Piratage WordPress : Contenu spam

Nous avons détecté un piratage affectant certains sites WordPress. Les pirates à l’origine de cette menace parviennent à obtenir des identifiants de connexion administratifs WordPress et à télécharger des fichiers sur le compte d’hébergement du site. Ces fichiers sont ensuite utilisés pour injecter du contenu spam dans le thème et/ou la base de données WordPress, ce qui permet de générer des liens cachés vers des sites frauduleux.

Pour plus d’informations sur les piratages et l’attitude à adopter face à ces menaces, vous pouvez consulter Que faire si mon site Web est piraté ?.

Les signes que votre site a été piraté

Étant donné que ce type de piratage génère des liens cachés, vous ne pouvez pas le détecter sur votre site. La meilleure façon de déterminer si votre site est affecté est de consulter le code source de votre page d’accueil. Pour éviter de consulter la version infectée de la page d’accueil, nous vous conseillons d’utiliser Google® Chrome ou Firefox® et d’entrer l’adresse view-source:http://[votre nom de domaine].

Dans cette fenêtre, vous pouvez effectuer des recherches dans votre code source pour détecter les fraudes en ligne fréquentes, telles que les publicités pour des produits pharmaceutiques ou des prêts sur salaire. Essayez de rechercher les termes suivants, fréquemment rencontrés dans ces publicités :

  • prêt
  • pharma
  • viagra
  • cialis

Solutions

Le moyen le plus simple de supprimer ce contenu est de restaurer le contenu et la base de données de votre site Web à partir d’un fichier de restauration dont vous êtes certain qu’il n’est pas affecté.

Si vous n’êtes pas certain de disposer d’une sauvegarde saine, vous pouvez supprimer le contenu manuellement. Ce contenu se trouve généralement dans deux endroits : l’entête de votre thème WordPress ou votre base de données WordPress.

Modification de votre thème

Vous pouvez accéder à votre thème WordPress et le modifier directement via le panneau de configuration administrateur WordPress. Si vous disposez d’une sauvegarde de votre thème, vous pouvez simplement le réinstaller par le biais du menu Apparence dans WordPress.

Vous pouvez également consulter directement le code de vos fichiers. Pour en savoir plus sur la modification de vos fichiers à l’aide de WordPress, accédez à la documentation de WordPress.org en cliquant ici.

À partir d’ici, vous pouvez supprimer tous les liens détectés.

Assainissement de votre base de données

Si les pirates introduisent des liens malveillants dans votre base de données, ceux-ci sont souvent écrits à l’envers pour empêcher leur détection (par exemple, « neil » au lieu de « lien »). Vous pouvez rechercher ces mots écrits à l’envers dans votre base de données.

Avant d’apporter des modifications à votre base de données, nous vous conseillons de créer une sauvegarde (en savoir plus).

Vous pouvez effectuer des recherches manuelles dans les tables de votre base de données à l’aide de l’onglet Recherche de votre interface phpMyAdmin (en savoir plus).

Vous pouvez également exécuter la requête de base de données suivante à partir de l’onglet SQL dans phpMyAdmin :

SELECT *
FROM `wp_options`
WHERE option_value LIKE '%>vid/<%'

Cette requête sélectionne tous les éléments de votre table wp_options qui contiennent une balise DIV HTML inversée. Vous obtiendrez des résultats semblables à ce qui suit :

query results

Vous pouvez examiner le contenu en détail en cliquant sur l’icône en forme de crayon. Une vue élargie du contenu de la ligne s’affiche alors. À partir d’ici, vous pouvez modifier le contenu directement pour supprimer le texte malveillant. Une fois les modifications effectuées, cliquez sur Revenir à la page précédente pour enregistrer. Si le contenu entier est malveillant, cliquez sur Revenir à la page précédente, puis sur l’icône X rouge pour supprimer cette entrée.

result details

Autres fichiers piratés

Après avoir assaini votre thème et/ou votre base de données, examinez les fichiers figurant dans votre compte d’hébergement pour vérifier qu’ils sont valides. Ce type de piratage est généralement associé à plusieurs fichiers :

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

Bien que ces noms semblent valides, il se pourrait que les fichiers ne soient pas légitimes. Pour distinguer les fichiers légitimes des autres, vous pouvez consulter le code du fichier ou comparer les dates de modification de différents fichiers d’un même répertoire.

Nous vous conseillons de déplacer ou de renommer (et donc de désactiver) tout fichier qui vous semble malveillant.

Informations techniques

Code Sample

MD5Sums of Known Malicious Files

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

Cet article était-il utile ?
Nous vous remercions de votre feed-back. Pour parler avec un représentant de notre service clientèle, veuillez utiliser le numéro de téléphone du support technique ou l’option de chat présentée ci-dessus.
Nous sommes ravis de vous avoir aidé ! Y a-t-il autre chose que nous pouvons faire pour vous ?
Nous sommes désolés de ce problème. Dites-nous ce qui n’était pas clair ou pourquoi la solution n’a pas résolu votre problème.