Que faire si votre site WordPress est piraté ? Trucs et astuces pour une solution rapide.
Publié: 2022-04-28L'un des pires scénarios possibles pour un propriétaire de site Web aujourd'hui est de se faire pirater. Si vous n'y avez pas pensé à l'avance et que vous n'avez pas protégé votre site à l'aide de plugins de sécurité et d'autres mesures, vous pourriez avoir de sérieux problèmes.
Il est essentiel de comprendre le plus tôt possible que vous avez été piraté et de faire de votre mieux au moment donné pour minimiser les mauvaises conséquences. Bien sûr, il est souvent visible que quelque chose s'est passé et que le site Web fonctionne exactement comme il se doit.
Mais d'un autre côté, il est difficile de comprendre ce qui s'est réellement passé, en particulier parce que tous les hacks ne sont pas identiques, mais il y a des signes qui indiquent que quelque chose a mal tourné ou qu'un acte criminel a été impliqué.
Chante Votre site a été piraté
Connection impossible
Un signe indéniable que vous avez été piraté. Les raisons de l'impossibilité de se connecter peuvent être nombreuses, allant de l'impossibilité de se souvenir de vos informations d'identification à la non-validité du compte en raison d'un changement d'administrateur ou d'une attaque de pirate.
Si vous ne pouvez pas vous connecter, votre compte a peut-être été supprimé et vous devez être sûr de la cause de la suppression afin de savoir ce que vous devez faire ensuite pour récupérer votre compte et reprendre le contrôle du site.
Contenu inconnu sur le site ou un message "Vous êtes piraté"
C'est un autre signe évident que votre site a été piraté. Si votre site ne ressemble pas à ce que vous avez configuré et si du texte supplémentaire apparaît, les choses sont assez claires. Votre site Web est géré par quelqu'un d'autre sans votre permission, ce qui signifie une seule chose, c'est que votre site est piraté. De plus, si vous voyez le message "vous êtes piraté", qui veut tout dire, la seule chose que vous pouvez faire est d'essayer de reprendre le contrôle du site et de récupérer votre contenu.
Le site est redirigé ailleurs
L'une des pires choses qui puisse arriver est certainement la redirection de votre site vers un autre site, qu'il s'agisse du site Web d'un concurrent ou de tout autre site où vous ne voudriez jamais que vos visiteurs se retrouvent. Il est crucial de prendre soin du serveur et d'obtenir un hébergement de qualité afin de vous protéger de telles situations où vous perdez vos visiteurs, vos conversions sont en baisse et, au final, vous perdez du profit.
Google Chrome affiche un avertissement
Si Google Chrome affiche un avertissement indiquant que votre site a été compromis, il est très probable qu'une attaque de pirate en soit la cause. Il est impératif de suivre les avertissements et de diagnostiquer ce qui les a provoqués dès que possible.
Des publicités/popups sont affichés
Ce qui peut être un signe clair d'une attaque et peut certainement nuire à votre réputation auprès des visiteurs, c'est l'affichage de publicités, de popups et de contenus similaires que vous n'y avez pas mis vous-même. Au contraire, vous étiez simplement la cible de quelqu'un, et quelqu'un a inondé votre site de contenu non autorisé.
Pour aggraver les choses, il est même possible que ceux-ci vous soient cachés. Une personne qualifiée pourrait facilement placer des annonces supplémentaires et les rendre visibles uniquement aux utilisateurs qui ne se connectent pas. Si cela devait arriver, vous pourriez même ne pas en être conscient.
Comment réparer un site piraté
Après avoir réalisé que votre site a été piraté, ce que vous faites dépend uniquement de ce qui s'est passé exactement et de ce qui doit être corrigé. WordPress est si populaire et largement utilisé aujourd'hui, mais cela ne signifie pas qu'il est infaillible à 100 %.
La « tâche » la plus importante et, en même temps, la plus difficile est de rester calme, car la situation exige un sang-froid extrême, et vous ne devez tout simplement pas paniquer car cela pourrait affecter la suite des étapes nécessaires pour sauver votre site.
