Comment trouver une porte dérobée dans un site WordPress piraté et la réparer

Publié: 2022-03-15

Votre site WordPress a été piraté ?

Les pirates installent souvent une porte dérobée pour s'assurer qu'ils peuvent revenir même après avoir sécurisé votre site Web. À moins que vous ne puissiez supprimer cette porte dérobée, rien ne les arrête.

Dans cet article, nous allons vous montrer comment trouver une porte dérobée dans un site WordPress piraté et la réparer.

How to Find a Backdoor in a Hacked WordPress Site and Fix It

Comment savoir si votre site Web a été piraté

Si vous utilisez un site Web WordPress, vous devez prendre la sécurité au sérieux. En effet, les sites Web sont attaqués en moyenne 44 fois par jour.

Vous pouvez apprendre les meilleures pratiques pour assurer la sécurité de votre site dans notre guide de sécurité WordPress ultime.

Mais que faire si votre site a déjà été piraté ?

Certains signes que votre site WordPress a été piraté incluent une baisse du trafic ou des performances du site Web, l'ajout de mauvais liens ou de fichiers inconnus, une page d'accueil dégradée, une incapacité à se connecter, de nouveaux comptes d'utilisateurs suspects, etc.

Nettoyer un site Web piraté peut être incroyablement pénible et difficile. Nous vous expliquons étape par étape le processus dans notre guide du débutant pour réparer votre site WordPress piraté. Vous devez également vous assurer d'analyser votre site à la recherche de tout logiciel malveillant laissé par les pirates.

Et n'oubliez pas de fermer la porte dérobée.

Un pirate intelligent sait que vous finirez par nettoyer votre site Web. La première chose qu'ils pourraient faire est d'installer une porte dérobée, afin qu'ils puissent se faufiler après avoir sécurisé la porte d'entrée de votre site Web WordPress.

Qu'est-ce qu'une porte dérobée ?

Une porte dérobée est un code ajouté à un site Web qui permet à un pirate d'accéder au serveur tout en restant non détecté et en contournant la connexion normale. Il permet à un pirate de retrouver l'accès même après avoir trouvé et supprimé le plugin exploité ou la vulnérabilité de votre site Web.

Les portes dérobées sont la prochaine étape d'un piratage après que l'utilisateur est entré par effraction. Vous pouvez apprendre comment ils ont pu faire cela dans notre guide sur la façon dont les sites WordPress sont piratés et comment l'empêcher.

Les portes dérobées survivent souvent aux mises à jour de WordPress. Cela signifie que votre site restera vulnérable jusqu'à ce que vous trouviez et corrigiez chaque porte dérobée.

Comment fonctionnent les portes dérobées ?

Certaines portes dérobées sont simplement des noms d'utilisateur cachés pour les administrateurs. Ils laissent le pirate se connecter normalement en saisissant un nom d'utilisateur et un mot de passe. Étant donné que le nom d'utilisateur est masqué, vous ne savez même pas que quelqu'un d'autre a accès à votre site Web.

Des portes dérobées plus complexes peuvent permettre au pirate d'exécuter du code PHP. Ils envoient manuellement le code à votre site Web à l'aide de leur navigateur Web.

D'autres ont une interface utilisateur à part entière qui leur permet d'envoyer des e-mails en tant que serveur d'hébergement WordPress, d'exécuter des requêtes de base de données SQL, et bien plus encore.

Certains pirates laisseront plus d'un fichier de porte dérobée. Après en avoir téléchargé un, ils en ajouteront un autre pour garantir leur accès.

Où sont cachées les portes dérobées ?

Dans tous les cas que nous avons trouvés, la porte dérobée était déguisée pour ressembler à un fichier WordPress. Le code des portes dérobées sur un site WordPress est le plus souvent stocké aux emplacements suivants :

  1. Un thème WordPress , mais probablement pas celui que vous utilisez actuellement. Le code d'un thème n'est pas écrasé lorsque vous mettez à jour WordPress, c'est donc un bon endroit pour mettre une porte dérobée. C'est pourquoi nous vous recommandons de supprimer tous les thèmes inactifs.
  2. Les plugins WordPress sont un autre bon endroit pour cacher une porte dérobée. Comme les thèmes, ils ne sont pas écrasés par les mises à jour de WordPress, et de nombreux utilisateurs hésitent à mettre à jour les plugins.
  3. Le dossier de téléchargement peut contenir des centaines ou des milliers de fichiers multimédias, c'est donc un autre bon endroit pour cacher une porte dérobée. Les blogueurs ne vérifient presque jamais son contenu car ils téléchargent simplement une image et l'utilisent ensuite dans un article.
  4. Le fichier wp-config.php contient des informations sensibles utilisées pour configurer WordPress. C'est l'un des fichiers les plus ciblés par les pirates.
  5. Le dossier wp-includes contient les fichiers PHP nécessaires au bon fonctionnement de WordPress. C'est un autre endroit où nous trouvons des portes dérobées, car la plupart des propriétaires de sites Web ne vérifient pas ce que contient le dossier.

