Failles et vulnérabilités de WordPress

Vague d’attaques sur les sites WordPress

Blog Failles et vulnérabilités de WordPress Vague d’attaques sur les sites WordPress
70 commentaires

Vendredi 18 Juillet 2014

Le monde se réveille sans se douter qu’une vague d’attaques a touché des milliers de site utilisant WordPress.

Même à jour dans leur version de leur CMS favori, les attaques sont venues d’ailleurs, ce n’est pas WordPress lui même qui est en cause.

On peut toujours se poser la question « Ne serait-ce pas une faille dans WordPress ?« , et même si ça arrive, je n’ai encore jamais vu une vague de piratage suite une faille non divulguée de WordPress.

Les failles sont découvertes par l’équipe en charge de la sécurité, et aussi par les contributeurs : vous ! Ensuite elles sont corrigées dans une branche mineure et une version sort rapidement afin de garder la faille le moins longtemps connue, sans patch.

Qui a été touché ?

C’est totalement aléatoire, vous trouverez des gens avec un serveur dédié, d’autres avec un mutualisé. Certains ont une thème maison, d’autre un Premium Theme Forest. Certains encore utilisent 2 plugins, d’autres 20. Inutile de chercher un point commun entre ces personnes, la vague tente d’exploiter plusieurs failles d’un coup pour rentabiliser.

Pourquoi attaquer des sites ?

Haaaa la fameuse question ! La réponse la plus brève serait : Vous (votre site) représentez une ressource sur le net, vous êtes une bande passante, vous êtes un lieu de stockage, vous êtes le point de départ d’emails, vous êtes un point de départ pour des backlinks SEO blackhat. Vous servirez à relayer des virus, des spams. Même si vous ne tenez que le blog du poney club avec 2 visites par mois (vous, pour vérifier que ça se passe bien !), même si la cible de votre site sont les retraités, le contenu, le SEO importe peu, vous serez ciblés et exploités si la faille existe chez vous.

Alors, comment c’est arrivé ?

Il y a de fortes chances qu’il s’agisse d’un plugin. Et non, je ne vais pas dire « C’est MailPoet ! » comme l’a fait Sucuri sur son blog qui a eu le cas sur ses clients. OUI, MailPoet fait partie de la liste, mais la liste est longue et n’a pas de fin …

Il y a par contre de fortes chances qu’il s’agisse d’une faille dans un plugin, découverte récemment. Voici la liste des plugins touchés entre le 18 juin et 18 juillet (du plus récent au plus vieux) :

  • Gallery Objects 0.4 SQL Injection
  • WPTouch Authenticated File Upload
  • CopySafe PDF Protection 0.6 Shell Upload
  • Tidio Gallery 1.1 Shell Upload / XSS
  • Download Manager 2.6.8 Shell Upload
  • BSK PDF Manager 1.3.2 SQL Injection
  • MailPoet wysija-newsletters Unauthenticated File Upload
  • NextGEN Gallery 2.0.63 Shell Upload
  • blogstand-smart-banner.1.0 Cross Site Scripting
  • ml-slider 2.5 Cross Site Scripting
  • wp-construction-mode.1.8 Cross Site Scripting
  • Simple Share Buttons Adder 4.4 CSRF / XSS

En gras, ceux qui permettent l’upload d’un fichier malicieux. Il y en a 6, c’est énorme en si peu de temps.

NextGen a été téléchargé 10 fois plus que MailPoet, il a potentiellement 10 fois plus de chances de rendre un site vulnérable.

Ha, et alors ?

Le jour même Maxime BJ a créé un article pour parler de l’attaque et certains pensent à MailPoet, d’autres n’en sont pas sûrs. A titre personnel, même si mes clients et moi n’avons pas été touchés, un follower m’a indiqué qu’un de ses sites avait été touché, sans MailPoet.

Idem dans l’article chez Sucuri, certains oui, certains non. Je n’aime pas trop qu’on balance un nom de plugin qui va se prendre toutes les foudres des autres failles.

J’ai même lu un commentaire disant qu’il était pourtant à jour partout et qu’il utilisait un ThemeForest. Comme si le TF était un gage de qualité, désolé de cracher dans la soupe car j’en utilise, mais ils sont TRÈS souvent vulnérables …

Je vois aussi les solutions préventives et effectives de certains, et je vois WordFence dans le tas. Juste pour teaser, mon prochain article ici le concernera suite à des failles trouvées, je n’en dit pas plus, attendons un patch pour ça …

Elle fait quoi l’attaque ?