Certaines des étapes typiques pour découvrir que votre site a été piraté sont les suivantes : réinitialiser les mots de passe, mettre à jour les plugins et les thèmes, supprimer les utilisateurs redondants, supprimer les fichiers indésirables, nettoyer le plan du site, réinstaller les plugins, nettoyer votre base de données, etc.
Cependant, dans le reste du texte, nous traiterons des règles courantes, faciles et largement applicables.
1. Le script ERS gratuit
Il s'agit d'un script WordPress créé pour récupérer votre site WordPress dans la situation la plus critique, sans qu'il soit nécessaire de modifier des fichiers, du code ou quoi que ce soit dans la base de données. Comme ce script est créé pour vous aider à éviter de réinstaller l'intégralité du site, il vous évite automatiquement le risque supplémentaire de perdre des données.
Comme nous l'avons indiqué, l'impossibilité de se connecter à votre compte administrateur est un problème sérieux, de sorte que l'impossibilité d'accéder au panneau d'administration limite automatiquement tout plugin et son activation que vous utiliseriez autrement pour la récupération. C'est là qu'intervient le script ERS - un script PHP à fichier unique qui ne nécessite aucun fichier ou fonction pour récupérer votre site.
Certaines des situations où le script ERS est utile sont :
- Suppression, déplacement ou modification de l'un des fichiers principaux de WP
- Mauvaises mises à jour de WP, qui entraînent la mort du site
- Connexion infructueuse pour quelque raison que ce soit
- Perte des privilèges d'administrateur
- Perte de tous les objets et données
L'ERS dispose d'un large éventail d'outils, et chacun d'eux a sa responsabilité spécifique.
En voici quelques uns:
Informations WordPress - Fournit des informations sur l'installation de WP telles que l'emplacement de wp-config.php, la version de WP, les informations d'accès à la base de données, et bien plus encore.
Informations sur le serveur - Fournit des informations sur les serveurs qui incluent les versions PHP et MySQL et l'accès à la fonction phpinfo() à partir de laquelle vous pouvez obtenir des informations plus détaillées sur le serveur.
Fichiers principaux - Vérifie chaque fichier principal et le compare avec son original et vous avertit de toute modification apportée. ERS télécharge automatiquement le fichier d'origine lorsqu'il détecte un fichier principal modifié, afin que vous puissiez facilement remplacer le fichier modifié. Il ne vérifie pas seulement les modifications du fichier principal. Il détecte également les fichiers qui n'appartiennent pas aux fichiers principaux de WP et vous permet de les supprimer très facilement.
Réinitialiser WordPress – Fournit un moyen très rapide et facile de réinitialiser complètement votre installation WP. Il réinitialise en fait votre base de données aux valeurs par défaut. Il nettoie toutes vos données de la base de données, y compris tous les comptes d'utilisateurs, mais les autres fichiers tels que les thèmes et les plugins restent intacts.
Instantanés - Fournit une liste de tous les instantanés que vous avez créés pour votre site, s'il y en a, même ceux qui sont hors site, et plus encore, il vous permet de restaurer n'importe quel instantané que vous voulez avec l'option "Restaurer".
Plugins - Cela vous permet d'activer/désactiver n'importe quel plugin que vous voulez, de la même manière que vous le feriez depuis l'administrateur WP, afin de pouvoir accéder à votre administrateur WP si vous ne pouviez pas y accéder après avoir installé un mauvais plugin ou plugin mettre à jour.
2. Réinitialisation WP
Le plugin WP Reset, en tant que mise à niveau du script ERS décrit ci-dessus, est également une solution. Il existe de nombreuses raisons pour lesquelles quelqu'un voudrait réinitialiser sa page WordPress, y compris le cas où la page a été piratée.
