Dans ce guide nous allons passer en revue quelques symptômes, comme le ferait un détective, qui pourraient expliquer que votre site a été piraté. Puis nous verrons ce que vous pouvez faire pour traiter le problème et aussi comment le prévenir.
Si vous avez une agence web et que vous avez un doute, il est préférable de la contacter au plus tôt pour qu’elle s’assure que tout va bien.
Le diagnostic
Un ralentissement soudain et qui persiste
Le ralentissement du site internet peut être en partie la conséquence de son piratage. Le site internet piraté est fréquemment utilisé pour envoyer des mails en masse. L’adresse IP de votre hébergement ou bien de votre service de messagerie se retrouve assez rapidement blacklisté. Il est alors impossible d’envoyer des courriers légitimes.
Le pirate peut aussi utiliser le serveur de votre hébergement pour attaquer d’autres sites tel que du déni de service. Si le serveur qui héberge votre site a beaucoup de ressources en CPU/RAM, le ralentissement ne sera pas visible. C’est pourquoi il sera toujours utile d’aller fouiner dans les logs du serveur pour s’assurer qu’il n’y a pas d’activité suspecte.
Une erreur critique, le site ne s’affiche pas
Le pirate peut avoir déposé, modifié ou encore supprimé des fichiers dans les cas extrêmes. Le serveur de votre hébergement répond alors avec une page blanche parfois accompagnée d’un code d’erreur 500.
Si le site ne s’affiche pas ce n’est pas forcément que votre site a été piraté. Cela peut simplement être une mise à jour automatique du CMS pendant la nuit qui ne s’est pas bien déroulée. Une mise à jour au niveau de votre hébergement peut aussi en être la raison : une fonction qui est utilisée dans votre site n’est peut-être plus compatible avec la version php du serveur. Dans de rares cas, une ligne dans le fichier htaccess qui fonctionnait bien jusqu’à présent peut provoquer l’affichage d’une page blanche.
Site bloqué et inaccessible
Les hébergeurs tels que OVH, Gandi, Scaleway détectent qu’il y a une utilisation anormale avec le domaine ou le site. Ils peuvent alors bloquer l’accès au site ou bien bloquer les services d’envoi de mail.
Dans cette situation, l’hébergeur envoie une notification pour vous signaler le problème et vous demande de le corriger. Une fois la correction effectuée il suffit alors d’avertir le support de votre hébergeur pour qu’il rétablisse les services.
Si OVH désactive l’hébergement c’est plutôt une bonne chose car cela permet de ne pas se retrouver avec des données trop altérées pour pouvoir être récupérées et de ne pas avoir un nom de domaine considéré comme spammeur.
La plupart du temps, si un site est bloqué et inaccessible, il faut d’abord s’assurer que le domaine et le service d’hébergement ont bien été renouvelés.
Redirection vers des sites externes
La redirection vers des sites frauduleux est assez fréquente et est le problème qu’on identifie le plus facilement lorsque le site a été piraté.
Nouveaux utilisateurs inscrits
Si vous vous apercevez qu’il y a de nouveaux utilisateurs inscrits frauduleusement, il faudra vérifier le rôle de ces utilisateurs et relever leurs dates d’inscription et de dernière connexion. Ces informations pourront ensuite vous servir de point de repère pour chercher et identifier la faille.
Un espace disque qui augmente
La première chose à faire est d’aller regarder la taille des fichiers logs. Si c’est bien ça, il suffira de désactiver les logs de débogage qui sont utilisés pour le développement comme par exemple le ‘WP_DEBUG_LOG’. Cette action améliorera le temps de chargement sans trop d’effort. S’il y a des fichiers de logs compressés et d’autres qui ne le sont pas depuis longtemps, alors il y a certainement un dysfonctionnement avec la rotation des logs.
Des sauvegardes effectuées grâce à des plugins peuvent rapidement saturer l’espace disque de votre hébergement, il faudra privilégier la sauvegarde sur un cloud externe à votre hébergement.
Un espace disque qui augmente n’est pas nécessairement un piratage. Cela vient bien souvent de chargement d’images qui ne sont pas optimisées. Cela peut également venir du thème WordPress qui utilise beaucoup de variations d’images. Le plus simple et plus rapide est d’augmenter l’espace disque mais le problème reviendra et prendra plus de temps s’il faut optimiser les images de plusieurs giga de fichier image. La correction dès le départ peut être intéressante d’un point de vue performance et ergonomie pour les utilisateurs comme pour la planète.
