiers ajoutés par pirate wordpress

 

Nettoyage du ou des fichiers corrompus mais essentiels au thème / au site :

Nettoyage fichier infecté wordpress

 

Il est toujours préférable de faire une copie de chaque fichier avant intervention ;).

 

Pour finir, nous avons vérifié que le site n'était pas inscrit sur une "liste noire" (spam, blocklist...) :

Site non présent sur liste spam

 

Dès lors, il était prêt pour reprendre ses campagnes Google Ads !

 

Vous rencontrez des difficultés suite au piratage de votre site

Nous intervenons pour un forfait de 250€, payable seulement en cas de résultat.

Intervention entre 24 et 48h.

8% de remise pour les règlements en crypto-monnaie.

Nous sommes à votre disposition par mail (contact@internetbusiness.fr) ou via le formulaire suivant :

 

 
 
 
Les champs marqués d’un * sont obligatoires
 
 
 
 
 
 
 
 
 
 
 

 

 

Être alerté d'un nouvel article :