L’attaque, tout plugin confondu parmis nos 6 incriminés permets d’ajouter, uploader un fichier PHP contenant du code malicieux pouvant ressembler à ça :

WSO

Elle permet d’avoir un accès quasi complet, comme sur un FTP. Libre à votre imagination de ce qu’on peut alors faire du site.

La backdoor est d’abord ajoutée dans un dossier, puis lors de son premier lancement, elle se duplique dans l’entête de tous les fichiers PHP du site. Parfois, elle se duplique un peu partout dans l’installation, parfois elle remplace le contenu des fichiers des plugins, etc

Leur détection n’est pas simple car le contenu change, les variables prennent des noms aléatoires, ce qui rends le pattern de détection instable. Aucun script ne permets de tout trouver exhaustivement.

Il est arrivé sur certaines installation qu’un administrateur soit ajouté, au nom ou ID « 1001001« . Là, ce n’est pas en rapport avec une backdoor, certes, on peut le faire, mais je vois plutôt l’exploit d’une faille injection SQL. Relisez la liste des derniers plugins vulnérables … Cette faille d’un admin ajouté en 1001001 existe depuis plus d’un an, ce n’est donc pas MailPoet.

Que faire alors ?

Vous vous direz peut-être « Pas grave, j’ai des backups !« , et là, c’est le drâme. Pourquoi ? Car les backups sont là quand vous perdez le site, ou la base de données, suite à une mauvaise manip en prod.

Mais JAMAIS vous ne devez utiliser un backup suite à un piratage. La raison est simple. Une fois les fichiers malicieux envoyés, l’exploitation de cette backdoor n’est pas instantanée. Le hacker (ou via ses zombies) va attendre plusieurs jours, semaines, mois avant de s’activer. Le but ? Attendre d’entrer dans vos backups…

Et ça marche, la preuve est qu’un autre commentaire chez Maxime dit qu’il a trouvé un fichier uploadé 1 mois en arrière et un autre plus récent. Pour moi, ça veux dire que le récent a exploité rapidement la faille, l’autre attendais encore avant de bouger.

Ajouter des plugins de sécurité ? Oui bien sûr, mais a postériori, c’est presque inutile, cela ne va rien régler. Regardez la sidebar ici à droite, vous trouverez une liste de plugins utiles.

Mes conseils, je vous dirais de fouiller la BDD à la recherche de script JS non désiré, de balises META non désirées, ce genre de chose.

Pour les fichiers, supprimez tout ce qui est core, thème, plugins, et réuploadez tout au propre avec les dernières versions.

Pour le dossier upload, vérifiez qu’il ne contient aucun fichier PHP, sinon supprimez les, même les index.php. Si vous souhaitez éviter le listing du contenu de vos dossiers, utilisez la règle .htaccess « Options – Indexes« .

Aussi, dans le dossier uploads, interdisez l’exécution de tout fichier PHP, il ne doit JAMAIS y avoir de PHP dans ce dossier, le plugin qui le fait, fait une erreur, j’en ai discuté avec Andrew Nacin si ça peut vous convaincre.

Utilisez ce fichier .htaccess que vous poserez dans /uploads/ :

<Files *.php>
Deny from all
</Files>

Avec ça, tous les fichiers PHP se retrouvent interdits d’exécution, leur accès direct renvoie une erreur 403 Forbidden.

Bien sûr et avant tout : tenez vous à jour de vos plugins, faites des backups pour au moins récupérer vos uploads et la base si elle est propre, mais, je me répète, ne les utilisez jamais comme ça, fouillez, nettoyez ou faites intervenir un pro de la sécurité web.

Moralité

Ce n’est pas QUE MailPoet le fautif, même si VOUS avez été touché par sa faute, les attaques de vendredi viennent aussi d’autres plugins ou thèmes.

Recevez tous nos conseils en sécurité WordPress

70 commentaires

Pour moi ce qui compte est la réactivité des équipes concernées à patcher. Les sites web, e-commerce ou pas, seront toujours des cibles car ils sont des carrefours où se concentrent des informations plus ou moins sensibles que certains cherchent à voler parfois pour les revendre.

L’avantage d’une communauté aussi large que celle de WordPress est de pouvoir faire remonter facilement l’info pour patcher au plus vite.

Merci pour cet article.
MAIS ;-))
Pas « malicieux », mais « malveillant ».
Ce n’est pas du tout le même sens.

