Pour éviter des dégâts plus importants, la première chose à faire sera de bloquer l’accès du site aux visiteurs en mettant par exemple une page d’attente pour leur indiquer que le site web est en maintenance. Cela évitera à vos visiteurs d’être bernés par du contenu malveillant.
Le pirate peut agir de différentes manières. Il peut avoir modifié du contenu en base de données, altéré des fichiers ou les avoir remplacés. Dans les cas les plus sévères, il peut avoir supprimé des fichiers.
Lorsque le contenu est juste remplacé en base de données, si vous avez une sauvegarde il vous suffira alors de la restaurer. Si vous n’en avez pas la base de données devra être nettoyée.
Dans tous les cas, par prudence, il faudra remplacer les fichiers de votre CMS. Par exemple si votre site a été conçu avec wordpress, il faudra remplacer les fichiers d’installation par de nouveaux provenant de la dernière version de l’éditeur. Il faudra aussi remplacer et mettre à jour les fichiers des plugins. Le changement des mots de passe de tous les utilisateurs peut parfois également être nécessaire.
La tâche la plus importante sera d’identifier la méthode utilisée par le pirate pour modifier le contenu du site internet.
Pour cela il sera nécessaire de parcourir les fichiers de logs d’accès à vos pages. N’hésitez pas à remonter le temps sur plusieurs semaines. Lorsque plusieurs sites web sont hébergés sur un même serveur et qu’il n’y a pas de cloisonnement entre chaque site, le pirate peut utiliser la faille présente sur l’un d’entre eux pour atteindre les autres. Il sera alors nécessaire d’analyser les logs des autres sites. C’est une tâche qui peut être fastidieuse surtout si votre site a un trafic important.
Une fois la faille identifiée la prochaine étape sera de la bloquer. Ce blocage pourra affecter certaines fonctionnalités. Parfois une simple mise à jour du composant est suffisante. Sinon, il faudra remplacer le plugin par un autre ou encore renforcer la fonctionnalité existante.
Lorsque tout sera propre, nous aurons besoin de vérifier le fonctionnement en s’assurant par exemple que les formulaires se comportent correctement et que les notifications sont bien envoyées aux adresses mails des utilisateurs.
Le pirate a peut-être utilisé le site pour envoyer des mails frauduleux en masse. Il faudra vérifier si l’adresse ip de votre site n’est pas sur liste noire (blacklistée). La plupart du temps des formulaires sont proposés pour retirer l’adresse ip des listes.
Ce n’est qu’après avoir effectué toutes ces étapes que vous pourrez mettre le site internet de nouveau en ligne.