Effectuer ces actions manuellement peut être chronophage mais aussi fastidieux. Ce plugin réinitialise l'ensemble du site ou des parties sélectionnées en utilisant des capacités de réinitialisation avancées aux valeurs par défaut rapidement et efficacement. Non seulement il a la capacité de réinitialiser partiellement et complètement votre site WordPress, mais il offre également de nombreuses autres fonctionnalités intéressantes.
Les instantanés, en tant que caractéristique importante de ce plugin, représentent une forme sérieuse de sécurité. Cette fonctionnalité joue un rôle majeur dans l'apprentissage des modifications apportées aux éléments de la base de données en fournissant un aperçu des tables personnalisées qui ont été créées, modifiées, supprimées, etc. Les instantanés peuvent être comparés aux tables de base de données actuelles, restaurés ou supprimés, et cela ne prend qu'une -2 secondes pour créer un instantané.
Une bonne pratique serait de créer un instantané à chaque fois que vous apportez une modification au site. Plus précisément, une fois que vous avez terminé une modification, créez un instantané. De cette façon, vous aurez toujours un instantané frais et mis à jour stocké, et vous êtes en sécurité si vous perdez vos données/contenu, quelle que soit la cause de la perte.
Donc, si votre site est piraté et que vous avez créé un instantané, trouvez simplement celui que vous souhaitez utiliser et cliquez sur "restaurer". Bientôt, votre site est tel qu'il était au moment où l'instantané a été créé.
3. Restaurer une sauvegarde
Une sauvegarde qui est en fait une copie de votre site existant vous aidera à récupérer votre site très rapidement si quelque chose d'inattendu se produit. C'est en quelque sorte similaire à la création d'instantanés, donc rien de compliqué mais bénéfique.
Ainsi, si vous avez utilisé la sauvegarde par mesure de précaution sur votre site après que le site a été piraté, il s'agit d'une étape nécessaire pour récupérer votre page et la restaurer à l'ancienne, au lieu de repartir de zéro et de perdre un temps précieux.
Si la sauvegarde se trouve au même endroit que votre site, vous avez moins de chances de bénéficier de cette sauvegarde car elle peut également être piratée. C'est pourquoi il est recommandé de stocker les sauvegardes à distance, de préférence sur un cloud.
4. Contactez votre fournisseur d'hébergement
Comme autre option pour récupérer votre site, si vous n'avez pas utilisé la sauvegarde par vous-même, contactez votre fournisseur d'hébergement. En général, ces sociétés ont pour habitude de créer régulièrement une sauvegarde des sites dont elles assurent l'hébergement et assurent ainsi une certaine sécurité.
S'il arrive vraiment que vous trouviez une sauvegarde de votre site auprès de votre hébergeur, c'est une situation idéale, et vous êtes prêt à récupérer. Comme il s'agit d'une situation idéale, ce n'est pas courant, assurez-vous donc de vous sécuriser au maximum afin d'éviter la situation où vous dépendez de quelqu'un, en l'occurrence, votre hébergeur, puisqu'il n'est pas obligé d'avoir une sauvegarde. C'est juste une possibilité.
5. Trouvez une entreprise pour le réparer pour vous
Il existe de nombreuses options à examiner en ce qui concerne les services de maintenance. Vous pouvez obtenir une solution ponctuelle ou embaucher quelqu'un pour le faire en permanence. Cependant, il s'agit d'un sujet trop vaste pour être traité dans cet article. Pour plus d'informations sur ces entreprises et leurs tarifs, nous vous suggérons de consulter celle-ci.
Assurez-vous que cela ne se reproduise plus
Ce qui s'est passé une fois peut se reproduire à tout moment. Une fois que vous avez tout récupéré avec succès et pensé que tout est plus sûr qu'avant, il y a toujours des étapes supplémentaires nécessaires pour que vous ne vous retrouviez plus dans une situation délicate. Il est évident pour tout le monde à quel point il vaut mieux prévenir que guérir, surtout quand il s'agit de quelque chose dans lequel vous avez beaucoup investi.
