Logiciels malveillants sur un site WordPress, détection et suppression

Fév 13, 2022 | Sécurité

Souffrez-vous d’infections par des logiciels malveillants sur votre site WordPress ? Nous avons rassemblé ce guide pour guider les développeurs WordPress dans le processus d’identification et de nettoyage d’un site WordPress piraté infecté par des logiciels malveillants.

Il s’agit d’un guide de suppression des logiciels malveillants WordPress tout-en-un. Capable de réparer 80% des infections. Supprimer les logiciels malveillants d’un site WordPress piraté n’est pas une tâche facile.

Dans cet article, nous fournirons toutes les informations nécessaires sur les logiciels malveillants WordPress ainsi que des étapes concrètes pour nettoyer votre site Web et le protéger contre les futures menaces en ligne potentielles.

Qu’est-ce qu’un logiciel malveillant ?

En termes simples, un logiciel malveillant est un logiciel ou un code créé pour endommager un système ou y accéder sans autorisation (que ce soit votre site Web, votre smartphone ou votre PC).

Selon leur type, les logiciels malveillants WordPress peuvent tout faire, de l’ajout de caractères japonais aux méta-descriptions de vos pages au piratage complet de votre site Web.

Infections de logiciels malveillants WordPress les plus courantes

En ce qui concerne les types de logiciels malveillants WordPress les plus courants, il existe principalement quatre types d’infections que vous devriez surveiller :

Backdoor

Les backdoors permettent aux pirates d’accéder à votre site Web en exploitant des logiciels obsolètes, des failles de sécurité dans un code ainsi que des mots de passe par défaut. Parfois, vous pouvez repérer ce malware si vous voyez qu’un nom de fichier a été modifié, comme lok.php.

Drive-by downloads

Ce type de logiciel malveillant injecte des liens de téléchargement dans votre site Web pour inciter vos utilisateurs à télécharger une charge utile sur leur ordinateur local. Cette charge utile affichera alors un avertissement indiquant que l’ordinateur a été infecté et fournira un lien pour installer un antivirus (qui est une autre charge utile).

Pharma hacks

Pharma hacks ajoute des liens SPAM à votre site Web qui mènent à de véritables magasins pharmaceutiques en ligne. Les liens pharmaceutiques sont considérés comme le type d’infection de site le plus populaire et peuvent même utiliser des règles conditionnelles pour contrôler ce que l’utilisateur voit, ce qui le rend beaucoup plus difficile à localiser.

Redirections malveillantes

Ce logiciel malveillant redirige les utilisateurs qui appellent l’adresse de votre site Web vers un site Web malveillant. Ce site Web malveillant peut également contenir une charge utile qui se télécharge automatiquement sur l’ordinateur de l’utilisateur.

Signes que votre site WordPress a été piraté

Ce qui est délicat avec les logiciels malveillants, c’est qu’il n’est pas toujours évident de savoir si votre site Web WordPress a été infecté. Certaines infections de logiciels malveillants préfèrent garder un profil bas, c’est pourquoi votre site peut ne présenter aucun symptôme visible.

Dans cet esprit, nous énumérerons les moyens les plus efficaces de savoir si votre site Web contient des logiciels malveillants, des plus probables aux plus subtils.

Votre site a été signalé par Google

logiciels malveillants WordPress

Si vous voyez cet écran rouge de la mort lorsque vous visitez votre site Web, cela signifie que Google a détecté un logiciel malveillant ou a de bonnes raisons de le croire :

Un tel message apparaît lorsque votre site Web est mis sur liste noire par Google Safe Browsing que les navigateurs populaires comme Google Chrome, Mozilla, Safari utilisent pour avertir leurs utilisateurs d’une menace potentielle.

Google Search Console vous envoie des avertissements sur le piratage de votre site Web

comment détecter les logiciels malveillants sur site web WordPress

Google peut également vous envoyer des messages d’avertissement et des e-mails vous informant que votre site Web a été infecté; à condition que vous l’ayez connecté à Google Search Console.

Ces messages donnent également des informations sur les URL suspectes ainsi que sur les éventuels vecteurs d’attaque.

Votre hébergeur supprime votre site Web

Les hébergeurs recherchent souvent sur leurs serveurs des signes de logiciels malveillants et peuvent suspendre les sites Web piratés pour empêcher la propagation d’un virus. Il existe plusieurs raisons pour lesquelles votre site Web peut être désactivé par votre hébergement. Cela inclut le code malveillant trouvé sur votre serveur, Google a mis votre domaine sur liste noire, les spams et les e-mails de phishing envoyés depuis votre serveur, etc.

