Vous n'êtes pas identifié(e).

  • Contributions :
  • Vos boîtes de messages privés sont vides.
Bienvenue sur la ligne de front SEO francophone. Nouveau ? Présentez vous sur ce formulaire pour gagner le Niveau 1 ! (Forum des présentation)

🟣 Hack d'un site sous WP


#1 2021-01-17 19:50:47

Mention Chafouin
🥈 Grade : Soldier

Membre du CercleOfficierStratège10likesConsomateur de Liens
Inscription : 2015-09-17
Messages : 527
Likes : 43

Rédaction
Sémantique

Hack d'un site sous WP

J'ai un petit problème qui n'impacte pas vraiment mon SEO (pas encore) mais j'aimerais pouvoir le résoudre...par contre je n'y connais pas grand chose roll

Un type a généré des centaines de pages qui redirigent vers son site marchand et je ne sais pas comment les supprimer. C'est tout con j'imagine mais c'est pas l'interface de wordpress qui me permet de le faire.

Peut-être que je dois chercher les pages dans la BDD et les supprimer manuellement ?
Je vous remercie d'avance pour votre aide cool

edit : j'ai trouvé cette page suspecte sur mon site /xmlrpc.php

Dernière modification par Chafouin (2021-01-17 20:29:01)


Skype : Chafouin Seo
▶ Content is king, link is his queen, optimized content is emperor

1
J'aime ❤️

🔴 Hors ligne

#2 2021-01-17 20:43:42

Mention Chafouin
🥈 Grade : Soldier

Membre du CercleOfficierStratège10likesConsomateur de Liens
Inscription : 2015-09-17
Messages : 527
Likes : 43

Rédaction
Sémantique

Re : Hack d'un site sous WP

Je vous donne d'autres détails au fur et à mesure où j'avance...

D'après ce que j'ai lu, XML-RPC c'est un protocole d'appel de procédure à distance qui permet à quiconque d'interagir à distance avec votre site Web WordPress. Un type a piloté mon site sans avoir à se connecter manuellement via la page standard «wp-login.php».

Du coup j'ai regardé un peu ce qui est préconisé et il faut ajouter ceci dans le fichier .htaccess pour y placer ce bout de code

<files xmlrpc.php>
Order allow,deny
Deny from all
</files>

Et là je suis tombé sur ce qui a été sans doute modifié par le gars

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^.*/(\d+)-.*/$ toolo/index\.php?id=$1&%{QUERY_STRING} [L]
RewriteRule ^(.*)-item-\d+/$ toolo/index\.php?cat=$1&%{QUERY_STRING} [L]
RewriteRule ^.*(page[a-z]+map\.xml)$  sitepage/$1 [L]
RewriteRule ^.*(sitemap\.xml)$  sitepage/$1 [L]

RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Je précise que je n'y comprends rien mais ça ne devrait pas être là lol
Il y a bien un dossier toolo sur mon serveur avec les fameuses pages...

Il y a quelque chose à faire ? Je delete tout ?


Skype : Chafouin Seo
▶ Content is king, link is his queen, optimized content is emperor

1
J'aime ❤️

🔴 Hors ligne

#3 2021-01-17 20:52:22

Mention Ziltosh
🥉 Grade : Scout

AuxiliaireIngénieur web10likes
Inscription : 2020-08-20
Messages : 94
Likes : 18

Scraping
Développement PHP
Développement JS
intégration Html Css

Re : Hack d'un site sous WP

Tu peux tout effacer oui (et supprimer sur la search console si c'est indexé).
C'est un hack assez "classique" de WP... si il n'a modifié que ça tu as de la chance.
Dans pas mal de cas, ils mettent ou modifient des fichiers un peu partout pour pouvoir réinjecter leur truc.

Si jamais ça revient, tu peux chercher dans les fichiers si tu as des .ico bizarres ou des eval() qui se sont glissés par ci par là.

