Utilisateur d'Elementor Pro ? Vous devez lire ceci !

WordPress a été le moteur de mon activité en ligne au cours des sept dernières années et est sans doute l'outil le plus essentiel de l'arsenal de tout référencement.

Avec un nombre estimé d'installations dépassant 455 000 000, 35 % des propriétaires de sites Web sont apparemment d'accord.

D'innombrables plugins et combinaisons de thèmes en font la plate-forme idéale pour les moins «technophiles» pour donner vie à leurs idées et les présenter à un public en ligne.

Malheureusement, cela fait également de WordPress une cible pour les spécialistes du marketing "chapeau noir" sans scrupules qui piratent votre site pour lui faire faire quelque chose qu'il n'est pas censé faire - un exploit qu'ils ont récemment réalisé à grande échelle.

En tant qu'utilisateur d'Elementor Pro, il est possible que vous ayez déjà été mordu…

Et vous n'êtes probablement pas plus sage.

Vulnérabilité Elementor Pro

Le 6 mai, Wordfence a publié cet article expliquant comment 1 million de sites pourraient être menacés par une attaque active.

Les attaquants utilisaient une faiblesse dans la sécurité d'Elementor Pro pour rediriger de manière malveillante vos visiteurs vers leurs propres sites ou même prendre le contrôle de votre site Web.

L'équipe Elementor n'a pas tardé à corriger la faille et les utilisateurs ont été encouragés à mettre à jour la dernière version dès que possible.

La mise à jour a procuré la tranquillité d'esprit à beaucoup - moi y compris - jusqu'à ce que je découvre que l'attaquant avait déjà eu accès à un grand nombre de sites que je gère et que la mise à jour ne ferait pas la moindre différence.

Si votre site a déjà été compromis, la mise à jour ne le résoudra PAS.

Que pourrait faire un pirate informatique avec mon site ?

Lorsqu'elle est exécutée avec succès, cette attaque particulière installe un webshell appelé "wp-xmlrpc.php" (il est nommé ainsi pour se fondre dans vos fichiers système)

Un webshell donne à l'attaquant un accès complet à votre site et souvent à votre serveur, ce qui signifie qu'il peut :

• Ajouter, modifier ou supprimer du contenu
• Insérer des liens pour la valeur SEO
• Redirigez votre trafic vers leur propre site
• Supprimez tout !
• … À peu près tout ce à quoi vous pouvez penser

Sans oublier que si vous utilisez WooCommerce, l'attaquant peut avoir accès à certaines de vos données client.

Comment savoir si j'ai été piraté ?

Vous n'avez pas besoin d'être un expert technique pour savoir si votre site a été affecté.

Suivez simplement ces étapes :

1. Vérifiez les utilisateurs de WordPress

Un nouvel utilisateur sur votre site est généralement le premier signe que quelqu'un a essayé d'exploiter la vulnérabilité Elementor Pro.

Un cadeau mort est si vous avez reçu un e-mail de votre site WordPress vous informant qu'un nouvel utilisateur a été créé vers la première semaine ou les deux de mai.

Tout d'abord, connectez-vous à votre zone d'administration WordPress à l'aide de votre compte administrateur et accédez à "Utilisateurs".

Recherchez tout nom d'utilisateur suspect ou inconnu.

La sécurité WebARX a publié une liste de tous les noms d'utilisateur connus utilisés dans l'attaque jusqu'à présent.

Si vous voyez l'un des noms d'utilisateur dans votre panneau, passez directement à Si vous avez été piraté.

Important : Ce n'est pas parce qu'il n'y a pas de nom d'utilisateur suspect que votre site est sûr.

2. Vérifiez vos fichiers

Vous pouvez examiner vos fichiers WordPress en utilisant FTP / SFTP / File Manager.

Dans votre dossier racine WordPress (généralement le premier dossier que vous voyez lorsque vous vous connectez), recherchez un fichier appelé wp-xmlrpc.php.

Si ce fichier existe, l'attaquant a réussi à y accéder. Il est peu probable que la suppression du fichier à ce stade soit utile.

Vous devriez également vérifier /wp-content/uploads/elementor/custom-icons/

Tous les fichiers ici que vous ne reconnaissez pas comme quelque chose que vous avez téléchargé ont probablement été plantés là par un attaquant.

Plus précisément, recherchez :

• wpstaff.php
• demo.html
• Lire Mw.txt
• config.json
• icônes-reference.html
• sélection.json
• polices.php

3. Exécutez une analyse de sécurité

Si vous utilisez un hébergeur WordPress géré tel que WPEngine, WPX Hosting, SiteGround, etc., ils pourront généralement le faire pour vous.

