[WordPress] Netoyage après un hacking

Comment puis je nettoyer mon site sous wordpress, qui semble avoir été piraté ?

 - Signes d'un piratage WordPress

- Comportement étrange du site, comme des redirections inattendues ou des pages qui ne s'affichent pas correctement
- Augmentation soudaine du trafic, notamment sur des pages inconnues
- Scripts malveillants détectés par votre hébergeur, comme dans votre cas

 -  Actions à entreprendre

  -- Sécuriser le site


- Changez immédiatement tous les mots de passe (WordPress, FTP, base de données)
- Mettez à jour WordPress, tous les thèmes et extensions vers les dernières versions
- Désactivez et supprimez les thèmes/extensions non utilisés ou suspects

  -- Nettoyer l'infection

- Scannez votre site avec un outil de sécurité WordPress pour détecter les fichiers malveillants
- Vérifiez les fichiers principaux de WordPress (wp-config.php, .htaccess, etc.) pour détecter du code suspect[1]
- Examinez la base de données à la recherche de contenus malveillants injectés

  - Renforcer la sécurité 


- Installez un plugin de sécurité WordPress réputé
- Activez un pare-feu applicatif web (WAF)
- Limitez les tentatives de connexion
- Utilisez l'authentification à deux facteurs

Il est crucial d'agir rapidement pour nettoyer et sécuriser votre site afin d'éviter la propagation de l'infection et de protéger vos visiteurs. Si vous n'êtes pas à l'aise avec ces étapes techniques, faites appel à un expert en sécurité WordPress.



vous pouvez, pour vous aider, utiliser l'outil wp-cli, accessible en SSH 


Pour utiliser WP-CLI afin de détecter et corriger un piratage sur votre site WordPress, voici les étapes à suivre :
connectez vous en ssh sur votre compte

 -  Vérification de l'intégrité

1. Vérifiez l'intégrité des fichiers de base de WordPress :

lancez la commande :
wp core verify-checksums


Cette commande comparera les fichiers de votre installation avec les fichiers officiels de WordPress. Tout fichier modifié sera signalé.

2. Vérifiez l'intégrité des plugins :

lancez la commande : 
wp plugin verify-checksums --all


 - Mise à jour du système

3. Mettez à jour le noyau WordPress :

lancez la commande : 
wp core update


4. Mettez à jour tous les plugins :

lancez la commande : 
wp plugin update --all


5. Mettez à jour tous les thèmes :

lancez la commande : 
wp theme update --all


 -  Nettoyage et sécurisation

6. Listez tous les utilisateurs pour identifier les comptes suspects :

lancez la commande : 
wp user list


7. Supprimez les utilisateurs non autorisés :

lancez la commande : 
wp user delete [ID_UTILISATEUR]


8. Changez le mot de passe de l'administrateur :

lancez la commande : 
wp user update [ID_ADMIN] --user_pass=[NOUVEAU_MOT_DE_PASSE]


9. Vérifiez et nettoyez la base de données :

lancez la commande : 
wp db check
wp db repair


10. Recherchez des fichiers suspects dans le répertoire wp-content :

lancez la commande : 
find wp-content -type f -not -path "*/uploads/*" -mtime -7


Cette commande liste les fichiers modifiés dans les 7 derniers jours, excluant le dossier uploads.

  -  Renforcement de la sécurité

11. Désactivez l'éditeur de thème et de plugin :

lancez la commande : 
wp config set DISALLOW_FILE_EDIT true --raw


12. Forcez les connexions HTTPS :

lancez la commande : 
wp config set FORCE_SSL_ADMIN true --raw


Après avoir exécuté ces commandes, examinez attentivement les résultats pour identifier toute anomalie. Si vous trouvez des fichiers ou des utilisateurs suspects, supprimez-les. N'oubliez pas de sauvegarder votre site avant d'effectuer ces opérations.

Si le piratage persiste ou si vous n'êtes pas à l'aise avec ces manipulations, il est recommandé de faire appel à un expert en sécurité WordPress.