1
J'aime ❤️

🟢 En ligne

#4 2021-01-17 21:49:32

Mention Seoxis
🥈 Grade : Soldier

Membre du CercleOfficierStratège10likes
Lieu : Calais
Inscription : 2014-04-29
Messages : 687
Likes : 13

Scraping
Netlinking Auto
Audit et Analyse
Automatisation Web
Site Web

Re : Hack d'un site sous WP

S'il a posté des articles sur ton blog le mieux que tu as à faire est de sauvegarder tes articles et de supprimer ton blog

recrée en un en choisissant un meilleur login/password (autre que 1234)
désactive xmlrpc.php s'il existe encore dans les nouvelles versions (pas sur)

d'une manière général si tu n'utilises pas une fonctionnalité il faut la désactiver (api REST etc)

et la base en matière de sécurité est de tjrs avoir un WP à jour (ca n'aide pas mais c'est mieux que rien)


Envie de me faire plaisir , achetez les mêmes proxys que j'utilise via ce lien : -=[ buyproxies.org ]=-  (15€ pour 10 proxys dédiés)

Envie de tester ZennoPoster c'est par ici : -=[ ZennoPoster ]=- (à partir de 87$)

1
J'aime ❤️

🔴 Hors ligne

#5 2021-01-18 06:42:26

Mention Ziltosh
🥉 Grade : Scout

AuxiliaireIngénieur web10likes
Inscription : 2020-08-20
Messages : 94
Likes : 18

Scraping
Développement PHP
Développement JS
intégration Html Css

Re : Hack d'un site sous WP

Dans la majorité des cas que j'ai eu, il n'y a pas de modifications des articles/pages du site, trop flag. Il n'y a même pas de connexion à l'administration (il suffit de mettre un truc genre wp-cerber pour avoir les logs de connexion), ils profitent d'une faille apache ou d'un plugin pour avoir accès aux fichiers.
Ils posent un/des fichiers qui permettent de mettre pleins de pages dans un sous répertoire et indexent ces pages.

Ca a le mérite d'être beaucoup moins voyant pour celui qui ne fait pas de site: .

Dernière modification par Ziltosh (2021-01-18 08:29:33)

1
J'aime ❤️

🟢 En ligne

#6 2021-01-18 07:25:38

Mention chn16000
🥈 Grade : Soldier

Membre du CercleOfficierStratège10likes1000 messagesMembre Hospitalier
Inscription : 2017-04-07
Messages : 1 734
Likes : 27

Marketing
Audit et Analyse
Automatisation Web

Re : Hack d'un site sous WP

Pour sécuriser un peu plus tu peux mettre une double authentification pour accéder à ton wp-admin. JulienG a partagé un script ici me semble-t-il ou sur son site.

Et FabienR a également  fait une excellente vidéo sur YT sur comment sécuriser son WP un peu plus.

Et évite des plugins tel que filemanager.


Soyez vous-même, les autres sont déjà pris

1
J'aime ❤️

🔴 Hors ligne

#7 2021-01-18 08:31:39

Mention Ziltosh
🥉 Grade : Scout

AuxiliaireIngénieur web10likes
Inscription : 2020-08-20
Messages : 94
Likes : 18

Scraping
Développement PHP
Développement JS
intégration Html Css

Re : Hack d'un site sous WP

Si c'est la même chose que j'ai eu sur certains de mes WP (avec 200 sites, ça augmente forcément le risque), ça ne servira a rien le 2FA. Il n'y a aucune connexion à l'administration, j'avais wp-cerber pour vérifier les logs de connexion. En tout cas ça y ressemble fort avec un dossier créée qui contient toutes les pages de spam et une redirection dans le htaccess.
AMHA pour ma part ils sont passés par une faille d'un plugin ou d'apache pour avoir les droits en écriture sur les fichiers.

Dernière modification par Ziltosh (2021-01-18 08:32:34)

1
J'aime ❤️

🟢 En ligne

#8 2021-01-18 09:34:53

Mention Chafouin
🥈 Grade : Soldier

Membre du CercleOfficierStratège10likesConsomateur de Liens
Inscription : 2015-09-17
Messages : 527
Likes : 43

Rédaction
Sémantique

Re : Hack d'un site sous WP

Merci pour vos retours.
Effectivement le gars n'est pas passé par le login mes logs de connexion sont bons.

Je vais faire le ménage dans les plugins et les mettre à jour.
J'hésite à tout delete et réinstaller le site en entier...il y a tellement d'éléments publiés.


