Hack d'un site sous WP

Chafouin · #1 2021-01-17 19:50:47

J'ai un petit problème qui n'impacte pas vraiment mon SEO (pas encore) mais j'aimerais pouvoir le résoudre...par contre je n'y connais pas grand chose

Un type a généré des centaines de pages qui redirigent vers son site marchand et je ne sais pas comment les supprimer. C'est tout con j'imagine mais c'est pas l'interface de wordpress qui me permet de le faire.

Peut-être que je dois chercher les pages dans la BDD et les supprimer manuellement ?
Je vous remercie d'avance pour votre aide

edit : j'ai trouvé cette page suspecte sur mon site /xmlrpc.php

Dernière modification par Chafouin (2021-01-17 20:29:01)

Chafouin · #2 2021-01-17 20:43:42

Je vous donne d'autres détails au fur et à mesure où j'avance...

D'après ce que j'ai lu, XML-RPC c'est un protocole d'appel de procédure à distance qui permet à quiconque d'interagir à distance avec votre site Web WordPress. Un type a piloté mon site sans avoir à se connecter manuellement via la page standard «wp-login.php».

Du coup j'ai regardé un peu ce qui est préconisé et il faut ajouter ceci dans le fichier .htaccess pour y placer ce bout de code

<files xmlrpc.php>
Order allow,deny
Deny from all
</files>

Et là je suis tombé sur ce qui a été sans doute modifié par le gars

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^.*/(\d+)-.*/$ toolo/index\.php?id=$1&%{QUERY_STRING} [L]
RewriteRule ^(.*)-item-\d+/$ toolo/index\.php?cat=$1&%{QUERY_STRING} [L]
RewriteRule ^.*(page[a-z]+map\.xml)$ sitepage/$1 [L]
RewriteRule ^.*(sitemap\.xml)$ sitepage/$1 [L]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Je précise que je n'y comprends rien mais ça ne devrait pas être là
Il y a bien un dossier toolo sur mon serveur avec les fameuses pages...

Il y a quelque chose à faire ? Je delete tout ?

Ziltosh · #3 2021-01-17 20:52:22

Tu peux tout effacer oui (et supprimer sur la search console si c'est indexé).
C'est un hack assez "classique" de WP... si il n'a modifié que ça tu as de la chance.
Dans pas mal de cas, ils mettent ou modifient des fichiers un peu partout pour pouvoir réinjecter leur truc.

Si jamais ça revient, tu peux chercher dans les fichiers si tu as des .ico bizarres ou des eval() qui se sont glissés par ci par là.

Seoxis · #4 2021-01-17 21:49:32

S'il a posté des articles sur ton blog le mieux que tu as à faire est de sauvegarder tes articles et de supprimer ton blog

recrée en un en choisissant un meilleur login/password (autre que 1234)
désactive xmlrpc.php s'il existe encore dans les nouvelles versions (pas sur)

d'une manière général si tu n'utilises pas une fonctionnalité il faut la désactiver (api REST etc)

et la base en matière de sécurité est de tjrs avoir un WP à jour (ca n'aide pas mais c'est mieux que rien)

Ziltosh · #5 2021-01-18 06:42:26

Dans la majorité des cas que j'ai eu, il n'y a pas de modifications des articles/pages du site, trop flag. Il n'y a même pas de connexion à l'administration (il suffit de mettre un truc genre wp-cerber pour avoir les logs de connexion), ils profitent d'une faille apache ou d'un plugin pour avoir accès aux fichiers.
Ils posent un/des fichiers qui permettent de mettre pleins de pages dans un sous répertoire et indexent ces pages.

Ca a le mérite d'être beaucoup moins voyant pour celui qui ne fait pas de site: .

Dernière modification par Ziltosh (2021-01-18 08:29:33)

chn16000 · #6 2021-01-18 07:25:38

Pour sécuriser un peu plus tu peux mettre une double authentification pour accéder à ton wp-admin. JulienG a partagé un script ici me semble-t-il ou sur son site.

Et FabienR a également fait une excellente vidéo sur YT sur comment sécuriser son WP un peu plus.

Et évite des plugins tel que filemanager.

Ziltosh · #7 2021-01-18 08:31:39

Si c'est la même chose que j'ai eu sur certains de mes WP (avec 200 sites, ça augmente forcément le risque), ça ne servira a rien le 2FA. Il n'y a aucune connexion à l'administration, j'avais wp-cerber pour vérifier les logs de connexion. En tout cas ça y ressemble fort avec un dossier créée qui contient toutes les pages de spam et une redirection dans le htaccess.
AMHA pour ma part ils sont passés par une faille d'un plugin ou d'apache pour avoir les droits en écriture sur les fichiers.