Exemples de portes dérobées que nous avons trouvées

Voici quelques exemples d'endroits où les pirates ont téléchargé des portes dérobées. Sur un site que nous avons nettoyé, la porte dérobée se trouvait dans le dossier wp-includes . Le fichier s'appelait wp-user.php , ce qui semble assez innocent, mais ce fichier n'existe pas réellement dans une installation WordPress normale.

Dans un autre cas, nous avons trouvé un fichier PHP nommé hello.php dans le dossier des téléchargements. Il était déguisé en plugin Hello Dolly. Ce qui est étrange, c'est que le pirate l'a placé dans le dossier des téléchargements au lieu du dossier des plugins.

Nous avons également trouvé des portes dérobées qui n'utilisent pas l'extension de fichier .php . Un exemple était un fichier nommé wp-content.old.tmp , et nous avons également trouvé des portes dérobées dans des fichiers avec une extension .zip .

Comme vous pouvez le voir, les pirates peuvent adopter des approches très créatives lorsqu'ils cachent une porte dérobée.

Dans la plupart des cas, les fichiers ont été encodés avec du code Base64 qui peut effectuer toutes sortes d'opérations. Par exemple, ils peuvent ajouter des liens de spam, ajouter des pages supplémentaires, rediriger le site principal vers des pages de spam, etc.

Cela dit, voyons comment trouver une porte dérobée dans un site WordPress piraté et la réparer.

Comment trouver une porte dérobée dans un site WordPress piraté et la réparer

Vous savez maintenant ce qu'est une porte dérobée et où elle peut être cachée. Le plus difficile est de le trouver ! Après cela, le nettoyer est aussi simple que de supprimer le fichier ou le code.

1. Rechercher un code potentiellement malveillant

Le moyen le plus simple d'analyser votre site Web à la recherche de portes dérobées et de vulnérabilités consiste à utiliser un plug-in de scanner de logiciels malveillants WordPress. Nous recommandons Securi car il nous a aidé à bloquer 450 000 attaques WordPress en 3 mois, dont 29 690 attaques liées à des portes dérobées.

Ils proposent un plugin Sucuri Security gratuit pour WordPress qui vous permet d'analyser votre site Web à la recherche de menaces courantes et de renforcer votre sécurité WordPress. La version payante comprend un scanner côté serveur qui s'exécute une fois par jour et recherche les portes dérobées et autres problèmes de sécurité.

Apprenez-en plus dans notre guide sur la façon d'analyser votre site WordPress à la recherche de code potentiellement malveillant.

2. Supprimez votre dossier Plugins

La recherche dans vos dossiers de plugins à la recherche de fichiers et de codes suspects prend du temps. Et parce que les pirates sont si sournois, il n'y a aucune garantie que vous trouverez une porte dérobée.

La meilleure chose à faire est de supprimer votre répertoire de plugins, puis de réinstaller vos plugins à partir de zéro. C'est le seul moyen de savoir avec certitude qu'il n'y a pas de backdoors dans vos plugins.

Vous pouvez accéder à votre répertoire de plugins à l'aide d'un client FTP ou du gestionnaire de fichiers de votre hébergeur WordPress. Si vous n'avez jamais utilisé FTP auparavant, vous voudrez peut-être consulter notre guide sur la façon d'utiliser FTP pour télécharger des fichiers sur WordPress.

Vous devrez utiliser le logiciel pour accéder au dossier wp-content de votre site Web. Une fois là-bas, vous devez faire un clic droit sur le dossier des plugins et sélectionner "Supprimer".

Delete Your Plugins Folder

3. Supprimez votre dossier de thèmes

De la même manière, au lieu de passer du temps à chercher une porte dérobée parmi vos fichiers de thèmes, mieux vaut simplement les supprimer.

Après avoir supprimé votre dossier de plugin , mettez simplement en surbrillance le dossier des themes et supprimez-le de la même manière.

Vous ne savez pas s'il y avait une porte dérobée dans ce dossier, mais s'il y en avait une, elle a disparu maintenant. Vous venez de gagner du temps et vous avez éliminé un point d'attaque supplémentaire.

Vous pouvez maintenant réinstaller tous les thèmes dont vous avez besoin.