Skype : Chafouin Seo
▶ Content is king, link is his queen, optimized content is emperor

1
J'aime ❤️

🔴 Hors ligne

#9 2021-01-18 09:38:42

Mention Chafouin
🥈 Grade : Soldier

Membre du CercleOfficierStratège10likesConsomateur de Liens
Inscription : 2015-09-17
Messages : 527
Likes : 43

Rédaction
Sémantique

Re : Hack d'un site sous WP

Pour le fichier .htaccess vous me confirmez que je dois supprimer ça

RewriteRule ^.*/(\d+)-.*/$ toolo/index\.php?id=$1&%{QUERY_STRING} [L]
RewriteRule ^(.*)-item-\d+/$ toolo/index\.php?cat=$1&%{QUERY_STRING} [L]
RewriteRule ^.*(page[a-z]+map\.xml)$  sitepage/$1 [L]
RewriteRule ^.*(sitemap\.xml)$  sitepage/$1 [L]

et laisser

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

?


Skype : Chafouin Seo
▶ Content is king, link is his queen, optimized content is emperor

1
J'aime ❤️

🔴 Hors ligne

#10 2021-01-18 10:06:41

Mention Amlil71
🥈 Grade : Soldier

Membre du CercleOfficierStratège10likesConsomateur de Liens1000 messagesMembre Hospitalier
Lieu : Lyon-Taza
Inscription : 2017-12-23
Messages : 1 022
Likes : 26

Sémantique
Scraping
Netlinking
Audit et Analyse

Re : Hack d'un site sous WP

Bon courage  @Chafouin !

Je cherche aussi une extension de sécurité pas trop gourmande en CPU et RAM et qui fasse le taff.


2008,  Ghiata Pierre premier site et premier pas dans le SEO. Depuis le SEO ne m'a jamais quitté...

0
J'aime ❤️

🔴 Hors ligne

#11 2021-01-18 13:37:39

Mention Mcurly
🥉 Grade : Scout

AuxiliaireStratège
Inscription : 2019-08-27
Messages : 84
Likes : 0

Développement PHP
Automatisation Web
Netlinking

Re : Hack d'un site sous WP

Perso j'utilise très souvent ithemes security,
Ya quasi tout dans la version gratuite, c'est très complet. Sinon il y a Sucuri qui fait le taff aussi.

Amlil71 a écrit :

Bon courage  @Chafouin !

Je cherche aussi une extension de sécurité pas trop gourmande en CPU et RAM et qui fasse le taff.

0
J'aime ❤️

🔴 Hors ligne

#12 2021-01-18 14:22:11

Mention Amlil71
🥈 Grade : Soldier

Membre du CercleOfficierStratège10likesConsomateur de Liens1000 messagesMembre Hospitalier
Lieu : Lyon-Taza
Inscription : 2017-12-23
Messages : 1 022
Likes : 26

Sémantique
Scraping
Netlinking
Audit et Analyse

Re : Hack d'un site sous WP

Merci @Mcurly , je vais tester ça smile

Dernière modification par Amlil71 (2021-01-18 14:22:34)


2008,  Ghiata Pierre premier site et premier pas dans le SEO. Depuis le SEO ne m'a jamais quitté...

0
J'aime ❤️

🔴 Hors ligne

#13 2021-01-19 18:46:01

Mention Chafouin
🥈 Grade : Soldier

Membre du CercleOfficierStratège10likesConsomateur de Liens
Inscription : 2015-09-17
Messages : 527
Likes : 43

Rédaction
Sémantique

Re : Hack d'un site sous WP

Le gars a recommencé à trifouiller dans mes fichiers et à modifier le .htaccess avec l'upload de nouvelles pages. Elles n'ont pas eu le temps d'être indexées du coup c'est ça en moins, mais j'ai l'impression qu'il faut tout manuellement.

J'ai fait toutes les MAJ dispo et j'ai modifié 2-3 trucs au niveau des plugins.
J'ai installé iThemes Security, je le prévoyais depuis un moment maintenant...donc c'est fait. Du coup ça me permet aussi de faire une double authentification.

La version Pro dispose d'une fonctionnalité qui concerne mon problème : System Tweaks

System Tweaks
These are advanced settings that may be utilized to further strengthen the security of your WordPress site.