Dernière modification par Ziltosh (2021-01-18 08:32:34)

Chafouin · #8 2021-01-18 09:34:53

Merci pour vos retours.
Effectivement le gars n'est pas passé par le login mes logs de connexion sont bons.

Je vais faire le ménage dans les plugins et les mettre à jour.
J'hésite à tout delete et réinstaller le site en entier...il y a tellement d'éléments publiés.

Chafouin · #9 2021-01-18 09:38:42

Pour le fichier .htaccess vous me confirmez que je dois supprimer ça

RewriteRule ^.*/(\d+)-.*/$ toolo/index\.php?id=$1&%{QUERY_STRING} [L]
RewriteRule ^(.*)-item-\d+/$ toolo/index\.php?cat=$1&%{QUERY_STRING} [L]
RewriteRule ^.*(page[a-z]+map\.xml)$ sitepage/$1 [L]
RewriteRule ^.*(sitemap\.xml)$ sitepage/$1 [L]

et laisser

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

?

Amlil71 · #10 2021-01-18 10:06:41

Bon courage @Chafouin !

Je cherche aussi une extension de sécurité pas trop gourmande en CPU et RAM et qui fasse le taff.

Mcurly · #11 2021-01-18 13:37:39

Perso j'utilise très souvent ithemes security,
Ya quasi tout dans la version gratuite, c'est très complet. Sinon il y a Sucuri qui fait le taff aussi.

Amlil71 a écrit :

Bon courage @Chafouin !
Je cherche aussi une extension de sécurité pas trop gourmande en CPU et RAM et qui fasse le taff.

Amlil71 · #12 2021-01-18 14:22:11

Merci @Mcurly , je vais tester ça

Dernière modification par Amlil71 (2021-01-18 14:22:34)

Chafouin · #13 2021-01-19 18:46:01

Le gars a recommencé à trifouiller dans mes fichiers et à modifier le .htaccess avec l'upload de nouvelles pages. Elles n'ont pas eu le temps d'être indexées du coup c'est ça en moins, mais j'ai l'impression qu'il faut tout manuellement.

J'ai fait toutes les MAJ dispo et j'ai modifié 2-3 trucs au niveau des plugins.
J'ai installé iThemes Security, je le prévoyais depuis un moment maintenant...donc c'est fait. Du coup ça me permet aussi de faire une double authentification.

La version Pro dispose d'une fonctionnalité qui concerne mon problème : System Tweaks

System Tweaks
These are advanced settings that may be utilized to further strengthen the security of your WordPress site.
Note: These settings are listed as advanced because they block common forms of attacks but they can also block legitimate plugins and themes that rely on the same techniques. When activating the settings below, we recommend enabling them one by one to test that everything on your site is still working as expected.
Remember, some of these settings might conflict with other plugins or themes, so test your site after enabling each setting.
System Files    Protect System Files
Prevent public access to readme.html, readme.txt, wp-config.php, install.php, wp-includes, and .htaccess. These files can give away important information on your site and serve no purpose to the public once WordPress has been successfully installed.
Directory Browsing    Disable Directory Browsing
Prevents users from seeing a list of files in a directory when no index file is present.
Request Methods    Filter Request Methods
Filter out hits with the trace or track request methods.
Suspicious Query Strings    Filter Suspicious Query Strings in the URL
These are very often signs of someone trying to gain access to your site but some plugins and themes can also be blocked.
Non-English Characters    Filter Non-English Characters
Filter out non-english characters from the query string. This should not be used on non-english sites and only works when "Filter Suspicious Query String" has been selected.
Long URL Strings    Filter Long URL Strings
Limits the number of characters that can be sent in the URL. Hackers often take advantage of long URLs to try to inject information into your database.
File Writing Permissions    Remove File Writing Permissions
Prevents scripts and users from being able to write to the wp-config.php file and .htaccess file. Note that in the case of this and many plugins this can be overcome however it still does make the files more secure. Turning this on will set the UNIX file permissions to 0444 on these files and turning it off will set the permissions to 0664.
PHP in Uploads    Disable PHP in Uploads
Disable PHP execution in the uploads directory. This blocks requests to maliciously uploaded PHP files in the uploads directory.
PHP in Plugins    Disable PHP in Plugins
Disable PHP execution in the plugins directory. This blocks requests to PHP files inside plugin directories that can be exploited directly.
PHP in Themes    Disable PHP in Themes
Disable PHP execution in the themes directory. This blocks requests to PHP files inside theme directories that can be exploited directly.