Ceci est généralement préférable à l'exécution de votre propre analyse à l'aide de Wordfence ou de Sucuri, car votre hôte peut avoir accès aux fichiers système d'analyse que ces plugins manqueraient autrement.

Les plugins de sécurité WordPress gratuits populaires sont généralement capables de détecter un changement dans les fichiers principaux de WordPress, mais n'interprétez pas un résultat d'analyse propre comme une garantie que votre site est sûr.

Un pare-feu protège généralement les abonnés payants de ces outils, et il y a plus de chances que l'attaque échoue.

5. Visitez votre site

Avez-vous visité votre propre site récemment et avez-vous été redirigé vers un autre ?

Le fonctionnement exact de cette redirection malveillante reste inconnu.

Visitez votre site en utilisant ces méthodes :

• Utiliser d'autres navigateurs en mode Privé / Incognito
• Visitez votre site en utilisant un proxy
• Cliquez sur votre site à partir de Google ou des médias sociaux

Si l'un de ces éléments entraîne une redirection vers autre chose que votre propre site Web, vous avez probablement été piraté.

Si vous avez été piraté ou si vous n'êtes pas sûr

Revenir à une version précédente

De nombreux hébergeurs proposent des sauvegardes de 14 à 30 jours. Espérons que cet article vous trouvera à temps si vous avez été affecté, vous permettant de restaurer votre site à une date antérieure à l'attaque.

Remarque : si vos sauvegardes sont stockées sur votre serveur à l'aide de quelque chose comme Updraft, il est possible qu'elles soient également infectées.

Savoir quand vous avez été agressé

Par défaut, WordPress n'affichera pas les dates et heures d'enregistrement des utilisateurs.

Installez un plugin appelé Admin Columns.

Dans les paramètres du plugin, activez la colonne "Enregistrement" pour "Utilisateurs".

Désormais, lorsque vous accédez à la page "Utilisateurs" de WordPress, une nouvelle colonne affiche la date à laquelle l'utilisateur malveillant a été créé.

Alternativement, si vous avez vos journaux d'accès au serveur, vous pouvez rechercher l'entrée "wpstaff.php".

Restaurez votre site sur une sauvegarde créée avant la date et l'heure de l'attaque.

Une fois la sauvegarde restaurée, mettez à jour vos plugins dès que possible pour empêcher une autre attaque.

Ensuite, vérifiez à nouveau l'utilisateur et les fichiers malveillants.

Prise en charge de l'hébergement géré

Si vous avez un hébergeur géré tel que ceux répertoriés ci-dessus, parlez à son support des mesures de sécurité et s'il propose un nettoyage des logiciels malveillants.

Les hôtes tels que WPX Hosting et WPEngine l'incluent gratuitement avec tous les packages.

Service de nettoyage

De nombreux services de suppression de logiciels malveillants "faits pour vous" ont déjà signalé le récent problème d'Elementor Pro.

Certains sont répertoriés ici, veuillez faire vos propres recherches car je ne les ai pas personnellement testés et je ne suis pas non plus affilié :

• https://www.wordfence.com/wordfence-site-cleanings/
• https://www.getastra.com/website-cleanup-malware-removal
• https://sucuri.net/website-security-platform/help-now/

Reconstruire

Cela semble être une mesure drastique, mais si vous envisagiez quand même de reconstruire votre site, c'est maintenant l'occasion idéale de repartir de zéro.

De cette façon, vous savez avec certitude qu'aucun fichier malveillant ne se cache en arrière-plan.

Assurez-vous simplement d'utiliser un autre compte d'installation ou d'hébergement.

Empêcher un piratage

Il est difficile d'empêcher un piratage lorsque vous ne savez pas à l'avance quels plugins contiennent des vulnérabilités.

Quelques conseils de base pour prévenir de futurs piratages :

• Utilisez un hôte WordPress géré - ils ont généralement une analyse et une suppression des logiciels malveillants, et renforcent leurs installations WP par défaut (en empêchant l'exécution de fichiers PHP dans les dossiers de téléchargement)
• Gardez les plugins, les thèmes et WordPress Core à jour
• Utilisez un plugin de sécurité. À tout le moins, activez le pare-feu et le durcissement de WordPress. WordFence Premium, Sucuri et WebARX sont toutes de bonnes solutions
• Exécutez WPScan ou vérifiez WPVulnDB pour les plugins et thèmes vulnérables que vous pourriez utiliser.

Votre site WordPress a-t-il été piraté ?

Comment avez-vous abordé le problème ?

Faites le nous savoir dans les commentaires.