Note: These settings are listed as advanced because they block common forms of attacks but they can also block legitimate plugins and themes that rely on the same techniques. When activating the settings below, we recommend enabling them one by one to test that everything on your site is still working as expected.

Remember, some of these settings might conflict with other plugins or themes, so test your site after enabling each setting.

System Files     Protect System Files
Prevent public access to readme.html, readme.txt, wp-config.php, install.php, wp-includes, and .htaccess. These files can give away important information on your site and serve no purpose to the public once WordPress has been successfully installed.

Directory Browsing     Disable Directory Browsing
Prevents users from seeing a list of files in a directory when no index file is present.

Request Methods     Filter Request Methods
Filter out hits with the trace or track request methods.

Suspicious Query Strings     Filter Suspicious Query Strings in the URL
These are very often signs of someone trying to gain access to your site but some plugins and themes can also be blocked.

Non-English Characters     Filter Non-English Characters
Filter out non-english characters from the query string. This should not be used on non-english sites and only works when "Filter Suspicious Query String" has been selected.

Long URL Strings     Filter Long URL Strings
Limits the number of characters that can be sent in the URL. Hackers often take advantage of long URLs to try to inject information into your database.

File Writing Permissions     Remove File Writing Permissions
Prevents scripts and users from being able to write to the wp-config.php file and .htaccess file. Note that in the case of this and many plugins this can be overcome however it still does make the files more secure. Turning this on will set the UNIX file permissions to 0444 on these files and turning it off will set the permissions to 0664.

PHP in Uploads     Disable PHP in Uploads
Disable PHP execution in the uploads directory. This blocks requests to maliciously uploaded PHP files in the uploads directory.

PHP in Plugins     Disable PHP in Plugins
Disable PHP execution in the plugins directory. This blocks requests to PHP files inside plugin directories that can be exploited directly.

PHP in Themes     Disable PHP in Themes
Disable PHP execution in the themes directory. This blocks requests to PHP files inside theme directories that can be exploited directly.

Pour ceux qui seraient intéressés...du coup j'ai coché Protect System Files, ce qui est censé bloquer la modif des fichiers de base de WP (dont le fameux .htaccess).
A voir si ça tient...sinon il y a d'autres options je ferais des tests.

Merci encore pour vos conseils wink

Dernière modification par Chafouin (2021-01-19 18:47:46)


Skype : Chafouin Seo
▶ Content is king, link is his queen, optimized content is emperor

1
J'aime ❤️

🔴 Hors ligne

#14 2021-01-20 16:24:02

Mention debutantseo
🥉 Grade : Scout

AuxiliaireStratège
Inscription : 2015-03-29
Messages : 821
Likes : 8

Netlinking
Rédaction
Comunity Management

Re : Hack d'un site sous WP

bonjour moi j utilise  all one security

0
J'aime ❤️

🔴 Hors ligne

#15 2021-01-21 12:36:10

Mention Chafouin
🥈 Grade : Soldier

Membre du CercleOfficierStratège10likesConsomateur de Liens
Inscription : 2015-09-17
Messages : 527
Likes : 43

Rédaction
Sémantique

Re : Hack d'un site sous WP

Bon finalement je n'ai pas réussi à me débarrasser des intrusions...j'ai tout réinstallé à neuf et importé mon contenu. Pour le moment c'est safe...a voir sur la durée big_smile


Skype : Chafouin Seo
▶ Content is king, link is his queen, optimized content is emperor

0
J'aime ❤️

🔴 Hors ligne

#16 2021-01-21 21:59:15

Mention Mcurly
🥉 Grade : Scout

AuxiliaireStratège
Inscription : 2019-08-27
Messages : 84
Likes : 0

Développement PHP
Automatisation Web
Netlinking

Re : Hack d'un site sous WP

Tu as bien fait, le problème quand tu as eu une intrusion, c'est que le code malveillant peut avoir été inséré sur tellement de fichiers différents.. le coeur de WordPress, les themes, les plugins etc. ca peut être une vrai plaie à s'en débarrasser.