K.-G. D?

Bonjour,

excellent article, j’ai une cinquantaine de blogs en gestion et c’est le cauchemar chaque matin quand je clique sur le bouton « Vérifie si tout va bien », si le point vert s’affiche, ouf je peux vaquer à mes occupations mais si il est rouge, on est parti pour des heures de réparations !

Ce que je trouve parfois dans le répertoire ‘uploads’ de certains blogs, c’est un dossier ‘wisija’ avec le plugin dedans probablement et pourtant cette extension n’est jamais installée car je la trouve indésirable sur un serveur de production partagé.

En plus, ce répertoire n’est pas supprimable en ftp, ni avec le cpanel, c’est donc bien un tiers qui a créé ce dossier, tout au plus, je peux renommer le dossier et faire appel au support de mon hébergeur pour détruire ces fichiers.

Et pourtant, je fais les mises à jour pratiquement quand il y en a une, je prends des tas de précautions et malgré tout …

Amicalement
Patrick

De mon côté, plugin touché : wp-migrate-db-pro

« Mais JAMAIS vous ne devez utiliser un backup suite à un piratage. La raison est simple. Une fois les fichiers malicieux envoyés, l’exploitation de cette backdoor n’est pas instantanée. Le hacker (ou via ses zombies) va attendre plusieurs jours, semaines, mois avant de s’activer. Le but ? Attendre d’entrer dans vos backups… »

Absolument pas d’accord.
Si on sait comment restaurer un backup et comment gérer ses backups c’est la première chose que je ferai.
Avoir des Backup en online sur le serveur est une bonne chose, mais en avoir offline est encore mieux, faire et restaurer des backups ca s’apprend autant qu’administrer un site.

Bonjour et merci pour cette information..

Je parlais justement de ce sujet y ‘a pas si longtemps..: http://www.mauricelargeron.com/proteger-son-serveur-des-intrusions/ mais bon, c’est fatiguant, c’est déjà assez dur de se faire une place sur le net, si en plus, ce genre de routines nous casse les pieds 🙁 ..

Bingo !

Semaine dernière, quelques jours pour m’en remettre avant de comprendre que je n’y étais pour rien 🙂
J’ai tout viré puis rechargé et hop, je pensais que cela venait du thème puis en effet, dès que j’installais mes plugins, site bloqué…

Maintenant tout va bien 🙂
Mais quand tu dis « Mes conseils, je vous dirais de fouiller la BDD à la recherche de script JS non désiré, de balises META non désirées, ce genre de chose. »
Comment fais-tu ? Avec des requêtes sur ta base uniquement ?
J’ai pour ma part « netter » la base mais après, existe vraiment un moyen de savoir si ta base est vraiment clean ?
Merci Julio en tous cas, d’avoir fait le point sur ce sujet !

De rien !
Le pense que malicieux et malveillant sont plutôt quasi synonymes à en croire leur définition :
malveillant : Porté à vouloir, à souhaiter du mal à autrui. (http://fr.wiktionary.org/wiki/malveillant)
malicieux : Porté à nuire, à mal faire. (http://fr.wiktionary.org/wiki/malicieux)

Merci pour cette info !

Oui c’est ce que je dis :

ne les utilisez jamais comme ça, fouillez, nettoyez ou faites intervenir un pro de la sécurité web.

De plus tu dis « Si on sait comment », mais si on ne sait pas, alors je ne recommande JAMAIS de les réimporter dans check.
Me trompe-je ?

De rien.
Pour la BDD oui des select from avec de simples mots clés non désirés suffisent.
Savoir si c’est clean, à part tout vérif à la main et tout vider, tu sais pas ;p

Bonjour,

J’ai eu moi-même plus d’une dizaine de sites impactés, tous scripts confondus et il y en a certains que je n’arrive pas à totalement désinfecter, aussi pensez-vous qu’en faisant une nouvelle installation dans un nouveau dossier pourrait être la solution?
Je vous remercie d’avance pour votre réponse.