Vos clients vous alertent sur les logiciels malveillants

Souvent, ce n’est pas le propriétaire du site mais les utilisateurs qui rencontrent en premier les problèmes de logiciels malveillants. Dans ce cas, ils peuvent vous contacter via un formulaire de contact ou par téléphone pour signaler que quelque chose ne va pas.

Par exemple, si vous exploitez une boutique WooCommerce, vos utilisateurs peuvent se plaindre que leurs cartes de crédit sont piratées.

Vous voyez des résultats de recherche de spam pour votre site Web

Essayez de googler votre nom de marque et voyez si vous remarquez quelque chose d’étrange dans les résultats. Les signes avant-coureurs peuvent varier de méta descriptions contenant des mots-clés pharmaceutiques ou non liés et des pages d’indexation Google qui ne devraient pas exister à des caractères étranges apparaissant dans les résultats de recherche.

Votre site prend beaucoup plus de temps à charger

Une mauvaise performance du site peut également être un signe que votre site est infecté. Si vos pages prennent soudainement beaucoup plus de temps à se charger, il est tout à fait possible que des logiciels malveillants utilisent les ressources de votre serveur.

Vous avez remarqué que les fichiers de votre site ont été modifiés

Si vous avez accès aux fichiers de votre site, examinez-les attentivement pour voir s’il y a eu des changements.

Si un fichier a été récemment modifié mais pas par vous, inspectez-le attentivement pour détecter tout code malveillant. Recherchez également les fichiers avec des noms suspects, par exemple, .aspx.

Comment détecter et supprimer les logiciels malveillants d’un site WordPress

Le moyen le plus rapide de vérifier la présence de logiciels malveillants sur votre site Web WordPress consiste à exécuter une analyse en ligne.

Il n’y a pas un mais plusieurs outils qui rechercheront gratuitement du code malveillant sur votre site Web. Tout ce dont vous avez besoin est d’entrer une URL et d’appuyer sur le bouton Analyser.

Bien que cette méthode soit assez pratique, vous devez également garder à l’esprit qu’elle n’est peut-être pas la plus approfondie; car ces outils n’analysent que les fichiers visibles et ne tiennent pas compte des fichiers cachés ou des tables de base de données.

Voici 2 des scanners de logiciels malveillants en ligne gratuits les plus populaires pour nettoyer votre site web WordPress :

VirusTotal

page d'accueil virustotal

Ce scanner permet d’analyser votre site Web ou un fichier spécifique en tirant parti de 70 analyseurs antivirus et de services de liste de blocage d’URL/domaines.

Si VirusTotal détecte un logiciel malveillant sur votre site Web, il vous indiquera également le type d’infection et s’il appartient à un botnet connu.

Sucuri SiteCheck

page d'accueil sucuri site check

Apporté par Sucuri, SiteCheck est un autre scanner de logiciels malveillants populaire. Outre la recherche de codes malveillants sur des sites Web, il vérifie également l’état de la liste noire de votre site Web; trouve des logiciels et des plug- ins obsolètes et détecte même les problèmes de sécurité et les anomalies.

Comment détecter et supprimer les logiciels malveillants avec un plugin de sécurité

Le temps presse lorsqu’il s’agit de nettoyer votre site Web WordPress des logiciels malveillants. Plus vous réagissez rapidement, moins vous aurez de problèmes à résoudre.

C’est pourquoi il est recommandé de supprimer les logiciels malveillants à l’aide d’un plugin de sécurité. Non seulement cela vous aidera à détecter plus efficacement le code malveillant; mais vous pourrez également remettre votre site Web WordPress en service en temps opportun (en fonction de votre plan de plugin et de la gravité de la situation).

1. MalCare (nettoyage automatique des logiciels malveillants)

page d'accueil malcare

  • Installations actives : 100 000+ (WordPress.org)
  • Évaluation : 4,1 (WordPress.org)
  • Prix ​​Pro : à partir de 99 $/an (1 site couvert)

Le premier sur notre liste est l’un des plugins de suppression de logiciels malveillants les plus populaires pour WordPress appelé MalCare.

Il a des versions payantes et gratuites, bien que la dernière ne vous permette que d’exécuter des analyses de vos sites Web et de les protéger avec le pare-feu Malcare.

