Comment vérifier, supprimer et empêcher les logiciels malveillants de votre site WordPress

Cette semaine a été assez chargée. L’une des organisations à but non lucratif que je connais s’est retrouvée dans une situation difficile – son site WordPress était infecté par des logiciels malveillants. Le site a été piraté et des scripts ont été exécutés sur les visiteurs qui ont fait deux choses différentes :

1. J’ai essayé d’infecter Microsoft Windows avec malware.
2. Redirigé tous les utilisateurs vers un site qui utilisait JavaScript pour exploiter le PC du visiteur pour miner la crypto-monnaie.

J’ai découvert que le site avait été piraté lorsque je l’ai visité après avoir cliqué sur leur dernière newsletter et je les ai immédiatement informés de ce qui se passait. Malheureusement, il s’agissait d’une attaque assez agressive que j’ai pu supprimer mais qui a immédiatement réinfecté le site lors de sa mise en ligne. Il s’agit d’une pratique assez courante chez les pirates malveillants – non seulement ils piratent le site, mais ils ajoutent également un utilisateur administratif au site ou modifient un fichier WordPress principal qui réinjecte le piratage s’il est supprimé.

Les logiciels malveillants sont un problème récurrent sur le Web. Les logiciels malveillants sont utilisés pour gonfler les taux de clics sur les publicités (fraude publicitaire), gonfler les statistiques du site pour surcharger les annonceurs, essayer d’accéder aux données financières et personnelles des visiteurs et, plus récemment, pour exploiter la crypto-monnaie. Les mineurs sont bien payés pour les données minières, mais le coût de construction des machines minières et de paiement des factures d’électricité est important. En exploitant secrètement des ordinateurs, les mineurs peuvent gagner de l’argent sans frais.

WordPress et d’autres plates-formes courantes sont d’énormes cibles pour les pirates car ils sont à la base de tant de sites sur le Web. De plus, WordPress a une architecture de thème et de plug-in qui ne protège pas les fichiers principaux du site contre les failles de sécurité. De plus, la communauté WordPress est remarquable pour identifier et corriger les failles de sécurité, mais les propriétaires de sites ne sont pas aussi vigilants quant à la mise à jour de leur site avec les dernières versions.

Ce site particulier a été hébergé sur l’hébergement Web traditionnel de GoDaddy (et non Hébergement WordPress géré), qui n’offre aucune protection. Bien sûr, ils offrent un Scanner de logiciels malveillants et suppression service, cependant. Sociétés d’hébergement WordPress gérées telles que Volant, Moteur WP, LiquidWebGoDaddy et Panthéon tous offrent des mises à jour automatisées pour maintenir vos sites à jour lorsque des problèmes sont identifiés et corrigés. La plupart ont une analyse des logiciels malveillants et des thèmes et plugins sur liste noire pour aider les propriétaires de sites à prévenir un piratage. Certaines entreprises vont plus loin – Kinsta – un hébergeur WordPress infogéré hautes performances – propose même un garantie de sécurité.

De plus, l’équipe de Jet pack offre un excellent service pour vérifier automatiquement votre site à la recherche de logiciels malveillants et d’autres vulnérabilités au quotidien. C’est une solution idéale si vous hébergez WordPress sur votre propre infrastructure.

Vous pouvez également utiliser un tiers abordable service d’analyse de logiciels malveillants Comme Analyseurs de sitesqui analysera votre site quotidiennement et vous indiquera si vous êtes ou non sur la liste noire des services de surveillance actifs des logiciels malveillants.

Votre site est-il sur la liste noire des logiciels malveillants :

Il existe de nombreux sites en ligne qui font la promotion vérification votre site à la recherche de logiciels malveillants, mais gardez à l’esprit que la plupart d’entre eux ne vérifient pas du tout votre site en temps réel. L’analyse des logiciels malveillants en temps réel nécessite un outil d’exploration tiers qui ne peut pas fournir de résultats instantanément. Les sites qui fournissent une vérification instantanée sont des sites qui ont précédemment découvert que votre site contenait des logiciels malveillants. Certains des sites de vérification des logiciels malveillants sur le Web sont :