Cordialement,

Igor

Bonjour Julio

ça parait tellement évident pour vous.
En ce qui me concerne, pas simple quand on n’y connait rien. Et je me demande ce que ça va me réserver dans l’avenir. Je ne peux plus customiser mon thème, toutes les extensions ont disparu et je reste sans voix.
Que faire ?
Merci pour cet article.
Patricia

Bonjour,
j’avais monté une série de site en hébergement mutualisé chez ovh avec du wordpress, tout a été attaqué visiblement….entre tout, je me suis senti obligé de tout effacer, et de recommencer toutes les install, et réinsertion de mes articles, car je ne savais plus si je pouvais avoir confiance dans mes backups.
Je ne suis pas du tout connaisseur de sécurité, donc vérifier si des backups ont été touches ou pas…impossible pour moi !
Je voudrai juste dire, que faire appel a un spécialiste de la sécurité, n’est pas forcement faisable financièrement pour tout le monde…
bref du coup…huile de coude 🙂
Seul point positif a tout ça (et il faut en trouver un ) ça m’oblige a tout réinstaller au propre, et pourquoi pas améliorer le design de mes sites…jusqu’à la prochaine attaque 🙂

Vous pouvez repartir de zéro, mais si vous installez tout de même le plugin qui a permis la faille, cela ne changera pas grand chose. Quand on déménage, on ne garde pas les même clés ! 😉

Que faire ? Si vous ne pouvez pas vous même nettoyer et tout remettre en ordre, il faut alors demander à quelqu’un de le faire :O

Excellent article, Julio.

Malheureusement, protéger son site WordPress demeure hors de porté pour la majorité des usagers de la communauté.

Lors de cette attaque, nous avons travaillé avec plusieurs hebergeurs, qui ont été pro actif. D’autres ont pris l’initiative sans nous contacter. Site ground, OVH, GoDaddy, VaultPress, etc.

Leurs usagers ont été épargnés, apparemment.

D’autres n’ont pas réagit, malheureusement.

Je suis aujourd’hui plus convaincu que jamais que la sécurité fait partie du mandat des hebergeurs.

Chez MailPoet, on en tire beaucoup de leçons positives.

Je vais vous admettre que les dernières 2 semaines ont été difficiles. Et on n’est pas sorti du bois, comme on dit au Québec.

Tu as tout mon soutien, cet article est là pour dédiaboliser MailPoet, diabolisé par S*curi selon moi.
La sécurité c’est l’affaire de tous, à tout niveau. Plus c’est haut, mieux c’est bien sûr. Mais se retrouver dans ta position de « plugin fautif » doit vraiment être difficile …
Courage !! See you 🙂

Pareil, pour nous une trentaine de sites impactés pour nous. Nous sommes deux, une toute petite agence web et ca a été le cauchemar. Que de temps perdu au détriment du reste !
Point positif cela nous pousse à revoir notre organisation, notre veille mais c’est une perte sèche importante sur ces 15 derniers jours

Merci Julio pour cet article et le script htaccess.
Rentrant de vacances, je viens de me rendre compte que j’avais été attaqué dans un petit site sans raison particulière (les plugins listés plus haut ne sont pas installé…) mais avec 2 conséquences à noter :
– Ajout du plugin « STATS » dans le répertoire wp-plugin, inactif, avec plein de fichiers php dedans…
– Modification du fichier index.php (Hacked By Moroccan Agent Secret…) mais ce qui m’a surpris, c’est la date de mise à jour du fichier : décembre 2013 ! Je ne savais que c’était possible…
Jusqu’à présent, lors d’un nettoyage de serveur, j’utilisais la date pour retrouver les derniers fichiers modifiés mais c’est aussi hackable ? Tu confirmes ?

Superbe article Julio comme d’hab
Sinon pour les personnes intéressées par le fichier .htaccess et ses possibilités je recommande la lecture du blog et des livres de Perishable Press http://perishablepress.com/

hello, on a eut aussi un site piraté, il s’agit d’un plug in appelé, « groupdocs-assembly »
dedans j’y ai trouvé quelque fichier assez explicite, ou il va chercher du contenu d’un site d’escorte girl thailandaise,
pour l’injetcter dans tous les index.php qu’il trouvent.

bref de la bonne puterie.

Merci pour toutes ces informations qui permettent de se tenir au courant des différentes dernières attaques. Par contre, il y a une astuce pour déceler la moindre intrusion sur un mutualisé?

Juste pour apporter ma contribution, j’ai plusieurs sites wordpress avec Mailpoet qui n’ont pas du tout été touché par l’attaque.

Par contre, je viens à l’instant (oui oui, y en a qui étaient en vacances) de trouver un site qui a effectivement été touché par l’attaque, qui n’avait pas ce plugin, et cela ce serait produit le 5 juillet. Le truc « marrant », c’est effectivement qu’un dossier Wysija (mailpoet) avait été créé dans mon dossier uploads (alors que comme indiqué, le plugin n’avait de mémoire, jamais été installé sur ce site).