Pour nettoyer votre site Web WordPress des logiciels malveillants et renforcer votre sécurité, une licence premium est requise.

La bonne nouvelle est que vous pouvez nettoyer votre site Web autant de fois que nécessaire au cas où il serait à nouveau infecté à l’avenir.

Si MalCare détecte un code malveillant sur votre site Web; le plug-in effectuera une sauvegarde des fichiers concernés (ou des tables de base de données) et nettoiera automatiquement votre site Web.

  • Certaines des fonctionnalités premium de Malcare incluent :

Nettoyages automatiques (laissez MalCare supprimer automatiquement le code malveillant de votre site Web)

Géoblocage (bloquer les adresses IP des pays en quelques clics)

Analyses à la demande (exécutez une analyse à tout moment pour voir l’état actuel de la sécurité de votre site Web)

Analyses automatiques quotidiennes (tuez les logiciels malveillants dans l’œuf en exécutant des analyses automatiques quotidiennes)

Support Premium (obtenez une assistance plus rapide et personnalisée)

2. Sucuri (nettoyage des logiciels malveillants basé sur le service)

page d'accueil sucuri scanner

  • Installations actives : 800 000+ (WordPress.org)
  • Évaluation : 4,3/5 (WordPress.org)
  • Prix ​​Pro : à partir de 199,99 $/an (1 site couvert)

Sucuri est une société de sécurité qui fournit des services d’analyse et de nettoyage de votre site Web WordPress contre les logiciels malveillants. Le plugin lui-même est entièrement gratuit; ce qui vous permet de renforcer votre sécurité et de rechercher sur votre site Web les types courants d’infections par des logiciels malveillants.

Cependant, si votre site Web WordPress est piraté, vous pouvez soit essayer de supprimer manuellement les logiciels malveillants; soit demander un service de suppression des logiciels malveillants Sucuri (nécessite un plan payant).

  • Fonctionnalités importantes du plugin Sucuri WordPress :

Renforcement de la sécurité de WordPress (vérifiez vos configurations de sécurité et ajoutez un ensemble de règles de sécurité au fichier .htaccess de votre site Web)

Analyse des logiciels malveillants (recherchez sur votre site un code malveillant)

Mesures post-piratage (implémentez une liste de mesures importantes une fois que votre site est propre)

Intégration du pare-feu Sucuri (obtenez une protection supplémentaire en connectant votre site Web au pare-feu de Sucuri, nécessite un plan payant)

Vérification de l’intégrité du noyau (assurez-vous que vos fichiers de base WordPress sont intacts)

Alertes par e-mail (restez informé de toute activité nuisible sur votre site Web)

3. Wordfence (nettoyage des logiciels malveillants basé sur le service)

wordfence

Installations actives : 4+ millions (WordPress.org)

Évaluation : 4,7/5 (WordPress.org)

Prix ​​Pro : 99 $/an (1 site couvert)

Le plugin Wordfence est un autre plugin de sécurité tout-en-un qui offre des fonctionnalités de sécurité exceptionnelles. Cela dit, cela ne vous permet pas de nettoyer automatiquement votre site Web des logiciels malveillants. Au lieu de cela, vous pouvez engager l’équipe de nettoyage de site Wordfence pour s’en occuper pour 490 $ par installation WordPress.

Cette offre comprend également un abonnement premium d’un an d’une valeur de 99 $.

  • Fonctionnalités importantes du plug-in Wordfence :

Scanner de sécurité (analysez votre site Web à la recherche de code malveillant)

Pare-feu Wordfence (empêche le trafic malveillant)

Sécurité de connexion (protégez votre espace d’administration en mettant en place des mesures de sécurité comme l’authentification à deux facteurs)

1.Premium : Liste noire d’adresses IP en temps réel (bloque toutes les requêtes provenant d’adresses IP suspectes connues)

2.Premium : mises à jour des règles de pare-feu en temps réel (protégez votre site Web des dernières attaques et vulnérabilités de sécurité)

3.Premium : mises à jour des signatures de logiciels malveillants en temps réel (obtenez des résultats d’analyse plus précis en exploitant des milliers de signatures de logiciels malveillants)

Comment supprimer manuellement les logiciels malveillants d’un site WordPress

La suppression manuelle des logiciels malveillants est également une option, bien que seuls les utilisateurs expérimentés de WordPress devraient utiliser cette méthode.