Chafouin a écrit :

Bon finalement je n'ai pas réussi à me débarrasser des intrusions...j'ai tout réinstallé à neuf et importé mon contenu. Pour le moment c'est safe...a voir sur la durée big_smile

Dernière modification par Mcurly (2021-01-21 22:00:22)

0
J'aime ❤️

🔴 Hors ligne

#17 2021-01-23 09:00:38

Mention Chafouin
🥈 Grade : Soldier

Membre du CercleOfficierStratège10likesConsomateur de Liens
Inscription : 2015-09-17
Messages : 527
Likes : 43

Rédaction
Sémantique

Re : Hack d'un site sous WP

Héhé je pense avoir trouvé la porte d'entrée du margoulin...

Je dois vous avouer que j'étais très réticent à l'idée de tout réinstaller, car j'avais beaucoup de pages et d'articles et à chaque fois il y a toujours des tonnes de petites modifications à faire. Bref j'ai insisté et par le plus grand des hasards le site a bug...du genre "Fatal error WP" avec la présence d'un fichier erroné dans un plugin...

Ni une ni deux j'ai delete manuellement le dossier dédié au plugin lol....

Popup Plugin For WordPress - ConvertPlus
cp-20.png

Il était très volumineux le dossier....et par magie plus aucun problème depuis tongue

Cela n'était pas arrivé depuis longtemps, je n'ai plus aucune modif ou ajout de fichiers sur mon hébergeur. Donc c'était bien ce plugin (qui était pourtant à jour) qui posait problème.

Du coup si je devais donner un conseil, je commencerais par supprimer un plugin à la fois et tester.

Wait & See big_smile

Dernière modification par Chafouin (2021-01-23 09:09:40)


Skype : Chafouin Seo
▶ Content is king, link is his queen, optimized content is emperor

0
J'aime ❤️

🔴 Hors ligne

#18 2021-03-16 17:40:04

Mention nazim
🥈 Grade : Soldier

Membre du CercleOfficierForce PolyvalenteStratège
Lieu : Nord
Inscription : 2018-03-30
Messages : 172
Likes : 9

Développement PHP
Stratégie
Networking SEO
Marketing

Re : Hack d'un site sous WP

@chafouin
Content d'apprendre que t'as pu régler ton pb.
En règle générale se sont les plugins qui sont attaqués car maintenus par de petites équipes.
c'était d'ailleurs ton cas regarde ce lien qui reporte des failles :

https://www.wordfence.com/blog/2019/05/critical-vulnerability-patched-in-popular-convert-plus-plugin/

Je ne dis pas que c'est cette faille en particulier, mais ça prouve que ce plugin est ciblé et "footprinté".
Le problème dans ce cas c'est de vérifier que la faille n'a pas permis au hacker d'installer un shell qui peut exécuter des tas de merde depuis ton {hébergement | serveur} envoyer des spams, modifier des fichiers etc... Le plus connu est c99 et ses variants.

Pour protéger son WP voici quelques bonnes pratiques :
- Mise à jour
- Backup réguliers - qui permettent en plus de la sauvegarde des données d'avoir un modèle de structure des dossiers & fichiers lors d'investigation 
- Dans les cas de multisites sur le même hebergement, une bdd par site + éviter les préfixes par défaut lors de l'installation
- Protection de l'admin par  .htpasswd
- Modifier l'url d'admin
- Dossier wp-include avec .htaccess
- Monitorer les tentatives d'accès à l'admin
- Permissions d’accès aux fichiers (755 pour les dossiers et 644 pour les fichiers)
- Eviter les usernames de type admin administrator etc...
- Requeter de temps en temps la table wp_posts  pour voir s'il n'y a pas des merdes indésirables (iframe, display:none etc...)
- Installer un plugin "secu" genre wordfence qui prends en compte la majorité de ce que je viens de citer

- Ah j'oubliais il n'y a rien de gratuit dans la vie donc les plugins nulled & co à moins de savoir vraiment ce que vous faites méfiez vous en comme de la peste.