• Rapport de transparence Google – si votre site est enregistré auprès de Webmasters, ils vous alerteront immédiatement lorsqu’ils exploreront votre site et y trouveront des logiciels malveillants.
• Norton Safe Web – Norton exploite également des plugins de navigateur Web et un logiciel de système d’exploitation qui empêcheront les utilisateurs d’ouvrir votre page le soir s’ils l’ont mise sur liste noire. Les propriétaires de sites Web peuvent s’inscrire sur le site et demander que leur site soit réévalué une fois qu’il sera nettoyé.
• Jus – Sucuri tient à jour une liste des sites malveillants ainsi qu’un rapport indiquant où ils ont été mis sur liste noire. Si votre site est nettoyé, vous verrez un Forcer une nouvelle analyse lien sous la liste (en très petits caractères). Sucuri a un plugin exceptionnel qui détecte les problèmes… et vous pousse ensuite dans un contrat annuel pour les supprimer.
• Yandex – si vous recherchez Yandex pour votre domaine et voyez «Selon Yandex, ce site pourrait être dangereux », vous pouvez vous inscrire aux webmasters Yandex, ajouter votre site, naviguer vers Sécurité et infractionset demandez que votre site soit effacé.
• Phishtank – Certains pirates placeront des scripts de phishing sur votre site, ce qui peut faire en sorte que votre domaine soit répertorié comme domaine de phishing. Si vous entrez l’URL exacte et complète de la page du logiciel malveillant signalé dans Phishtank, vous pouvez vous inscrire auprès de Phishtank et voter pour déterminer s’il s’agit vraiment d’un site de phishing.

À moins que votre site ne soit enregistré et que vous ayez un compte de surveillance quelque part, vous obtiendrez probablement un rapport d’un utilisateur de l’un de ces services. N’ignorez pas l’alerte… même si vous ne voyez pas de problème, les faux positifs se produisent rarement. Ces problèmes peuvent entraîner la désindexation de votre site des moteurs de recherche et le blocage des navigateurs. Pire encore, vos clients potentiels et vos clients existants peuvent se demander avec quel type d’organisation ils travaillent.

Comment recherchez-vous les logiciels malveillants ?

Plusieurs des entreprises ci-dessus expliquent à quel point il est difficile de trouver des logiciels malveillants, mais ce n’est pas si difficile. La difficulté est en fait de comprendre comment il est entré dans votre site ! Le code malveillant se trouve le plus souvent dans :

• Entretien – Avant toute chose, pointez-le vers un page d’entretien et sauvegardez votre site. N’utilisez pas la maintenance par défaut de WordPress ou un plugin de maintenance car ceux-ci exécuteront toujours WordPress sur le serveur. Vous voulez vous assurer que personne n’exécute de fichier PHP sur le site. Pendant que vous y êtes, vérifiez votre .htaccess fichier sur le serveur Web pour s’assurer qu’il ne contient pas de code malveillant susceptible de rediriger le trafic.
• Chercher les fichiers de votre site via SFTP ou FTP et identifiez les dernières modifications de fichiers dans les plugins, les thèmes ou les fichiers principaux de WordPress. Ouvrez ces fichiers et recherchez les modifications qui ajoutent des scripts ou des commandes Base64 (utilisées pour masquer l’exécution du script serveur).
• Comparer les fichiers principaux de WordPress dans votre répertoire racine, votre répertoire wp-admin et vos répertoires wp-include pour voir s’il existe de nouveaux fichiers ou des fichiers de taille différente. Dépannez chaque fichier. Même si vous trouvez et supprimez un piratage, continuez à chercher car de nombreux pirates laissent des portes dérobées pour réinfecter le site. Ne vous contentez pas d’écraser ou de réinstaller WordPress… les pirates ajoutent souvent des scripts malveillants dans le répertoire racine et appellent le script d’une autre manière pour injecter le hack. Les scripts malveillants moins complexes insèrent généralement simplement des fichiers de script dans header.php ou footer.php. Des scripts plus complexes modifieront en fait chaque fichier PHP sur le serveur avec du code de réinjection afin que vous ayez du mal à le supprimer.
• Retirer des scripts publicitaires tiers qui peuvent en être la source. J’ai refusé d’appliquer de nouveaux réseaux publicitaires lorsque j’ai lu qu’ils avaient été piratés en ligne.
• Vérifier votre table de base de données de messages pour les scripts intégrés dans le contenu de la page. Vous pouvez le faire en effectuant des recherches simples à l’aide de PHPMyAdmin et en recherchant les URL de requête ou les balises de script.