Il n’est pas facile de détecter et d’éradiquer avec succès tout code malveillant si vous ne l’avez pas encore fait.

Dans le pire des cas où votre site est en panne et que vous ne pouvez pas y accéder; vous feriez mieux d’engager un professionnel pour le remettre en marche.

Si vous voulez toujours essayer de le faire par vous-même, voici les étapes qui vous aideront :

Étape 1. Sauvegardez les fichiers et la base de données de votre site Web

Avant de commencer le nettoyage, assurez-vous de sauvegarder l’intégralité de votre site Web, y compris votre base de données. Vous pouvez le faire de plusieurs façons.

Par exemple, certains fournisseurs d’hébergement WordPress proposent la fonctionnalité d’instantané qui crée une copie de votre site Web en quelques clics. Vous pouvez également utiliser les plugins de sécurité ou de sauvegarde WordPress.

Enfin, vous pouvez accéder et télécharger les fichiers de votre site via le gestionnaire de fichiers (dans cPanel) ou FTP/SFTP. Pour sauvegarder la base de données de votre site Web, utilisez l’outil phpMyAdmin.

N’oubliez pas de télécharger le fichier .htaccess qui est un fichier invisible. Renommez-le temporairement afin que vous puissiez le voir sur votre PC.

Si vous avez plusieurs sites sur le même serveur, répétez toutes les étapes pour chacun d’eux afin d’éviter toute contamination croisée.

Étape 2. Examinez et nettoyez votre base de données

Maintenant que vous avez une sauvegarde de votre base de données, vous pouvez l’examiner via phpMyAdmin. Parcourez les tables de la base de données et recherchez des contenus suspects tels que des mots clés et des liens indésirables.

Certaines fonctions PHP potentiellement nuisibles incluent base64_decode, gzinflate, error_reporting(0) et shell_exec.

Si vous pensez que votre site Web est infecté par du phishing, jetez un coup d’œil aux tables wp_posts et wp_pages. Une autre table importante à vérifier est wp options car elle est également souvent infectée.

Essayez de supprimer le contenu suspect et voyez si le site Web fonctionne toujours. Sinon, vous pouvez recharger votre base de données à partir de la sauvegarde et demander l’aide de votre webmaster.

Il est important que la base de données soit propre avant de passer à l’étape suivante.

Étape 3. Réinstallez WordPress

Tout d’abord, vérifiez si la sauvegarde du site Web est terminée. Après cela, supprimez tous les fichiers du site dans public html, sauf ceux du serveur. Vous pouvez maintenant réinstaller WordPress en utilisant cPanel ou manuellement.

Étape 4. Réinitialiser les mots de passe

Connectez la nouvelle installation à la base de données de votre site Web en copiant les informations d’identification de la base de données de l’ancien wp-config.php vers le nouveau. Si vous avez ajouté des personnalisations via des fichiers CSS, PHP ou JS, vous devrez copier votre code dans la nouvelle installation. À condition que vous soyez sûr à 100 % qu’il n’y a pas de code malveillant.

Connectez-vous à WordPress et assurez-vous de changer les mots de passe de tous les utilisateurs existants.

Si vous voyez des utilisateurs suspects que vous n’avez pas créés; il y a de fortes chances que votre base de données soit toujours compromise. Il est préférable de contacter un professionnel dans ce cas.

Étape 5. Réinstallez les plugins et les thèmes

Téléchargez de nouvelles copies de vos plugins et thèmes à partir du référentiel WordPress ou des marchés où vous les avez achetés.

Étape 6. Téléchargez vos images à partir de la sauvegarde

Examinez attentivement chaque dossier dans wp-content> uploads pour les fichiers suspects. Il ne devrait y avoir que les images que vous avez téléchargées dans WordPress, pas de fichiers PHP ou JS.

Une fois la vérification effectuée, transférez les images dans le dossier correspondant de votre nouvelle installation via Gestionnaire de fichiers ou FTP/SFTP.

Étape 7. Installez un plugin de sécurité et lancez une analyse.

Obtenez un plugin de sécurité de votre choix pour renforcer votre sécurité WordPress et être au courant de toute activité suspecte sur votre site WordPress.

Exécutez une analyse pour voir s’il reste des signes de logiciels malveillants après le nettoyage.

Étape 8. Supprimer les avertissements de sécurité

Si votre site Web est infecté depuis un certain temps, il est très probablement signalé par les moteurs de recherche et les hébergeurs Web. Pour supprimer les avertissements de logiciels malveillants de votre site Web, demandez un examen via la console de recherche lorsque tout le code malveillant a disparu.

