Accueil » Tutoriels » Comment arrêter l’exploitation des portes dérobées sur WordPress pour de bon ?

Comment arrêter l’exploitation des portes dérobées sur WordPress pour de bon ?

Avez-vous l’impression que votre site est constamment sous menace d’être piraté ? Voici les signes révélateurs : être constamment piraté, peu importe la fréquence de nettoyage de votre site, et WordPress vous indique qu’il existe un compte d’administrateur supplémentaire qui n’est pas répertorié.

Alors, peut-être que votre site n’est pas menacé actuellement… mais vous avez l’impression qu’il ne fonctionne pas correctement ! Ce qui est plus probable, c’est qu’il subit une exploitation de sécurité d’une porte dérobée. Heureusement, il existe de nombreuses options pour le réparer, aucun exorcisme n’est requis.

Dans cet article, vous verrez quels sont les types d’exploitation de porte dérobée existants, comment pouvez-vous prévenir contre l’un d’entre eux grâce à l’aide des extensions, pourquoi votre site a été piraté en premier lieu, et comment sécuriser votre site pour que cela ne se reproduise plus.

Qu’est-ce qu’une Exploitation de la porte dérobée ?

Lorsque votre site est compromis et que le pirate informatique ajoute son propre moyen d’accéder à votre site et au tableau de bord d’administration quand bon lui semble, cela s’appelle une exploitation de la porte dérobée. Là, on se concentre sur le moyen dont le pirate peut utiliser pour accéder à votre site sans se connecter dans la page de connexion.

C’est plus facile de s’en souvenir lorsque vous considérez votre site comme une maison. Toutes les personnes que vous invitez l’accèdent par la porte d’entrée, ça correspond à la page de connexion de votre site. Mais lorsqu’un intrus dérobe une porte située à l’arrière de votre maison et crée sa propre clé pour cette porte de fortune, il peut entrer dans votre maison à travers cette porte dérobée sans même que vous le sachiez.

De même, un pirate peut créer un script qui fonctionne comme une clé. Il l’ajoute dans votre site en créant leur propre porte dérobée afin qu’il puisse y accéder quand il le veut.

Alors que les utilisateurs réguliers – ainsi que les administrateurs de sites comme vous – auraient besoin d’accéder à votre site via la page de connexion, le pirate n’en aurait pas besoin et c’est ainsi qu’il peut accéder à tous sans être détecté.

Les pirates informatiques peuvent utiliser un programme qu’ils ont créé pour pirater systématiquement votre site, puis ils font le plus souvent l’une des choses suivantes :

  • Ils vont transférer ou créer un fichier dans votre site WordPress avec le script de porte dérobée joint.
  • Ils s’ajoutent en tant qu’administrateurs cachés, souvent en les associant à votre compte.
  • Ils exécutent le code PHP qu’ils envoient via un navigateur.
  • Ils collectent des informations personnelles à des fins de spam.
  • Ils changent n’importe quoi sur votre site pour leurs propres besoins, souvent pour spammer.
  • Ils envoient des spams à partir de votre site pour donner l’impression que c’est vous qui les avez envoyés.

Si un fichier est ajouté, il est souvent nommé pour ressembler à un fichier légitime qui fait partie des fichiers du noyau WordPress. Le fichier pourrait être nommé sunrise.php, php5.php, users-wp.php, wp-config.zip ou quelque chose comme ça.

Alors que les détails sur la détection d’une porte dérobée ne seront traités que plus tard, il peut être important de noter que certaines extensions incluent un fichier sunrise.php, mais s’il s’agit d’une porte dérobée, le fichier ne se trouve pas dans un dossier des plugins, mais pourrait être dans le dossier des téléchargements, par exemple. Etant similaires aux fichiers normaux, les portes dérobées peuvent s’infiltrer dans votre site sans être détectées.

Généralement, les pirates ajoutent le fichier de porte dérobée à vos dossiers wp-includes et wp-content dans thèmes, plugins ou fichiers transférés, mais ils peuvent aussi changer votre fichier wp-config.php.

Le simple fait de savoir qu’un pirate informatique pourrait faire tout cela dans votre site est terrifiant et c’est une pilule difficile à avaler, surtout quand vous pensez que votre site et les fichiers du noyau WordPress sont intouchables, n’est-ce pas ?

Comment les pirates entrent-ils dans votre site ?

Les fichiers du noyau WordPress

WordPress lui-même est sécurisé, mais il y a plusieurs moyens qu’un pirate puisse encore entrer dans votre site. C’est parce que les améliorations des fichiers du noyau WordPress sont faites régulièrement, mais parfois ces configurations ont des vulnérabilités imprévues.