4. Recherchez le dossier Uploads pour les fichiers PHP

Ensuite, vous devriez jeter un coup d'œil dans le dossier des uploads et vous assurer qu'il n'y a pas de fichiers PHP à l'intérieur.

Il n'y a aucune bonne raison pour qu'un fichier PHP se trouve dans ce dossier car il est conçu pour stocker des fichiers multimédias tels que des images. Si vous y trouvez un fichier PHP, supprimez-le.

Comme les dossiers plugins et themes , vous trouverez le dossier uploads dans le dossier wp-content . Dans le dossier, vous trouverez plusieurs dossiers pour chaque année et mois où vous avez téléchargé des fichiers. Vous devrez vérifier chaque dossier pour les fichiers PHP.

Certains clients FTP proposent des outils qui recherchent le dossier de manière récursive. Par exemple, si vous utilisez FileZilla, vous pouvez cliquer avec le bouton droit sur le dossier et sélectionner "Ajouter des fichiers à la file d'attente". Tous les fichiers trouvés dans les sous-répertoires du dossier seront ajoutés à la file d'attente dans le volet inférieur.

Make Sure There Are No PHP Files in the Uploads Folder

Vous pouvez maintenant faire défiler la liste à la recherche de fichiers avec l'extension .php.

Alternativement, les utilisateurs avancés qui connaissent SSH peuvent écrire la commande suivante : 

find uploads -name "*.php" -print

5. Supprimez le fichier .htaccess

Certains pirates peuvent ajouter des codes de redirection à votre fichier .htaccess qui enverront vos visiteurs vers un autre site Web.

À l'aide d'un client FTP ou d'un gestionnaire de fichiers, supprimez simplement le fichier du répertoire racine de votre site Web et il sera recréé automatiquement.

Delete the .htaccess File

Si, pour une raison quelconque, il n'est pas recréé, vous devez vous rendre dans Paramètres » Liens permanents dans votre panneau d'administration WordPress. Cliquez sur le bouton "Enregistrer les modifications" pour enregistrer un nouveau fichier .htaccess.

Recreate the .htaccess File if Necessary

6. Vérifiez le fichier wp-config.php

Le fichier wp-config.php est un fichier principal de WordPress qui contient des informations permettant à WordPress de communiquer avec la base de données, les clés de sécurité de votre installation WordPress et les options de développement.

Le fichier se trouve dans le dossier racine de votre site Web. Vous pouvez afficher le contenu du fichier en sélectionnant les options Ouvrir ou Modifier dans votre client FTP.

Look for Anything Out of Place in the wp-config.php File

Maintenant, vous devriez regarder attentivement le contenu du fichier pour voir s'il y a quelque chose qui semble déplacé. Il peut être utile de comparer le fichier avec le fichier wp-config-sample.php qui se trouve dans le même dossier.

Vous devez supprimer tout code dont vous êtes certain qu'il n'appartient pas.

7. Restaurer une sauvegarde de site Web

Si vous avez effectué des sauvegardes régulières de votre site Web et que vous craignez toujours que votre site Web ne soit pas complètement propre, la restauration d'une sauvegarde est une bonne solution.

Vous devrez supprimer complètement votre site Web, puis restaurer une sauvegarde effectuée avant le piratage de votre site Web. Ce n'est pas une option pour tout le monde, mais cela vous laissera 100% sûr que votre site est sûr.

Pour plus d'informations, consultez notre guide du débutant sur la restauration de WordPress à partir d'une sauvegarde.

Comment prévenir les piratages à l'avenir ?

Maintenant que vous avez nettoyé votre site Web, il est temps d'améliorer la sécurité de votre site pour éviter les piratages à l'avenir. Il ne vaut pas la peine d'être bon marché ou apathique en matière de sécurité de site Web.

1. Sauvegardez régulièrement votre site Web

Si vous ne faites pas déjà de sauvegardes régulières de votre site Web, c'est aujourd'hui qu'il faut commencer.

WordPress n'est pas livré avec une solution de sauvegarde intégrée. Cependant, il existe plusieurs excellents plugins de sauvegarde WordPress qui vous permettent de sauvegarder et de restaurer automatiquement votre site Web WordPress.

UpdraftPlus est l'un des meilleurs plugins de sauvegarde WordPress. Il vous permet de configurer des calendriers de sauvegarde automatiques et vous aidera à restaurer votre site WordPress en cas de problème.

Apprenez-en plus dans notre guide sur la sauvegarde et la restauration de votre site WordPress avec UpdraftPlus.

Back Up Your Website With UpdraftPlus

2. Installez un plugin de sécurité

Vous ne pouvez pas surveiller tout ce qui se passe sur votre site Web lorsque vous êtes occupé à travailler sur votre entreprise. C'est pourquoi nous vous recommandons d'utiliser un plugin de sécurité comme Sucuri.

