WordPress piraté : Nettoyer en 2 minutes votre site hacké

Votre site WordPress ouvre des fenêtres intempestives lorsque vous cliquez sur un lien ? Il redirige vos pages vers des pages de publicité plus ou moins sympas ? Pas de soucis, je vais vous expliquer dans ce post la marche à suivre pour désinfecter votre installation WordPress en 2 minutes et supprimer ces redirections publicitaires.

L’attaque par injection de code

Ces attaques de WordPress sont courantes et concernent les sites qui n’ont pas été protégés par un antivirus ou un plugin de sécurité. Cependant, malgré l’installation de plugins de type « Wordfence », « iTheme security », il arrive que certains malware infestent votre site WordPress.

Les fichiers généralement en cause sont : « wp-vcd.php », « wp-tmp.php », « wp-feed.php », « admin_ips.txt », « helad.php ».

La technique détaillée ci-dessous vous permet d’identifier et de supprimer ces fichiers dans vos dossiers WordPress. Si cette solution ne fonctionne pas sur votre site web WordPress, merci de nous contacter pour obtenir de l’aide.

Identifer et supprimer les fichiers malveillants

Pour parvenir à ses fins, le pirate a injecté des fichiers et des lignes de codes dans vos fichiers WordPress.
La solution consiste à supprimer ces fichiers infectés et nettoyer certains dossiers WP.

Étape 1

Supprimer les fichiers
wp-vcd.php, wp-tmp.php, wp-feed.php

Nous allons dans cette première étape supprimer les fichiers qui ont été ajoutés à vos dossiers WordPress. Lesdits fichiers ne font pas partie de l’installation de base de WP, il n’y a pas de risque de casser ou planter votre site.

Lancez votre client FTP et connectez-vous à votre serveur. Vous pouvez utiliser Filezilla

Ouvrez le dossier « www » ou « public_html »

Ouvrez le dossier « wp_includes »

Dans « wp_includes », en bas de la liste des fichiers et dossiers, trouvez les fichiers :

  • « wp-vcd.php »
  • et/ou « wp-tmp.php »
  • et/ou « wp-feed.php »

Ce sont ces fichiers qui ont été ajoutés à votre dossier « wp_includes ». Ils n’ont rien à faire dans ce dossier, ni dans les autres d’ailleurs.

Supprimez ces fichiers de votre serveur : sélection > clic droit > supprimer
Étape 2

Éditer le fichier fonctions.php

Dans cette seconde étape, nous allons nettoyer les lignes de code qui ont été injectées dans certains fichiers de WordPress.

Lancez votre client FTP et connectez-vous à votre serveur. Vous pouvez utiliser Filezilla

  • Ouvrez le dossier « www » ou « public_html »
  • Ouvrez le dossier « wp_content »
  • Ouvrez le dossier « themes »
  • Ouvrez le dossier contenant votre thème WordPress

Editer « fonctions.php » : Sélectionnez puis ouvrez le fichier « fonctions.php » avec un éditeur HTML. C’est dans ce fichier que les lignes de code ont été ajoutées.

  • Supprimer les lignes hackées : Vous devez repérer les lignes ajoutées, puis les supprimer. Ces lignes sont injectées en début de fichier, elles commencent par « <?php » en ligne 1 et se termine en général par : « //$end_wp_theme_tmp ?> » en ligne 170.
  • Vous devez alors supprimer l’intégralité des lignes entre la ligne 1 et la ligne 170.
  • Enregistrez les changements (si le fichier a été téléchargé sur votre ordinateur, pensez à le renvoyer vers le serveur et d’écraser l’ancien).

WordPress piraté : Nettoyer en 2 minutes votre site hacké 1WordPress piraté : Nettoyer en 2 minutes votre site hacké 2

Il est possible que le numéro des lignes de votre fichier « fonctions.php » ne corresponde pas exactement avec cet exemple. Veillez à repérer les lignes infectées.

  • Si vous avez un doute sur le fichier « fonctions.php », Vous pouvez également télécharger le fichier « fonctions.php » d’origine de votre thème WordPress afin de l’écraser et le remplacer. Attention : le remplacement supprimera les éventuelles modifications que vous aviez apportées au code.

Attention, ne pas supprimer tout le contenu de « fonctions.php ».

r

Important

Important : si vous avez installé un thème enfant, pensez à traiter également le fichier « fonctions.php » présent dans ce dossier.

Étape 3

Supprimer les fichiers
admin_ips.txt et helad.php

Dans cette troisième étape, nous allons localiser et supprimer d’autres fichiers vérolés qui n’ont rien à faire dans vos dossiers WP.

Lancez votre client FTP et connectez-vous à votre serveur. Vous pouvez utiliser Filezilla

  • Ouvrez le dossier « www » ou « public_html »
  • Ouvrez le dossier « wp_content »
  • Ouvrez le dossier « plugins »

Repérez les deux fichiers : admin_ips.txt et helad.php qui sont en bas de votre liste de plugins.

Supprimez ces deux fichiers de manière définitive. Si l’option vous est proposée, choisissez de les supprimer définitivement, sans ajout à la corbeille.

r

Important

Important : si vous avez sur votre serveur plusieurs installations WordPress, pensez à les contrôler. Ce type d’injection se propage très rapidement dans tous les dossiers.

Isolez vos sites

La solution O2Switch

Si vous utilisez O2Switch, créez des « lunes ». Il s’agit d’une fonction qui vous permet de découper votre compte en plusieurs sous-comptes. Vous pourrez ainsi isoler vos sites et minimiser un risque de transmission de hack entre vos sites.

Étape 4

Protéger votre site WordPress

Après avoir désinfecté les fichiers et lignes de code « wp-vcd.php » « wp-tmp.php » « wp-feed.php », « fonctions.php », « admin_ips.txt » et « helad.php » nous allons protéger votre installation WordPress afin que ces infections ne se reproduisent plus.

Plugin gratuit « iThemes Security »

Le plugin de sécurité « iThemes Security » est efficace contre différents types de menaces et d’attaque vers votre site web. Nous vous conseillons de l’installer.

  • Allez dans l’administration de votre site WordPress « wp-admin »
  • Cliquez sur « Extensions » puis « Ajouter »
  • Rechercher l’extension « iThemes Security »
  • Cliquez sur « installer »
  • À la fin de l’installation, cliquez sur « Activer »
  • Allez dans les réglages de « iThemes Security » (menu gauche > iThemes Security)
  • Cliquez sur « Secure site »
  • D’autres options sont disponibles selon vos besoins

Télécharger iThemes Security

Plugin gratuit « Loginizer »

Ce plugin WordPress va sécuriser les attaques brute force en bloquant le nombre de connexions échouées à votre administration WordPress.

  • Allez dans l’administration de votre site WordPress « wp-admin »
  • Cliquez sur « Extensions » puis « Ajouter »
  • Rechercher l’extension « Loginizer »
  • Cliquez sur « installer »
  • À la fin de l’installation, cliquez sur « Activer »
  • Le plugin est désormais opérationnel.

Télécharger Loginizer

Problème réglé, oui mais…

Le problème des redirections des pages de votre site vers des pubs tierces est désormais corrigé. Oui mais, savez-vous que WordPress est le CMS le plus utilisé au monde ? Raison pour laquelle les hackeurs s’en donnent à cœur joie pour imaginer et diffuser des attaques tous les jours en direction des sites WordPress.
Votre site reste vulnérable à certaines attaques pirates et d’autres actions plus poussées sont nécessaires afin de protéger efficacement votre site WordPress.

Protéger votre installation WordPress

N’hésitez pas à nous consulter pour une sécurisation de votre installation.