Voici les plugins qui étaient présent sur le site :

• si-captcha-for-wordpress
• really-simple-captcha
• google-sitemap-generator
• contact-form-7
• akismet
• wp-pagenavi
• redirection
• simple-google-map
• lightbox-2

Rien de transcendant, mais je ne sais pas si l’un d’entre eux peut avoir une faille ??
(d’ailleurs, cette attaque me donne l’occasion de faire du ménage dans ces plugins 😀 )

Et donc du coup, je ne sais pas d’où a pu venir l’attaque par contre.

Avec ce plugin http://blog.secupress.fr/plugin-security-checker-nutilisez-pas-plugins-vulnerables-118.html tu aurais vu que lightbox-2 est vulnérable depuis des lustres, je l’ai fait retirer du repository il y a 3/4 ans je crois.
D’où vient l’attaque est la question qui m’est le plus posée, et ce n’est pas toujours facile de savoir, parfois, mieux vaut juste bien sécuriser plutôt que perdre le temps à trouver le trou, bouchons tout ! 🙂

Il y a le plugin Stream qui te dira quel membre a fait quoi, et il y a File Monitor Plus qui te dira quels modifications/ajouts/suppressions de fichier il y a eu.
Dans les 2 cas, un bon hacker sait passer inaperçu :/

Attention, parfois les hacks modifient des plugins sains pour les faire passer pour fautifs, je l’ai déjà vu très souvent avec akismet. Je ne dis pas que tu es dans ce cas, mais pourquoi pas.

Jeff est très bon ! Merci du rappel

Oui la commande « touch » permets de modifier la date des fichiers …
Par hasard, tu aurais gardé les fichiers infectés ? Je suis preneur 🙂

Aie, je pense que je vais bientôt monter un saas pour que cela soit plus simple à sécuriser et gérer les attaques et les après attaques.

Courage !

héhé, effectivement ^^ » … c’est un site ancien plus vraiment mis à jour qui avait été réalisé pour une association (et je m’aperçois donc, que malgré qu’ils avaient un compte admin, aucune mise à jour core/plugin n’avaient été faites depuis bieeeeeeeeeen longtemps ! … des failles y en avaient donc sûrement plein).

Merci en tout cas pour ta réponse et pour le rappel sur ton plugin !

Merci pour ces infos précises sur les moyens de protection, INDISPENSABLES selon moi !

bonjour j’ai eu aussi un site hacké!! une injection au début de tous les fichiers .php… j’vais nettoyer ça à la main…par contre pour la bdd la j’avous je ne sais pas ou commencer….merci pour l’article on se sens moins seul!!!

L’astuce du .htaccess dans le dossier upload a fonctionné chez moi !

J’espère que ça suffira et que les « zombies » ne continuerons pas leur travail.

Merci en tout cas!

Salut

Personne ne dit ce qu’ils font avec tous ces sites hackés !
Il y a bien une redirection dans le htaccess mais encore ?
Le but ultime de ce hack, c koi ?
PS:
Il est facile de remonter jusqu’au spammeurs. Il suffit de tordre le coup à celui qui l’a mandaté (à quoi sert un spam s’il ne mène nulle part ? loool)

bonjour
lorsque j’active jetpack j’ai des hacks
cela est-il lié ?

Bonjour,
ça veut dire quoi « j’ai des hacks » ? Qu’est-ce qui vous fait dire ça ?

Viens de voir que le blog a été piraté.
Les textes des posts sont parsemés de code HTML.
Donc clairement c’est du backlink pas cher qui est recherché avec le risque de me prendre une belle pénalité GG.
Va falloir réagir mais j’ai un peu peur du chantier qui m’attend …

Et autre point : je n’ai aucun des plugins cités. Seulement WordPress SEO de Yoast qui semble revenir aussi régulièrement dans la liste des plugins potentiellement hackés.

Bonjour,

Pareil, en rentrant de vacances, j’ai aussi eu la surprise de découvrir un piratage (un seul, j’ai eu de la chance) sur un site.

Pour la petite info, il s’agit d’un rare thème que j’avais accepté d’acheter chez Thème Forest faute de budget du client qui ne pouvait se permettre un site à la main.
En revanche, Nextgen Gallery n’était pas à jour, si ça peut permettre de recouper…

Merci pour l’article !