Ces vulnérabilités agissent comme les intrigues d’un film. La plupart des téléspectateurs ne les remarqueront probablement pas, car ils apprécient le film, mais d’autres personnes plus astucieuses les remarqueront.

Dans WordPress, ces bugs sont souvent détectés à partir du test et supprimés avant même d’être appliqués sur votre site, mais tout comme les intrigues du film, ils sont parfois manqués pendant le processus de création avant qu’un administrateur puisse les corriger.

Parfois, une nouvelle version de WordPress est rendue disponible publiquement et elle comporte des failles de sécurité. Lorsque les pirates détectent ces vulnérabilités, ils peuvent les exploiter pour accéder à votre site, cependant, lorsque ces menaces sont détectées, l’équipe de sécurité de WordPress travaille sur un correctif et ils effectuent des mises à jour de sécurité fréquentes.

Même si des problèmes de sécurité peuvent être trouvés, cela ne signifie pas que WordPress n’est pas sécurisé. Si vous le tenez à jour, il est sécurisé puisqu’il ne présentera aucune vulnérabilité connue.

Si vous ne mettez pas à jour votre site WordPress de façon régulière, les correctifs de sécurité ne sont pas appliqués et votre site aurait toujours les mêmes vulnérabilités. Un pirate pourrait alors utiliser la faille de sécurité pour entrer dans votre site.

Extensions et Thèmes

Cela s’applique également aux extensions et aux thèmes. Parfois, ils incluent également des vulnérabilités et à moins que vous ne les mettiez à jour régulièrement, les bogues ne seront pas écrasés et un pirate pourrait les utiliser pour s’introduire dans votre site et obtenir une entrée non autorisée.

Les thèmes et les extensions ne sont pas tous les mêmes puisqu’ils sont tous créés par des développeurs ou des entreprises indépendants. Alors qu’il y a un processus de filtrage qu’une extension ou un thème doit passer pour être accessible au public via les répertoires officiels de WordPress, un pirate informatique pourrait y ajouter des scripts malveillants après coup et ils seraient distribués à tous les utilisateurs.

Certaines extensions ou thèmes peuvent être publiés même s’ils ne sont pas bien codés. Même si le processus de sélection inclut une liste des meilleures pratiques qu’une soumission doit passer pour être acceptée, il s’agit plus d’une exigence minimale et il est fortement recommandé que les extensions et les thèmes soumis dépassent toutes les attentes.

Bien que de nombreux auteurs d’extensions et de thèmes les passent avec succès, tous ne le font pas. Peu importe, la soumission sera transmise au public. C’est pourquoi il est extrêmement important de ne télécharger et de n’utiliser que les extensions et les thèmes de développeurs et d’entreprises de confiance et qui ont une bonne réputation dans l’ensemble.

Les vulnérabilités se trouvent souvent dans les extensions et les thèmes, c’est généralement parce qu’il n’y a pas de pénurie de pirates qui peuvent trouver ces failles de sécurité afin de les exploiter. La plupart des développeurs et des entreprises se mettent au travail pour corriger ce problème et publier un correctif rapidement. Ce sont les auteurs auxquels vous pouvez faire confiance.

Même si la plupart des développeurs soumettent des extensions et des thèmes sur une base de bénévolat, prendre soin de la maintenance régulière est quelque chose qu’ils peuvent seulement se permettre de faire pendant leur temps libre, après leur travail de chaque jour. Cela signifie qu’une vulnérabilité pourrait continuer sans être réparée pendant un certain temps et c’est là que vous auriez besoin de trouver une alternative qui serait toujours adaptée à vos besoins spécifiques.

Le besoin de vitesse … et de sécurité

Il est important de garder vos extensions, thèmes et sites à jour, mais ce n’est pas suffisant pour les faire à votre guise. Dès qu’une mise à jour est disponible, vous devez les mettre à niveau le plus humainement possible. Plus vous attendez pour le faire, plus un pirate risque de savoir que votre site est vulnérable et l’attaque.

Bien qu’il soit crucial de garder votre site à jour, ce n’est pas la seule mesure de sécurité que vous devriez prendre. Renforcer la sécurité de votre site est une autre étape importante. Cela signifie prendre des précautions de sécurité supplémentaires pour assurer la sécurité de votre site.

Cela peut concerner l’installation d’une extension de sécurité comme Defender, les modifications manuelles sur votre site ou l’utilisation de mots de passe complexes pour n’en citer que quelques-uns.

