Mon site WordPress a été piraté ?

samedi 10 août 2019

Comment détecter que votre site a été piraté ? Comment réagir suite à cette découverte ? Découvrez dans cet article les moyens de détecter le piratage de votre site.

Digitalux - Actualité - WordPress piraté

Introduction

Chaque jour, des milliers de sites web sont piratés. Les actions des pirates sont néfastes pour le site (ralentissement, redirection du trafic sur d’autres sites, envoi de SPAM, …) et elles restent trop souvent invisibles pour les internautes et pour les propriétaires de site.

Dans la famille des CMS open-source, cibles très largement privilégiées par les pirates, WordPress représentent 90% des sites piratés. Dans la suite du classement, on retrouve Joomla (4,3 %), Drupal (3,7 %) et PrestaShop (0,9%).

Source : zdnet.fr

Ces sites sont particulièrement vulnérables aux attaques à cause de
- leur code source libre et accessible : les failles de sécurité sont facilement détectées
- la faible qualité de certains thèmes et plugins installés : ceux-ci peuvent contenir des failles exploitables par les pirates
- l’absence de mise à jour des CMS et des plugins installés : lorsqu'une faille est découverte, une mise à jour est très rapidement proposée. Il est alors indispensable de mettre à jour son CMS pour en profiter.

Les propriétaires de site peuvent aussi simplifier le travail des pirates en définissant des mots de passe beaucoup trop simples. Les identifiants peuvent aussi être volés lors d'une authentification à l'administration d'un site qui ne dispose pas de connexion sécurisée (HTTPS).

Enfin, parfois, c’est le poste de travail utilisé pour accéder à l’administration du CMS qui est infesté par un virus capable de transmettre des informations aux pirates. Un bon antivirus accompagné d’un pare feu reste un indispensable lorsqu’on évoque les problématiques liées à la sécurité.

Google vous informe du piratage de votre site

En naviguant sur votre site avec Chrome, vous pouvez obtenir le message “Le site web que vous allez ouvrir est trompeur” :

Google peut aussi vous informer d’un piratage de votre site dans les résultats de recherche en ajoutant le message “Il est possible que ce site ait été piraté” :

Si vous observez l’un de ces symptômes, votre site a très probablement été piraté.

Vous êtes redirigé vers un site au contenu douteux

Certains pirates souhaitent rediriger le trafic de votre site vers des pages de contenu externes. Dans ce cas, lors de l’accès à votre site, vous pouvez être immédiatement redirigé vers une page avec un contenu douteux, par exemple :

Suite à ce type d’attaque, si vous suivez les courbes de trafic, vous pouvez voir une baisse significative de la consultation de votre site.

Attention, il n’est pas toujours simple pour le propriétaire du site de détecter ce type de problème. En effet, les pirates font en sorte que les méfaits de leurs actions soient découvertes le plus tard possible. Ainsi, il est probable que, en tant que propriétaire du site, vous ne subissiez pas les redirections qu’observeraient des internautes lambas.

Si vous souhaitez vérifier que votre site n’est pas atteint par ce symptôme de redirection, vous devez :

  1. Utiliser un nouveau navigateur et idéalement une nouvelle connexion internet : Vous pouvez pour cela utiliser votre navigateur mobile en utilisant la connexion mobile.
  2. Lancer une recherche dans Google permettant la remontée de votre site en tant que résultat
  3. Cliquer sur le lien vers votre site

Si vous subissez une redirection, votre site a été piraté.

Votre site publie des contenus inopportuns

Dans certains cas, les pirates vont directement modifier les contenus publiés sur votre site. Vous pouvez par exemple retrouver :

  • de nouvelles pages
  • des liens vers des sites inconnus, généralement dans le pied du site
  • une page d’accueil indiquant clairement que votre site a été piraté

Le simple fait de remettre en place les contenus n’empêchera pas les pirates de rééexploiter la faille ayant été utilisée la première fois.

Attention, dans certains cas, les pirates peuvent prendre contacte avec le propriétaire d’un site piraté pour demander de l’argent. Il ne faut surtout pas accepter le deal mais procéder à un nettoyage complet du site et à sa sécurisation.

Vous découvrez de nouveaux comptes administrateurs

Si, en vous rendant dans la gestion des utilisateurs de votre site, vous découvrez de nouveaux comptes avec un rôle d’administrateur, votre site a été piraté. Généralement, ces comptes administrateurs, créés à l’aide d’une faille de votre CMS, vont permettre la publication de contenus et de liens.

Vous ne pouvez plus vous connecter à votre interface d’administration

Dans certains cas, après avoir ajouté son propre compte administrateur, le pirate va supprimer les accès administrateur des propriétaires du site. Ainsi, si vous ne pouvez plus vous authentifier sur votre interface d’administration et si la procédure de rappel de mot de passe ne trouve pas votre compte, il est probable que votre compte ait été supprimé.

Votre site est parfois très lent ou indisponible

Parfois, un ralentissement observé sur un site, voir une indisponibilité, peut être lié à une attaque en cours ou à l’exploitation d’une faille identifiée.

Si vous observé un ralentissement de votre site qui n’est pas associé à une hausse significative du trafic alors vous devez être vigilant.

Ces symptômes ne sont pas nécessairement liés à une attaque. Ils peuvent bien sûr être associés à un hébergement instable ou à un manque d’optimisation de votre site.

De nombreux commentaires sont postés sur vos articles

Les fonctionnalités permettant l’ajout de commentaire sur le contenu d’un site sont souvent exploitées par les pirates. Ceux-ci exploitent des formulaires non sécurisés de votre site pour y publier des contenus de type SPAM.

Avant de sécuriser vos formulaires, vous pouvez activer la modération des commentaires afin d’éviter la publication de contenus préjudiciables sur votre site.

Votre site envoie des emails indésirables

Très régulièrement, les pirates exploitent les failles de votre site pour pouvoir envoyer des SPAMs à partir de votre hébergement. Vous devez donc être particulièrement attentif aux signes d’une utilisation abusive de votre service de messagerie :

  • failure notice : Vous recevez un email indiquant que vous avez envoyé un message à une adresse mail n’existant pas. Si ce destinataire n’existe pas dans la base de votre site et que vous n’êtes pas à l’origine de cet envoi, c’est peut être un pirate qui exploite votre hébergement
  • votre hébergeur vous indique que l’envoi de mail depuis votre site a été bloqué : certains hébergeur, comme OVH, dispose d’un système anti-spam qui se charge de vérifier tous les messages provenant de votre hébergement. Si des SPAMs sont détectés alors le service mail est automatiquement coupé.

Comment réagir si mon site a été piraté ?

Lorsque vous détectez le piratage de votre site, vous devez réaliser les actions suivantes :

  1. Nettoyer le site : l'objectif est de récupérer un site sain, avec un comportement et des contenus normaux
  2. Sécuriser le site : Si vous ne faites que nettoyer le site, les failles exploitées par les pirates restent disponibles. Vous vous exposez donc à une nouvelle attaque. La sécurisation permet la désactivation de la faille exploitée par les pirates et la configuration des outils indispensables pour avoir un site sûr.
  3. Mettre à jour le site : Il est indispensable de maintenir son CMS ainsi que tous les plugins installés parfaitement à jour. En effet, des failles sont découvertes tous les jours et des mises à jour sont alors proposées pour les corriger. Un site qui n'est pas à jour conserve des failles exploitables par les pirates.

Concient des difficultés que vous pouvez rencontrer dans la réalisation de ces étapes, Digitalux propose le nettoyage d'un site piraté puis sa mise à jour au quotidien.