Pour ceux qui seraient intéressés...du coup j'ai coché Protect System Files, ce qui est censé bloquer la modif des fichiers de base de WP (dont le fameux .htaccess).
A voir si ça tient...sinon il y a d'autres options je ferais des tests.

Merci encore pour vos conseils

Dernière modification par Chafouin (2021-01-19 18:47:46)

debutantseo · #14 2021-01-20 16:24:02

bonjour moi j utilise all one security

Chafouin · #15 2021-01-21 12:36:10

Bon finalement je n'ai pas réussi à me débarrasser des intrusions...j'ai tout réinstallé à neuf et importé mon contenu. Pour le moment c'est safe...a voir sur la durée

Mcurly · #16 2021-01-21 21:59:15

Tu as bien fait, le problème quand tu as eu une intrusion, c'est que le code malveillant peut avoir été inséré sur tellement de fichiers différents.. le coeur de WordPress, les themes, les plugins etc. ca peut être une vrai plaie à s'en débarrasser.

Chafouin a écrit :

Bon finalement je n'ai pas réussi à me débarrasser des intrusions...j'ai tout réinstallé à neuf et importé mon contenu. Pour le moment c'est safe...a voir sur la durée

Dernière modification par Mcurly (2021-01-21 22:00:22)

Chafouin · #17 2021-01-23 09:00:38

Héhé je pense avoir trouvé la porte d'entrée du margoulin...

Je dois vous avouer que j'étais très réticent à l'idée de tout réinstaller, car j'avais beaucoup de pages et d'articles et à chaque fois il y a toujours des tonnes de petites modifications à faire. Bref j'ai insisté et par le plus grand des hasards le site a bug...du genre "Fatal error WP" avec la présence d'un fichier erroné dans un plugin...

Ni une ni deux j'ai delete manuellement le dossier dédié au plugin ....

Popup Plugin For WordPress - ConvertPlus

Il était très volumineux le dossier....et par magie plus aucun problème depuis

Cela n'était pas arrivé depuis longtemps, je n'ai plus aucune modif ou ajout de fichiers sur mon hébergeur. Donc c'était bien ce plugin (qui était pourtant à jour) qui posait problème.

Du coup si je devais donner un conseil, je commencerais par supprimer un plugin à la fois et tester.

Wait & See

Dernière modification par Chafouin (2021-01-23 09:09:40)

nazim · #18 2021-03-16 17:40:04

@chafouin
Content d'apprendre que t'as pu régler ton pb.
En règle générale se sont les plugins qui sont attaqués car maintenus par de petites équipes.
c'était d'ailleurs ton cas regarde ce lien qui reporte des failles :

https://www.wordfence.com/blog/2019/05/critical-vulnerability-patched-in-popular-convert-plus-plugin/

Je ne dis pas que c'est cette faille en particulier, mais ça prouve que ce plugin est ciblé et "footprinté".
Le problème dans ce cas c'est de vérifier que la faille n'a pas permis au hacker d'installer un shell qui peut exécuter des tas de merde depuis ton {hébergement | serveur} envoyer des spams, modifier des fichiers etc... Le plus connu est c99 et ses variants.

Pour protéger son WP voici quelques bonnes pratiques :
- Mise à jour
- Backup réguliers - qui permettent en plus de la sauvegarde des données d'avoir un modèle de structure des dossiers & fichiers lors d'investigation
- Dans les cas de multisites sur le même hebergement, une bdd par site + éviter les préfixes par défaut lors de l'installation
- Protection de l'admin par .htpasswd
- Modifier l'url d'admin
- Dossier wp-include avec .htaccess
- Monitorer les tentatives d'accès à l'admin
- Permissions d’accès aux fichiers (755 pour les dossiers et 644 pour les fichiers)
- Eviter les usernames de type admin administrator etc...
- Requeter de temps en temps la table wp_posts pour voir s'il n'y a pas des merdes indésirables (iframe, display:none etc...)
- Installer un plugin "secu" genre wordfence qui prends en compte la majorité de ce que je viens de citer

- Ah j'oubliais il n'y a rien de gratuit dans la vie donc les plugins nulled & co à moins de savoir vraiment ce que vous faites méfiez vous en comme de la peste.