Le certificat de sécurité de ce site présente des problèmes
Lorsque le navigateur affiche ce message, c’est souvent la conséquence d’un certificat SSL du site qui n’a pas été renouvelé à temps. La majorité des hébergeurs fournissent un certificat gratuitement avec votre nom de domaine. Si vous avez un serveur dédié ou un VPS, il faudra sans doute l’installer par vous-même. Des outils pour installer automatiquement un certificat existent comme par exemple certbot qui installera un certificat letsencrypt. Des certificats de niveaux supérieurs existent également en versions payantes pour des organismes exigeants en terme de confidentialité de données.
Ce message est aussi affiché lorsque le site n’a pas été correctement paramétré pour fonctionner en SSL. En effet, chaque requête pour charger des images, scripts, fontes doit être faite en https. Si un seul fichier dans la page est appelé en http alors le navigateur fera clairement savoir qu’il n’est pas content.
Impossible de me connecter au backoffice
Vous n’arrivez pas à vous connecter au backoffice et vous ne recevez pas de mail de réinitialisation.
Pour WordPress, il est possible de redéfinir le mot de passe avec wp-cli, vous aurez besoin d’un accès ssh. Si vous avez qu’un accès ftp, vous pourrez utiliser la fonction ‘wp_set_password’. En parallèle, il faudra inspecter les fichiers du CMS pour vérifier s’ils n’ont pas été altérés par une tentative de piratage.
Espace de la base de données
Une base de données peut facilement prendre du volume en fonction du paramétrage de votre site.
Avec WordPress, ce sont souvent les révisions d’articles. Vous pouvez les limiter en définissant ‘WP_POST_REVISIONS’ dans le fichier wp-config.php. Il faudra aussi supprimer les révisions existantes en vous aidant, par exemple, de plugins tels que ‘WP-Sweep‘.
Des logs, sessions, historiques peuvent être enregistrés en base de données ce qui peut également prendre très rapidement beaucoup de place.
Un site bloqué par Google et antivirus
Si votre navigateur affiche comme message « Le site que vous allez ouvrir contient des logiciels malveillants », « Le site Web que vous allez ouvrir est trompeur », « Site suspect » ou encore « Le site Web que vous allez ouvrir contient des programmes dangereux » alors il faudra agir rapidement pour nettoyer le site car cela signifie que Google a placé votre site sur liste noire.
Une fois le ménage réalisé, il faudra en avertir Google. Un article bien détaillé de kinsta explique cela.
Les sociétés d’antivirus proposent des formulaires pour ne plus figurer dans leurs bases, comme par exemple celui de kaspersky sur leur page contact. Pour Bitdefender ils ont bien un lien mais celui-ci renvoie actuellement vers une page d’erreur 404. Le traitement pour ce genre de demande peut être très long.
Nettoyer et sécuriser
Un accès ftp ou encore mieux en ssh sera nécessaire pour nettoyer et sécuriser votre site afin de faire les choses correctement.
De manière générale, si votre site a été victime d’un piratage, dans le cas de wordpress, il faut remplacer tous les fichiers d’installation et des plugins par la version équivalente ou bien les dernières versions.
Si votre installation WordPress utilise un thème que vous avez acheté, il suffira de remplacer les fichiers du thème par ceux provenant de l’archive, soit par ceux d’une sauvegarde qui serait intacte.
Il faudra nettoyer la base de données si celle-ci est altérée ou bien s’il y a des contenus ajoutés. Avant toute intervention, il sera nécessaire d’en faire une copie. Le nettoyage devrait être fait en local ou bien sur une base de données que vous aurez préalablement spécialement créée pour effectuer cette tâche.
Si par chance les sauvegardes de vos bases de données ne sont pas atteintes, vous pourrez les restaurer. La plupart des hébergeurs permettent de le faire sur leur interface de gestion. Vous pourrez ensuite recréer les contenus à partir des données partielles qui ne seraient pas altérées de la base infectée.
Avant de remettre l’ensemble en ligne, il faudra trouver la faille et la corriger car sinon le problème reviendra. Cette étape peut être laborieuse mais est indispensable. Pour cela il faudra parcourir les logs de votre serveur en prenant comme point de repère les dates de modifications (qui peuvent avoir été modifiées par le pirate pour brouiller les pistes). Le parcours de log est riche d’enseignement, il peut notamment vous informer sur les fichiers et pages sensibles.
Vous terminerez en passant un scan à l’antivirus tous les fichiers, répertoires d’images compris, de sorte à vous assurez que tout soit propre.
Vous pouvez installer wordfence si votre hébergement a de la ressource. Ce plugin présente l’avantage d’avoir un firewall applicatif et met en place quelques règles de prévention. En complément, vous pouvez utiliser comme CDN cloudflare qui reste intéressant même dans sa version gratuite.