Nettoyer un Wordpress piraté

De Aide Monarobase
Aller à : navigation, rechercher

Procédure pour nettoyer un blog Wordpress qui a été piraté

Introduction

Si vous utilisez admin comme identifiant ou si vous n'utilisez pas de protection pour limiter les tentatives de connexion à votre blog Wordpress, il est possible que celui-ci se fasse pirater. En effet, si un pirate peu faire autant de tentatives qu'il le souhaite il peut trouver votre mot de passe admin puis éditer directement les fichiers PHP de votre compte. Si vous lisez ceci alors que votre blog n'a pas été piraté, vérifiez tout de suite que votre utilisateur wordpress n'est pas admin et installez l'extension « limit login attempts ».

Cette méthode de piratage est la plus utilisée puisqu'elle est facile à réaliser. Il existe d'autres méthodes, c'est pour cela qu'il est impératif de mettre à jour régulièrement votre thème, vos extensions et votre installation de wordpress. Si vous utilisez un thème qui n'est plus mis à jour, désactivez-le puis supprimez le de votre compte FTP.

Étape 1 : Sauvegardez votre site

La première étape est de sauvegarder votre base de données et tous les fichiers de votre site. Vous aurez besoin de la sauvegarde des fichiers pour restaurer vos fichiers média.

Étape 2 : Supprimez tous les fichiers (sauf votre fichier .htaccess), de votre installation wordpress

Connectez-vous à votre compte FTP, sélectionnez tous les fichiers dans le dossier qui contient votre installation de Wordpress, sauf votre fichier .htaccess

Étape 3 : Téléchargez la dernière version française sur wordpress-fr.org

Téléchargez puis décompressez la dernière version stable de wordpress sur wordpress-fr.org

Étape 4 : Envoyez les fichiers de wordpress

Envoyez dans votre dossier de votre site wordpress tous les fichiers contenus dans le dossier wordpress de la version de wordpress que vous venez de télécharger et décompresser.

Étape 5 : Réstaurez vos fichiers média

Dans votre sauvegarde de votre site wordpress que vous avez fait avant de commencer cette procédure allez dans le dossier wp-content/uploads

Allez dans chaque dossier et assurez-vous qu'il n'y ait aucun fichier qui ne devrait pas y être (il ne doit pas y avoir de fichier .php, .cgi, .pl, sans extension… ), il ne doit y avoir que des fichiers images et peut-être des vidéos.

Une fois que vous aurez tout vérifié, envoyez tout ce dossier (le dossier uplaods inclu) dans le dossier wp-content qui se trouve dans le dossier de votre site sur le serveur FTP.

Étape 6 : Configurez Wordpress

  • Renommez votre fichier wp-config-sample.php en wp-config.php
  • Ouvrez ce fichier dans un éditeur de texte

Cherchez les lignes suivantes :

// ** Réglages MySQL - Votre hébergeur doit vous fournir ces informations. ** //
/** Nom de la base de données de WordPress. */
define('DB_NAME', 'votre_nom_de_bdd');

/** Utilisateur de la base de données MySQL. */
define('DB_USER', 'votre_utilisateur_de_bdd');

/** Mot de passe de la base de données MySQL. */
define('DB_PASSWORD', 'votre_mdp_de_bdd');

Vous devez renseigner votre nom de base de données, votre utilisateur de base de données et mot de passe de base de données. Pensez à supprimer votre utilisateur de base de données puis le recréer avec un nouveau mot de passe différent de celui déjà existant.

Ensuite plus bas dans ce fichier, vous devez chercher les lignes suivantes :

 * Clefs uniques d'authentification et salage.
 *
 * Remplacez les valeurs par défaut par des phrases uniques !
 * Vous pouvez générer des phrases aléatoires en utilisant 
 * {@link https://api.wordpress.org/secret-key/1.1/salt/ le service de clefs secrètes de WordPress.org}.
 * Vous pouvez modifier ces phrases à n'importe quel moment, afin d'invalider tous les cookies existants.
 * Cela forcera également tous les utilisateurs à se reconnecter.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         'put your unique phrase here'); 
define('SECURE_AUTH_KEY',  'put your unique phrase here'); 
define('LOGGED_IN_KEY',    'put your unique phrase here'); 
define('NONCE_KEY',        'put your unique phrase here'); 
define('AUTH_SALT',        'put your unique phrase here'); 
define('SECURE_AUTH_SALT', 'put your unique phrase here'); 
define('LOGGED_IN_SALT',   'put your unique phrase here'); 
define('NONCE_SALT',       'put your unique phrase here');

Vous devez copier l'URL donnée dans votre navigateur (l'URL dans cet exemple est https://api.wordpress.org/secret-key/1.1/salt/).

Ensuite vous devez remplacer les lignes salt (commençant par define) par les lignes générées.

Finalement, vous devez, si vous n'utilisez pas la préfixe de table par défaut (wp_) chercher les lignes :

/**
 * Préfixe de base de données pour les tables de WordPress.
 *
 * Vous pouvez installer plusieurs WordPress sur une seule base de données
 * si vous leur donnez chacune un préfixe unique. 
 * N'utilisez que des chiffres, des lettres non accentuées, et des caractères soulignés!
 */
$table_prefix  = 'wp_';

Et remplacer wp_ par votre préfixe.

Étape 7 : Téléchargez et remettez les fichiers de vos plugins et thème

Téléchargez sur les sites officiels tous vos plug-in et votre thème.

Étape 8 : Lancez la mise à jour de la base de données Wordpress

Rendez vous à l'URL votresite.ext/wp-admin/upgrade.php puis cliquez sur « Continuer »

Étape 9 : Changez le thème

Connectez-vous à votre espace administration Wordpress, allez dans le menu apparence et sélectionnez un thème qui n'a pas déjà été sélectionné. Normalement vous devez en avoir deux par défaut (actuellement Twenty Ten et Twenty Eleven), si vous n'en avez pas deux, dupliquez simplement le thème existant sur le FTP (dupliquez les fichiers et renommer le dossier du thème).

Votre site doit maintenant fonctionner.

Étape 10 : Changez tous les identifiants de tous vos utilisateurs

Vous devez maintenant changer tous les identifiants de tous vos utilisateurs, sans exception. Si un utilisateur a le nom d'utilisateur "admin" renommez cet utilisateur dans votre base de données (table wp_users).

Étape 11 : Réinstallez vos extensions et votre thème

Commencez par chercher l'extension « Limit login attempts », installez cette extension puis cherchez et réinstallez chaque extension que vous utilisiez avant. Vérifiez bien, avant d'installer chaque extension qu'elle est bien mise à jour régulièrement. Ne réinstallez pas les extensions provenant de votre dossier de sauvegarde !

Téléchargez la dernière version de votre thème sur le site de l'éditeur de votre thème. Si elle n'a pas été mise à jour depuis plus de 6 mois, pensez à changer de thème.

Conclusion

Wordpress est un bon outil de gestion de contenu, qui lorsqu'il est mis à jour régulièrement est assez sécurisé.

Dans cet article, nous sommes passés assez rapidement sur certains points que nous estimons qu'un utilisateur chevronné de Wordpress doit savoir faire. N'hésitez pas à nous contacter si vous bloquez sur un point du tutoriel, cela est normal si vous êtes un utilisateur débutant.