Salut Mr Potier, j’avais essayé d’installer un plugin dont je ne me rapelle plus le nom et ce dernier a endommagé mon application. Que faire pour eviter tout ces problemes. Merci

Oula, impossible de savoir ça sans le nom du plugin, désolé.

J’ai depuis quelques temps des problèmes d’accès. Je vais suivre sagement toutes vos recommandations pour tenter de nettoyer et d’y voir clair, bien que je ne sois pas au top sur ces questions. Mais finalement, aujourd’hui, où en est-on ? Est-ce que les plugins défaillants ont été mis à jour ? Peut-on réinstaller les dernières versions ou sont-elles tout aussi vulnérables?

Bonjour et merci pour cet article, j’avais effectivement entendu parlé d’un problème sur certains sites mais je ne savais pas que cela avait pris une telle ampleur. C’est un peu flippant en fait…

J’ai toutefois une question, tu dis :
Ajouter des plugins de sécurité ? Oui bien sûr, mais a postériori, c’est presque inutile, cela ne va rien régler. Regardez la sidebar ici à droite, vous trouverez une liste de plugins utiles.

Donc si je comprend bien ces plugins sont utiles ( et pas trop gourmand car y a une sacré liste quand même ?) et les installer c’est mieux que de ne pas les installer, même si ça sécurise pas tout, c’est bien ça ?

Merci encore Julio 🙂

Désolé pour mon précédent com, j’avais zappé le « a posteriori », la fatigue de trop de travail à 3h du mat …
Merci beaucoup pour ton article en tout cas, très complet et qui donne les solutions pour réparer.

Yoann

Bonjour,

Petite question, mon fichier wp-config a été modifié (ajout de 15000 carac bizarre) comme de nombreux autres fichiers de mon site. Si ils ont pu écrire, ils ont pu lire non ?

Faut il alors changer le nom de la bdd ainsi que le login et mdp d’accès ?
Sachant que sur les mutualisé c’est la plus part du temps impossible…

Merci pour ta réponse

bonjour,
suite à un piratage de notre site associatif, j’ai fait du ménage et voilà tout ce que j’ai trouvé et fait :
– 2 dossiers suspects au niveau de wwwwp-contentuploads wpcf7_uploads et wysija
(ajout dans ce dosier d’un fichier .htaccess pour interdire l’exécution de fichiers php)
– Suppression de plusieurs fichiers .htaccess piratés liés au site http://luxurytds.com
– Suppression dans le répertoire wp-admin du fichier « .admin.php » contenant un énorme bloc de caractères suspect
précédé par ce code php
 » // Preventing a directory listing
if(!empty($_SERVER[« HTTP_USER_AGENT »])) { $userAgents = array(« Google », « Slurp », « MSNBot », « ia_archiver », « Yandex », « Rambler »);
if(preg_match(« / » . implode(« | », $userAgents) . « /i », $_SERVER[« HTTP_USER_AGENT »])) {header(« HTTP/1.0 404 Not Found »);exit;
}
}  »

L’article « Sécurité : que faire quand votre WordPress s’est fait hacker ? de Frédéric de Villamil » m’a été utile. Les mesures proposées par le biais de lignes de commande marchent aussi plus simplement avec la fonction de recherche dans l’explorateur Windows, les fichiers du site piratés ayant été récupérés sur le disque dur par un logiciel ftp.

je ne sais pas encore si cela suffira pour un retour à la normale.

en espérant que cela puisse aiguiller d’autres rencontrant ce genre de problèmes.

ThomasM.

Bonjour,

Merci pour ces précieuses informations qui doivent notamment etre prises très au sérieux par les « newbies » comme moi même .

hacké en, juillet, puis fin aout : plus de plug in apparents, plus moyen d’écrire ou reinstaller un ancien plug in, nous avions mail poet, askimet, et qq autres. le hacker semble avoir pris le control du FTP. j’ai installé des extensions de sécurité mais sans grand succès pour l’instant (anti malware by ELI et wordfence). J’ai besoin de trouver une personne compétente pour m’aider et repartir d’un back up (préalablement cleané – si c ‘est encore possible(… Ou si vous pouvez m’indiquer des astuces ou des plugins a essayer. J’ai entendu dire que « revolution slider  » était dangereux, je l’avais aussi. C’est vraiment un grand préjudice pour notre activité avant j’avais un site traditionnel géré avec dreamweaver et je n’avais jamais eu de problème en dix ans…merci WP

Bonjour,

Merci pour cet article qui a déjà pour premier mérite de m’avoir confortée dans l’idée qu’il vaut mieux ne pas utiliser les backups de l’hébergeur.
Pourrais-tu en dire un peu plus sur la recherche de codes JS et balises META non désirées dans la BDD, sur quels mots clés faire des recherches ?