Comment protéger votre site Web WordPress contre les logiciels malveillants

Bien que le cœur de WordPress soit entièrement sécurisé grâce au grand soin apporté par ses développeurs, ce sont les plugins et thèmes tiers qui font de ce CMS une cible si populaire des attaques en ligne.

La raison étant que leur code peut contenir des failles de sécurité rendant votre site Web sujet aux attaques en ligne.

Et puisque WordPress alimente environ 43 % d’Internet, une fois qu’une vulnérabilité de sécurité est découverte par des pirates, des milliers de sites Web deviennent un terrain de jeu pour des actions malveillantes.

Cela dit, il existe d’autres facteurs importants qui expliquent une grande partie des failles de sécurité de WordPress. Voici donc quelques conseils de sécurité importants qui vous aideront à assurer la sécurité de votre site Web WordPress :

Minimiser l’erreur humaine

L’erreur humaine est l’une des principales raisons des failles de sécurité dans tous les scénarios impliquant des informations d’identification. Habituellement, cela revient à avoir un mot de passe faible (rappelez-vous les attaques par force brute); à partager des informations sensibles en ligne ou simplement à tomber dans le piège d’un lien ou d’un site Web de phishing.

Une fois que vos informations d’identification sont compromises, ce n’est qu’une question de temps avant que votre site Web ne soit infecté par des logiciels malveillants.

Gardez votre WordPress à jour

Pour faire court, si vous utilisez une version précédente de WordPress, cela signifie qu’il a des vulnérabilités connues.

Chaque mise à jour de WordPress est accompagnée de notes indiquant les problèmes de sécurité qui ont été corrigés. Les pirates les lisent pour ensuite rechercher et cibler les sites Web qui n’ont pas été mis à jour.

Évitez d’utiliser des plugins et des thèmes obsolètes

Garder vos plugins et vos thèmes à jour est l’une des exigences de base pour que votre site Web soit sécurisé. Selon ScanWP, 52% des vulnérabilités de WordPress concernent les plugins.

Dites non aux plugins annulés

Un plugin annulé est un plugin premium piraté qui peut fonctionner sans licence tout en offrant un certain nombre de fonctionnalités premium.

Habituellement, les plugins annulés ont des problèmes de sécurité considérables et peuvent même contenir des logiciels malveillants.

Choisissez un hébergeur fiable

Malheureusement, tous les hébergeurs n’offrent pas le niveau de sécurité requis pour que votre site Web soit protégé du côté serveur. C’est pourquoi nous vous recommandons vivement de choisir des hébergeurs spécialement conçus pour WordPress.

Gardez un plugin de sécurité activé

L’utilisation d’un plugin de sécurité (même gratuit) vous permettra de garder un œil sur l’état de votre sécurité en exécutant des analyses régulières, d’activer le pare-feu pour une meilleure protection et de mettre en œuvre des mesures supplémentaires comme l’authentification à deux facteurs.

Conclusion

Nous espérons que ce guide vous aidera à identifier tous les types de logiciels malveillants que vous pourriez rencontrer et à supprimer avec succès les logiciels malveillants de votre site Web WordPress afin que vous puissiez le remettre en marche.

WordPress étant une plate-forme populaire, nous prévoyons qu’il alimentera 50 % de tous les sites Web d’ici 2025 – parmi les propriétaires d’entreprise et les pirates informatiques, nous vous recommandons fortement de placer la sécurité de votre site Web en tête de vos priorités.

Même les mesures de sécurité les plus élémentaires peuvent vous protéger de la majorité des attaques en ligne, assurant ainsi la sécurité de votre entreprise et la satisfaction de vos clients.

Quelle est votre approche pour sécuriser votre site Web? Faites-le nous savoir dans les commentaires ou sur Twitter.

Et si vous voulez plus de conseils sur la sécurité, consultez notre article sur Sécuriser son site WordPress en 23 points.

Lire aussi:

Sécuriser son site WordPress en 23 points

Sécuriser son site WordPress en 23 points

Avec plus de 3,809,448 cyber attaques enregistrée en 2019, dont 43% ciblant des PME (Source: Cybersecurity Ventures), sécuriser son site Wordpress en 2020 est plus qu'une nécessite. Un script open source tel que le CMS Wordpress, quelque soit son degré de fiabilité,...

lire plus