Dernière modification par nazim (2021-03-16 18:10:35)

Amlil71 · #19 2021-03-16 18:07:38

nazim a écrit :

Pour protéger son WP voici quelques bonnes pratiques :
- Mise à jour
- Backup réguliers - qui permettent en plus de la sauvegarde des données d'avoir un modèle de structure des dossiers & fichiers lors d'investigation
- Dans les cas de multisites pas hébergement, une bdd par site + éviter les préfixes par défaut lors de l'installation
- Protection de l'admin par .htpasswd
- Modifier l'url d'admin
- Dossier wp-include avec .htaccess
- Monitorer les tentatives d'accès à l'admin
- Permissions d’accès aux fichiers (755 pour les dossiers et 644 pour les fichiers)
- Eviter les usernames de type admin administrator etc...
- Requeter de temps en temps la table wp_posts pour voir s'il n'y a pas des merdes indésirables (iframe, display:none etc...)
- Installer un plugin "secu" genre wordfence qui prends en compte la majorité de ce que je viens de citer
- Ah j'oubliais il n'y a rien de gratuit dans la vie donc les plugins nulled & co à moins de savoir vraiment ce que vous faites méfiez vous en comme de la peste.

+100

Nilav · #20 2021-03-16 19:30:32

nazim a écrit :

@chafouin
Content d'apprendre que t'as pu régler ton pb.
En règle générale se sont les plugins qui sont attaqués car maintenus par de petites équipes.
c'était d'ailleurs ton cas regarde ce lien qui reporte des failles :
https://www.wordfence.com/blog/2019/05/critical-vulnerability-patched-in-popular-convert-plus-plugin/
Je ne dis pas que c'est cette faille en particulier, mais ça prouve que ce plugin est ciblé et "footprinté".
Le problème dans ce cas c'est de vérifier que la faille n'a pas permis au hacker d'installer un shell qui peut exécuter des tas de merde depuis ton {hébergement | serveur} envoyer des spams, modifier des fichiers etc... Le plus connu est c99 et ses variants.
Pour protéger son WP voici quelques bonnes pratiques :
- Mise à jour
- Backup réguliers - qui permettent en plus de la sauvegarde des données d'avoir un modèle de structure des dossiers & fichiers lors d'investigation
- Dans les cas de multisites sur le même hebergement, une bdd par site + éviter les préfixes par défaut lors de l'installation
- Protection de l'admin par .htpasswd
- Modifier l'url d'admin
- Dossier wp-include avec .htaccess
- Monitorer les tentatives d'accès à l'admin
- Permissions d’accès aux fichiers (755 pour les dossiers et 644 pour les fichiers)
- Eviter les usernames de type admin administrator etc...
- Requeter de temps en temps la table wp_posts pour voir s'il n'y a pas des merdes indésirables (iframe, display:none etc...)
- Installer un plugin "secu" genre wordfence qui prends en compte la majorité de ce que je viens de citer
- Ah j'oubliais il n'y a rien de gratuit dans la vie donc les plugins nulled & co à moins de savoir vraiment ce que vous faites méfiez vous en comme de la peste.

C'est pas galère de changer l'URL de wp-admin ?

Perso j'ai bloqué wp-login.php et je crée une page cachée façon Prestashop. Sur cette page, le formulaire de connexion est chargé en JS. Je monitore avec fail2ban.
Pour le username, vous pouvez faire un compte admin, administrator, etc. mais qui n'ont que des droits utilisateurs. Ça encourage les bots ou humains à aller dans une mauvaise direction.

🟣 Hack d'un site sous WP

#1 2021-01-17 19:50:47

Hack d'un site sous WP

#2 2021-01-17 20:43:42

Re : Hack d'un site sous WP

#3 2021-01-17 20:52:22

Re : Hack d'un site sous WP

#4 2021-01-17 21:49:32

Re : Hack d'un site sous WP

#5 2021-01-18 06:42:26

Re : Hack d'un site sous WP

#6 2021-01-18 07:25:38

Re : Hack d'un site sous WP

#7 2021-01-18 08:31:39

Re : Hack d'un site sous WP

#8 2021-01-18 09:34:53

Re : Hack d'un site sous WP

#9 2021-01-18 09:38:42

Re : Hack d'un site sous WP

#10 2021-01-18 10:06:41

Re : Hack d'un site sous WP

#11 2021-01-18 13:37:39

Re : Hack d'un site sous WP

#12 2021-01-18 14:22:11

Re : Hack d'un site sous WP

#13 2021-01-19 18:46:01

Re : Hack d'un site sous WP

#14 2021-01-20 16:24:02

Re : Hack d'un site sous WP

#15 2021-01-21 12:36:10

Re : Hack d'un site sous WP

#16 2021-01-21 21:59:15

Re : Hack d'un site sous WP

#17 2021-01-23 09:00:38

Re : Hack d'un site sous WP

#18 2021-03-16 17:40:04

Re : Hack d'un site sous WP

#19 2021-03-16 18:07:38

Re : Hack d'un site sous WP

#20 2021-03-16 19:30:32

Re : Hack d'un site sous WP

Pied de page des forums