Avant de mettre votre site en ligne… il est maintenant temps de durcir votre site pour éviter une réinjection immédiate ou un nouveau piratage :

Comment empêcher que votre site soit piraté et que des logiciels malveillants soient installés ?

• Vérifier chaque utilisateur du site Web. Les pirates injectent souvent des scripts qui ajoutent un utilisateur administratif. Supprimez tous les comptes anciens ou inutilisés et réattribuez leur contenu à un utilisateur existant. Si vous avez un utilisateur nommé administrateurajoutez un nouvel administrateur avec une connexion unique et supprimez complètement le compte administrateur.
• Réinitialiser le mot de passe de chaque utilisateur. De nombreux sites sont piratés parce qu’un utilisateur a utilisé un simple mot de passe qui a été deviné lors d’une attaque, permettant à quelqu’un d’accéder à WordPress et de faire ce qu’il veut.
• Désactiver la possibilité de modifier des plugins et des thèmes via WordPress Admin. La possibilité de modifier ces fichiers permet à tout pirate informatique de faire de même s’il y a accès. Rendez les fichiers principaux de WordPress non inscriptibles afin que les scripts ne puissent pas réécrire le code principal. Tout en un a un très bon plugin qui fournit WordPress durcissement avec une tonne de fonctionnalités.
• Manuellement téléchargez et réinstallez les dernières versions de chaque plugin dont vous avez besoin et supprimez tous les autres plugins. Supprimez absolument les plugins administratifs qui donnent un accès direct aux fichiers du site ou à la base de données, ceux-ci sont particulièrement dangereux.
• Retirer et remplacez tous les fichiers de votre répertoire racine à l’exception du dossier wp-content (donc root, wp-includes, wp-admin) par une nouvelle installation de WordPress téléchargée directement depuis leur site.
• Différence – Vous pouvez également souhaiter faire un diff entre une sauvegarde de votre site lorsque vous n’aviez pas de malware et le site actuel… cela vous aidera à voir quels fichiers ont été modifiés et quelles modifications ont été apportées. Diff est une fonction de développement qui compare les répertoires et les fichiers et vous fournit une comparaison entre les deux. Avec le nombre de mises à jour apportées aux sites WordPress, ce n’est pas toujours la méthode la plus simple, mais parfois le code malveillant se démarque vraiment.
• Maintenir votre site! Le site sur lequel j’ai travaillé ce week-end avait une ancienne version de WordPress avec des failles de sécurité connues, d’anciens utilisateurs qui ne devraient plus y avoir accès, d’anciens thèmes et d’anciens plugins. Cela aurait pu être l’un d’entre eux qui a ouvert l’entreprise au piratage. Si vous ne pouvez pas vous permettre de maintenir votre site, assurez-vous de le transférer vers une société d’hébergement géré qui le fera ! Dépenser quelques dollars de plus en hébergement aurait pu sauver cette entreprise de cet embarras.

Une fois que vous pensez que tout est réparé et renforcé, vous pouvez remettre le site en ligne en supprimant le .htaccess réorienter. Dès qu’il est en direct, recherchez la même infection qui s’y trouvait auparavant. J’utilise généralement les outils d’inspection d’un navigateur pour surveiller les demandes de réseau par la page. Je traque chaque requête réseau pour m’assurer qu’il ne s’agit pas d’un logiciel malveillant ou mystérieux… si c’est le cas, je reviens au début et recommence les étapes.

N’oubliez pas qu’une fois votre site nettoyé, il ne sera pas automatiquement supprimé des listes noires. Vous devez contacter chacun et faire la demande selon notre liste ci-dessus.

Se faire pirater comme ça n’est pas amusant. Les entreprises facturent plusieurs centaines de dollars pour supprimer ces menaces. J’ai travaillé pas moins de 8 heures pour aider cette entreprise à nettoyer son site.