Grâce aux plugins que WordPress propose à ses utilisateurs, il est très facile de faire ces démarches. Rappelons-nous simplement ce qu'un plugin comme WP Reset peut faire pour vous, par exemple. Ce plugin vous fera économiser en cas de problème et vous fera gagner du temps, de l'argent et ainsi de suite, et nous voulons tous avoir quelque chose comme ça.
Hébergement de qualité
Aussi important qu'il soit de créer un blog ou un site de qualité, il est tout aussi important, sinon plus important, de choisir un fournisseur d'hébergement de qualité car il tient réellement votre site entre ses mains. Comme dans toute autre industrie, toutes les entreprises qui offrent ce service ne sont pas de bonne qualité et n'offrent pas le même niveau de sécurité.
Il est donc très important de rechercher en détail la réputation de l'entreprise et de choisir celle qui offre la meilleure sécurité afin que même en cas de situation indésirable, ils disposent toujours d'une sauvegarde qui vous permettra de restaurer votre site.
Plug-ins de sécurité
Une autre chose à garder à l'esprit est d'utiliser des plugins de sécurité. Après tout, ce qui précède est une séquence logique car la sécurité doit passer en premier. Étant donné que WordPress prend très au sérieux la sécurité, ainsi que d'autres paramètres, vous êtes libre de faire votre choix parmi une myriade d'options disponibles.
L'un des plugins qui offre la meilleure protection pour votre site Web est Wordfence Security - Firewall & Malware Scan. Ce plugin gratuit vous empêche d'être piraté en vous avertissant rapidement par e-mail lorsque votre site est exposé à un problème de sécurité ou est simplement compromis et vous donne également la possibilité d'avoir un aperçu en temps réel du trafic et des tentatives de piratage sur votre site Web.
La version premium du plugin WebARX est un moyen idéal pour protéger votre site. Ce plugin pratique empêche non seulement les attaques sur votre site, mais protège également toute application PHP, qui peut inclure WordPress, Laravel, Joomla, Magento, Drupal et Symfony.
De plus, avec ce plugin, vous obtiendrez un aperçu de la sécurité de tous vos sites Web sur un seul tableau de bord. Ainsi, WebARX est une plateforme de sécurité pour protéger tous vos sites, que vous soyez une agence digitale, un développeur web ou un freelance qui gère plusieurs sites.
Une autre excellente option est Security Ninja. Ce plugin est destiné simplement à tous ceux qui souhaitent une protection supplémentaire pour leur site et empêcher les attaques sur celui-ci. Incluant simplement tout ce dont vous avez besoin pour la sécurité, ce plugin vous fournira une protection avec un pare-feu, un scanner de logiciels malveillants, des analyses planifiées, des tests de sécurité, etc.
Tant de choses utiles et un simple plugin sont des éléments indispensables pour protéger votre site. En tant que plugin de protection disponible depuis plus de 10 ans, Security Ninja a jusqu'à présent protégé des milliers de sites Web.
Conclusion
WordPress lui-même est une plate-forme sécurisée, mais aujourd'hui, absolument aucun système ne peut être considéré comme complètement invulnérable, et la prudence et la sécurité ne suffisent jamais. Quelle que soit sa taille, quelle que soit son activité, grande ou petite, personne n'est en sécurité ou complètement protégé.
Essayer de construire un site Web de la meilleure façon possible comporte toujours un certain risque. Mais cela ne doit pas vous décourager. Ce qui est un gros avantage, c'est le fait qu'il existe de nombreux plugins de sécurité disponibles pour WordPress qui peuvent vous aider à protéger votre site autant que vous le pouvez. L'utilisation de ces plugins peut vous faire économiser du travail, du temps et de l'argent, mais également vous protéger du stress inutile.
Rappelons-nous que le script ERS que nous avons mentionné peut vous aider lorsque vous êtes dans une situation désespérée, ainsi que le plugin WP Reset, vous devez donc certainement penser à les faire protéger votre travail. Donc, si vous pensez être complètement protégé, gardez à l'esprit que posséder un site Web comporte toujours un certain risque et que vous devez toujours essayer de le minimiser.