Merci d’avance pour tes futurs tuyaux !

@remy « merci WP » C’est comme si tu te plaignais de ta voiture car ton autoradio ou tes roues étaient de mauvaise qualité, le ferais-tu ? Je ne crois pas, ici c’est la même chose, la faille ne vient pas de WordPress mais d’un script développé par une autre personne. Ce script est un plugin, c’est à dire que son inclusion dans le core de WordPress est facilité au niveau du développement.
Tu compares à un site en dreamweaver, et là, tu télécharges des scripts externes, choses que tu ne faisais pas avec ton DW, alors pourquoi ne pas avoir continué à dev tes propres scripts comme tu le faisais auparavant ?
C’est toi qui a changé ta façon de travailler, au lieu de dev les ajouts de scripts à la main ou au moins de vérifier ce que tu installes, tu as aveuglément fait confiance à un développeur, la faute à WP ? Vraiment ? …

@yoann Il faut effectivement modifier les pass, mais cela ne suffit pas, enfermer le cambrioleur dans sa maison n’est pas une bonne idée, ni même l’enfermer dehors avec ses caméras installées dans votre maison. Il faut savoir où sont cachés les fichiers malicieux qui ont permis et peuvent encore, depuis l’extérieur sans mot de passe, lui redonner les accès.
C’est un long travail qu’un plugin ne peut faire, au mieux, ça dégrossi le travail c’est tout. Humain versus Robot, Human wins 🙂

Bonjour,
Un grand merci pour cet article. Je me sens moins seule. J’ai eu 2 sites hackés avec du code malveillant dans tous les fichiers PHP. J’ai tout nettoyé, réinstaller les plugins, le thème… sauf Mailpoet que j’ai détecté comme étant la cause du piratage. Je me pose une question quant aux BDD : j’y ai trouvé des tables wp-wisija, faut-il que je les supprime ? Enfin, quel plugin de newsletter me conseillez-vous maintenant ? Mes clients en envoient régulièrement… et j’aimerais pouvoir leur proposer une solution fiable…
En attendant, merci pour vos conseils…

@joce Ne savez vous pas que le plugin MailPoet a été corrigé ? Il ne contient plus la faille, il est donc maintenant de nouveau considéré comme fiable ! Aller choisir un autre plugin c’est de nouveau reprendre le risque de trouver une faille sur celui-ci aussi, et encore, et encore. Gardez MailPoet 😉

Non je ne le savais pas. Je vais donc suivre votre conseil.
Un énorme merci pour votre réponse 😀

Bonjour,

J’ai une question à propos du .htaccess que tu propose pour le dossier uploads, car quand je le met en place, les images utilisées dans l’interface du site sont toutes remplacées par leur titre, et dans le tableau de bord / médias c’est pareil, comme si l’accès aux images était interdit, à quoi est-ce dû ? Est-ce que le fait d’être en hébergement mutualisé (NUXIT) ?

Merci pour tes conseils toujours éclairés !

@jenny et bien si c’est bien écrit « *.php », voit avec l’hébergeur car ce n’est pas logique :/

Merci pour ce conseil concernant le dossier Upload… bourré d’index.php , db.php et get.php
De plus ces merdes étaient présentes dans ma sauvegarde en… local.
Cela corrobore ce que vous dites plus haut.
Pour le code injecté dans la base de donnée, une simple recherche suffit?

merci si vous passez par là!

@jean-paul Oui une recherche suffira, après les termes recherchés seront le plus difficiles à déterminer. Bon courage !

Hello Julio,

En ce qui me concerne je me suis retrouvé avec des URLs pirates domiciliées sur mon domaine, ex : oleron-plage.fr/ what-is-a-1e4a7-low-speed (avec toujours 1e4a7 dans l’url). Toutes ces urls étaient liées les unes aux autres.

1/ J’ai donc réinstallé mon Thème WP (en supprimant tous les anciens fichiers), et mis à jour mes pluggin et WordPress.
=> Les fameuses URLs renvoient dorénavant toutes une 404.