Nous recommandons Sucuri car ils sont bons dans ce qu'ils font. De grandes publications comme CNN, USA Today, PC World, TechCrunch, The Next Web et d'autres sont d'accord. De plus, nous comptons dessus nous-mêmes pour assurer la sécurité de WPBeginner.

3. Rendre la connexion WordPress plus sécurisée

Il est également important que vous rendiez votre connexion WordPress plus sécurisée. La meilleure façon de commencer est d'imposer l'utilisation de mots de passe forts lorsque les utilisateurs créent un compte sur votre site Web. Nous vous recommandons également de commencer à utiliser un utilitaire de gestion de mots de passe comme 1Password.

La prochaine chose que vous devriez faire est d'ajouter une authentification à deux facteurs. Cela protégera votre site Web contre les mots de passe volés et les attaques par force brute. Cela signifie que même si un pirate connaît votre nom d'utilisateur et votre mot de passe, il ne pourra toujours pas se connecter à votre site Web.

Enfin, vous devez limiter les tentatives de connexion dans WordPress. WordPress permet aux utilisateurs de saisir des mots de passe autant de fois qu'ils le souhaitent. Le verrouillage d'un utilisateur après cinq tentatives de connexion infructueuses réduira considérablement les chances d'un pirate informatique de découvrir vos informations de connexion.

4. Protégez votre zone d'administration WordPress

La protection de la zone d'administration contre les accès non autorisés vous permet de bloquer de nombreuses menaces de sécurité courantes. Nous avons une longue liste de conseils sur la façon dont vous pouvez protéger l'administrateur WordPress.

Par exemple, vous pouvez protéger par mot de passe le répertoire wp-admin. Cela ajoute une autre couche de protection au point d'entrée le plus important de votre site Web.

Vous pouvez également limiter l'accès à la zone d'administration aux adresses IP utilisées par votre équipe. C'est une autre façon de verrouiller les pirates qui découvrent votre nom d'utilisateur et votre mot de passe.

5. Désactiver les éditeurs de thèmes et de plugins

Saviez-vous que WordPress est livré avec un éditeur de thèmes et de plugins intégré ? Cet éditeur de texte brut vous permet de modifier vos fichiers de thème et de plugin directement depuis le tableau de bord WordPress.

Bien que cela soit utile, cela peut entraîner des problèmes de sécurité potentiels. Par exemple, si un pirate s'introduit dans votre zone d'administration WordPress, il peut utiliser l'éditeur intégré pour accéder à toutes vos données WordPress.

Après cela, ils pourront distribuer des logiciels malveillants ou lancer des attaques DDoS depuis votre site Web WordPress.

Pour améliorer la sécurité de WordPress, nous vous recommandons de supprimer complètement les éditeurs de fichiers intégrés.

6. Désactiver l'exécution PHP dans certains dossiers WordPress

Par défaut, les scripts PHP peuvent être exécutés dans n'importe quel dossier de votre site Web. Vous pouvez rendre votre site Web plus sûr en désactivant l'exécution de PHP dans les dossiers qui n'en ont pas besoin.

Par exemple, WordPress n'a jamais besoin d'exécuter le code stocké dans votre dossier de uploads . Si vous désactivez l'exécution de PHP pour ce dossier, un pirate ne pourra pas exécuter une porte dérobée même s'il en a téléchargé une avec succès.

7. Gardez votre site Web à jour

Chaque nouvelle version de WordPress est plus sûre que la précédente. Chaque fois qu'une vulnérabilité de sécurité est signalée, l'équipe principale de WordPress travaille avec diligence pour publier une mise à jour qui résout le problème.

Cela signifie que si vous ne maintenez pas WordPress à jour, vous utilisez un logiciel avec des vulnérabilités de sécurité connues. Les pirates peuvent rechercher des sites Web exécutant l'ancienne version et utiliser la vulnérabilité pour y accéder.

C'est pourquoi vous devez toujours utiliser la dernière version de WordPress.

Ne vous contentez pas de maintenir WordPress à jour. Vous devez vous assurer que vous maintenez également vos plugins et thèmes WordPress à jour.

Nous espérons que ce didacticiel vous a aidé à trouver et à réparer une porte dérobée dans un site Web WordPress piraté. Vous voudrez peut-être également apprendre à déplacer WordPress de HTTP à HTTPS, ou consulter notre liste d'erreurs WordPress et comment les corriger.

Si vous avez aimé cet article, veuillez vous abonner à notre chaîne YouTube pour les didacticiels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.