Si vous ne renforcez pas la sécurité de votre site, vous allez le laisser ouvert aux pirates informatiques, surtout si vous utilisez des mots de passe faciles à deviner tels que « mot de passe », « wordpress123 » ou « adminpass ». Utiliser un mot de passe non sécurisé comme ceux-ci signifierait laisser une clé accrochée au bouton de la porte de votre maison.

Notez bien : Ne pas suivre les meilleures pratiques de sécurité ou négliger de garder à jour votre site, les extensions et les thèmes peuvent finalement conduire à la compromission de votre site à un exploit de la porte dérobée.

Plan de récupération après le désastre

Si vous soupçonnez que votre site a été piraté à partir de l’exploitation de la porte dérobée, il existe des moyens de vérification, mais avant cela, vous devriez faire une sauvegarde complète de votre site. Même s’il peut être piraté, les choses peuvent toujours s’empirer avant de s’améliorer.

Snapshot Pro est la solution de sauvegarde premium.

Avoir une sauvegarde peut être utile. Si vous faites accidentellement une erreur en faisant un travail de détective, votre sauvegarde agit comme votre coffre-fort.

Vous pouvez restaurer votre site là où vous avez commencé et continuez à enquêter à partir de là comme si rien d’autre ne s’était passé. Si vous ne disposez pas actuellement d’une solution de sauvegarde, vous devriez jeter un œil à certaines options.

Bien sûr, une sauvegarde saine de votre site est plus efficace, mais avoir une sauvegarde imparfaite est mieux que rien du tout.

Détection et suppression de scripts malveillants

Une fois que vous avez votre sauvegarde, vous pouvez faire un travail de détective et vérifier les portes dérobées en cherchant des signes révélateurs.

Les annonces d’apparition d’une bogue

Tout d’abord, essayez de trouver des annonces de vulnérabilités récentes dans les fichiers du noyau, les extensions ou les thèmes WordPress par les développeurs eux-mêmes ou dans les blogs de sécurité tels que celles qu’on trouve sur les sites WordFence et Sucuri. Vous pouvez également vous inscrire à des mises à jour par courriel pour rester informé de tous les problèmes de sécurité récents.

Vous pouvez également consulter le site WordPress Trac pour les billets ouverts concernant les extensions ou les thèmes que vous avez installés ainsi que WordPress lui-même.

Si vous voyez une information sur une vulnérabilité qui pourrait vous concerner, examinez-la et voyez s’il y a une solution.

Est-ce que votre site semble être piraté ?

Dans le cas où vous ne trouvez rien, essayez de vider votre cache et les cookies, puis visitez votre site. Si vous êtes comme la plupart des gens et que vous ne pouvez pas vivre sans que vos mots de passe soient automatiquement enregistrés dans les formulaires de connexion sur tous les sites que vous visitez, vous pouvez utiliser un navigateur différent ou ouvrir un onglet de navigation privée dans Chrome.

S’il y a un message vous avertissant que ce n’est pas sécurisé de se rendre sur le site, alors c’est votre premier indice.

Si vous visitez votre site et que vous voyez un message indiquant que votre site n’est pas sécurisé, vous avez peut-être été piraté.

Cela pourrait être à cause de votre certificat SSL qui ne fonctionne pas correctement. Si vous voyez un cadenas jaune ou rouge à côté de l’URL dans la barre d’adresse de votre navigateur, cliquez dessus pour voir le message d’erreur spécifique.

Si votre certificat a expiré ou qu’il est invalide, c’est peut-être un problème lié à votre certificat SSL et cela peut être corrigé.

Si vous voyez un message d’erreur vous avertissant que le certificat n’est pas approuvé ou que le cryptage SSL n’est pas installé, vous avez peut-être été piraté. La prochaine étape dans votre enquête serait d’essayer de regarder à travers votre site et voir si vous voyez du spam dans vos commentaires, mais surtout dans vos articles ou pages.

Un écran blanc de la mort pourrait également être le signe d’un pirate, mais cela pourrait également être un problème commun qui peut être rapidement résolu.

Aussi, essayez de visiter l’un de vos articles et copiez le lien. Ouvrez Facebook et collez le lien dans le formulaire des statuts. Au lieu de publier le lien, attendez le chargement de la prévisualisation du site. Si la description ressemble à du spam, un pirate l’a placé dans le script d’en-tête de votre site.

Check Also

Comment construire des applications Vue.js complexes à grande échelle avec Vuex

Il est si facile d’apprendre et d’utiliser Vue.js que n’importe qui peut créer une application …