2/ Aujourd’hui, si je lance un logiciel de crawl (de type xenu) sur mon site, je ne retrouve aucune de ce type d’URL. Mais il me semble, qu’auparavant aussi, ces urls passaient inaperçues.

3/ Toutefois, Google continue tous les jours à me remonter de nouvelles pages 404 en provenance de ce type d’url frauduleuses…
Est-ce possible qu’il y ai encore un script quelque part qui continue à tenter de créer des pages pour lesquelles j’aurais déjà supprimé le contenu spammant ?

J’avoue être un peu perdu… Tu n’aurais pas une petite idée sur la question par hasard ?

mille merci d’avance

@laurent Hello, non je ne peux plus rien faire maintenant que tu as tout effacé. Tu supprimes les traces des voleurs, nettoies ta maison et appelle la police pour mener l’enquête ? Dommage !

Bonjour Julio, et merci pour cet excellent article !

J’ai bien fait de passer par là. J’ai au moins appris qu’un repertoire Uploads ne devait JAMAIS contenir de php. Du coup j’ai viré tous les indexphp, chargé un htaccess comme décrit, viré tous les fichiers php inoculés par le plugin Sucuri, et tant pis pour lui ma foi s’il est mal ficelé 🙂

Mon site avait été hacké non pas en juillet mais le w-end du 15 aout. Dans les plugins ci-dessus décrits, je crois me souvenir qu’il y avait alors le SEO de Yoast (viré depuis, je suis revenu à All in One Seo), Contact form 7 (viré aussi), BackWPup (qui n’avait généré que des backups pipés, poubellisé également depuis, retour à WP-DB-Backup) Redirection (4 fois remis à jour et j’espère « débackdoorisé » depuis 🙂 et Jetpack (gardé, mais je n’arrive plus à le lancer depuis que j’ai déménagé & renommé le wp-content, si tu as une piste pour débugguer ça, je prends…) Plus quelques autres que je n’ai pas remis.

Bref, J’ai tout écrasé, arraché, brûlé, labouré et replanté à neuf. Même la DB. Sait-on jamais… Après l’incendie, la pépinière repousse…

Comme mon grand-père dans les tranchées d 14-18, je pourrai dire : ‘j’y étais » 😉

Je vais aller voir du côté de « Plugin Security Checker »…

Merci encore, amicalement,
Michaël

Bonjour,

Je découvre ce blog, bookmarked ! Merci pour ce post. J’ai récemment subit une attaque et j’ai trouvé ces fichiers ci sur mon serveur

https://www.zipshare.com/download/eyJhcmNoaXZlSWQiOiJjYTczMGM5YS0xOTI5LTQ1YzMtODVkNC1mZGZhMjBlMzZkMjAiLCJlbWFpbCI6Im1pY2hhZWwubmVvZGljaW9AZ21haWwuY29tIn0=

Les plugins installés sont ACF, ACF DateTime Picker, Configure SMTP et Mce Table Buttons.
Avant ça j’ai eu énormément de tentatives d’inscriptions sur mon site et des mails provenants du formulaire de contact avec du php dans le champs message.

Si ça peut aider quelqu’un…

Michaël

Salut.

J’arrive tard mais c’est maintenant que la guerre commence pour moi..
Vincent, comment as tu fais pour supprimer ton dossier wysija dans ‘upload’? Caar moi il revient instantanement..
Merci d’avance.

Cyril, qui pleure sa maman….:(

C’est un peu comme de dire : Jeune au lieu de voyou. Un voyou n’est pas forcément un jeune et un jeune n’est pas forcément un voyou !

Salut a tous.
Voilà j’ai suis actuellement infecté j’ai peut être réussi a retrouver le gar ^^
Et oui l’abruti a mis des redirection avec des liens d’affiliation ou il a mis comme pseudo sont nom et prénom tout attaché du coup on peut retrouver le gars sur internet sur viadeo et sur facebook il s’agit bien du même mec et bizarrement il est a l’aise dans la gestion et la programmation de site web …
Pensez vous que je pourrais porter plainte contre lui ?
Cela mèneras t- il a quelque chose ?

A mon avis ça n’a aucun poids, les liens peuvent avoir été mis par une autre personne.

vous devriez plutot utiliser
php_flag engine off

car si un petit malin upload un fichier .PHP en majuscules ou avec un mélange, sur un systeme case sensitive type linux, il est possible que ça ignore le patern file…..

Laisser un commentaire