Dernière modification par nazim (2021-03-16 18:10:35)

0
J'aime ❤️

🔴 Hors ligne

#19 2021-03-16 18:07:38

Mention Amlil71
🥈 Grade : Soldier

Membre du CercleOfficierStratège10likesConsomateur de Liens1000 messagesMembre Hospitalier
Lieu : Lyon-Taza
Inscription : 2017-12-23
Messages : 1 022
Likes : 26

Sémantique
Scraping
Netlinking
Audit et Analyse

Re : Hack d'un site sous WP

nazim a écrit :

Pour protéger son WP voici quelques bonnes pratiques :
- Mise à jour
- Backup réguliers - qui permettent en plus de la sauvegarde des données d'avoir un modèle de structure des dossiers & fichiers lors d'investigation 
- Dans les cas de multisites pas hébergement, une bdd par site + éviter les préfixes par défaut lors de l'installation
- Protection de l'admin par  .htpasswd
- Modifier l'url d'admin
- Dossier wp-include avec .htaccess
- Monitorer les tentatives d'accès à l'admin
- Permissions d’accès aux fichiers (755 pour les dossiers et 644 pour les fichiers)
- Eviter les usernames de type admin administrator etc...
- Requeter de temps en temps la table wp_posts  pour voir s'il n'y a pas des merdes indésirables (iframe, display:none etc...)
- Installer un plugin "secu" genre wordfence qui prends en compte la majorité de ce que je viens de citer

- Ah j'oubliais il n'y a rien de gratuit dans la vie donc les plugins nulled & co à moins de savoir vraiment ce que vous faites méfiez vous en comme de la peste.

+100


2008,  Ghiata Pierre premier site et premier pas dans le SEO. Depuis le SEO ne m'a jamais quitté...

0
J'aime ❤️

🔴 Hors ligne

#20 2021-03-16 19:30:32

Mention Nilav
🥉 Grade : Scout

AuxiliaireBusiness Man10likes
Lieu : Orléans
Inscription : 2019-10-23
Messages : 55
Likes : 10

Marketing
Advertising
Comunity Management
Sémantique
Site Web

Re : Hack d'un site sous WP

nazim a écrit :

@chafouin
Content d'apprendre que t'as pu régler ton pb.
En règle générale se sont les plugins qui sont attaqués car maintenus par de petites équipes.
c'était d'ailleurs ton cas regarde ce lien qui reporte des failles :

https://www.wordfence.com/blog/2019/05/critical-vulnerability-patched-in-popular-convert-plus-plugin/

Je ne dis pas que c'est cette faille en particulier, mais ça prouve que ce plugin est ciblé et "footprinté".
Le problème dans ce cas c'est de vérifier que la faille n'a pas permis au hacker d'installer un shell qui peut exécuter des tas de merde depuis ton {hébergement | serveur} envoyer des spams, modifier des fichiers etc... Le plus connu est c99 et ses variants.

Pour protéger son WP voici quelques bonnes pratiques :
- Mise à jour
- Backup réguliers - qui permettent en plus de la sauvegarde des données d'avoir un modèle de structure des dossiers & fichiers lors d'investigation 
- Dans les cas de multisites sur le même hebergement, une bdd par site + éviter les préfixes par défaut lors de l'installation
- Protection de l'admin par  .htpasswd
- Modifier l'url d'admin
- Dossier wp-include avec .htaccess
- Monitorer les tentatives d'accès à l'admin
- Permissions d’accès aux fichiers (755 pour les dossiers et 644 pour les fichiers)
- Eviter les usernames de type admin administrator etc...
- Requeter de temps en temps la table wp_posts  pour voir s'il n'y a pas des merdes indésirables (iframe, display:none etc...)
- Installer un plugin "secu" genre wordfence qui prends en compte la majorité de ce que je viens de citer

- Ah j'oubliais il n'y a rien de gratuit dans la vie donc les plugins nulled & co à moins de savoir vraiment ce que vous faites méfiez vous en comme de la peste.

C'est pas galère de changer l'URL de wp-admin ?

Perso j'ai bloqué wp-login.php et je crée une page cachée façon Prestashop. Sur cette page, le formulaire de connexion est chargé en JS. Je monitore avec fail2ban.
Pour le username, vous pouvez faire un compte admin, administrator, etc. mais qui n'ont que des droits utilisateurs. Ça encourage les bots ou humains à aller dans une mauvaise direction.

0
J'aime ❤️

🔴 Hors ligne

Pied de page des forums