J’ai été piratée sur WordPress!

pirateswordpress

Hier après-midi, je lis sur Facebook que plusieurs blogueuses, sur WordPress et hébergées chez OVH, sont victimes d’un piratage…Certaines n’arrivent plus à se connecter au tableau de bord, d’autres ne peuvent plus afficher leur blog, ou encore n’ont plus de plugins! Moi, tout me semble normal…

Mais hier soir, je me rends compte que mes plugins ont disparu!!!!!!

Serais-je moi aussi victime d’un pirate??

A l’évidence oui, malheureusement. Et heureusement pour moi, mon homme est un geek.

En 1h30, il a réglé le problème. J’ai pu dormir tranquille…

Mais comment a-t-il fait?

Il a tout d’abord essayer d’identifier ce qui avait changé sur le site. Il a remarqué que dans tous les fichiers « .php », des lignes de code avaient été insérées au tout début. Il a donc vérifié si ce code était présent dans les fichiers originaux et…

Bingo, la réponse était NON!!!! Il a donc trouvé le code  intrus :

<?php $uyzocwxakk = ‘x5c%x7825-bubE{h%x5c%x7825) … $uyzocwxakk=$kbrlqubytk-1; ?>

C’est bien beau d’avoir trouvé le code parasite, mais maintenant il faut le supprimer dans plus de 1500 fichiers!!!

Voici l’astuce de mon geek de mari :

Etape 1 – Récupération des fichiers impactés:

  • Récupérer FileZilla.
  • Connectez-vous avec vos informations FTP qui vous ont été fourni par votre hébergeur (OVH, …)
  • Aller dans le menu : Serveur -> Recherche de fichiers distants….
  • Comme indiqué ci-dessous, rechercher « .php » depuis la racine du site. La liste de tous les fichiers va apparaître dans la zone « Résultats ».

FileZilla-screenshot-search-file-php

  • Sélectionner tous les fichiers présents dans la zone « Résultats » et télécharger ces fichiers en cliquant droit dans répertoire que vous aurez défini.

FileZilla-screenshot-download-file-php

FileZilla-screenshot-download-file-dir

Etape 2 – Suppression du code parasite:

Ayant un ordinateur Mac, il a utilisé « TexFinderX« . Ce logiciel permet de remplacer facilement une même chaine de caractère dans de nombreux fichiers. Si vous êtes sur Windows, vous pouvez utiliser « Notepad++« .

Si vous utilisez « Texfinderx » :

  •  Sélectionner le répertoire dans lequel vous avez téléchargé l’ensemble des fichiers PHP. (menu : File -> Add Folder…)
  • Dans le menu déroulant « Filter », sélectionner « PHP ».
  • Pour lancer le remplacement, aller dans le menu « Edit ->Search and replace… »
    • Dans la zone « Search for », copier la totalité de la chaine de caractère. Dans mon cas de figure, elle commance par « <?php $uyzocwxakk = ‘x5c%x7825-bubE » et se termine par  « $kbrlqubytk=(612-491); $uyzocwxakk=$kbrlqubytk-1; ?> »
    • Dans la zone « Replace by », laisser vide.
    • Cliquer sur « Replace All ». Et c’est fini, tout le code parasite a été supprimé!!!!

texfinderx-search-replace

Etape 3 – Remplacement des fichiers

Par précaution, vous pouvez faire une sauvegarde de l’ensemble de votre site en le téléchargeant en local. Pour cela, copier le répertoire « www » avec Filezilla. Ensuite, il suffit de copier l’ensemble de fichiers modifiés lors de l’étape 2, sur votre serveur web grâce à FileZilla.

FileZilla-upload

 

Etape 4

Puis, il faut supprimer le répertoire « /www/wp-content/uploads/wysija » sur votre serveur web grâce à FileZilla.

 

Etape 5 – Mise à jour de MailPoet.

Toujours sur votre serveur web, Il faut supprimer le plugin Mailpoet. Pour cela, supprimer le répertoire  »

/www/wp-content/plugins/wysija-newsletters ».

Enfin, vous pouvez le réinstaller en passant par le Tableau de bord -> Extentions -> Ajouter

 

 

J’espère que ce billet vous sera utile! 

 

8 réponses
  1. GG
    GG says:

    Coucou,
    je trouve que partager sur ce type de souci est vraiment chouette, on est loin de toutes/tous savoir se débrouiller en cas de pépin et là tout est super bien expliqué !
    Pour le pourquoi des hacks franchement ça me dépasse aussi. Il y a plusieurs années je tenais un petit blog musical qui avait été hacké 3 fois dont 2 par le même mec qui trop sympa, mettais une page à lui à la place de mon site à mon adresse, et sur la page qu’il affichait il mettait son pseudo de pirate. Quand on avait regardé avec un pote geek sur google plus tard, on voyait qu’il y avait des petits concours de pirates et en gros l’idée, c’était à celui qui plantait le plus de sites sur une période donnée, trop bidon quoi….
    Bref, merci encore pour cet article super utile !

    Répondre

Répondre

Vous souhaitez vous joindre à la discussion ?
N'hésitez pas !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *