Site wordpress hacké

Guillaume0824 · #1 2021-08-23 11:19:35

Hello à tous

petit message car je suis dans une situation delicate pour laquelle je sais pas trop comment je peux m'en sortir.

Je viens de m'apercevoir que le wordpress d'un client avait été hacké : injection de milliers de pages. J'ai pu m'en rendre compte car la search console m'a remonté 9000 pages en erreurs avec des urls bizarres et infomaniak m'a dit que j'avais des malware sur le site qui avait mis en quarantaine.

Scan infomaniak :

Les urls ressemblent à ça :

Elles ne n'ont malheureusement pas vraiment de pattern pour les exclure depuis la search console

En allant sur mon FTP je suis tombé sur des trucs un peu bizarres mais je ne suis pas dev donc compliqué de savoir si je fais pas une connerie :

Un dossier : pro_map avec des xml qui sont en réel des sitemaps de toutes les urls degueu injectées

Un dossier : basketl qui semble être la ou ils ont crée le template des pages mais j'ai un accès denied quand j'y accède

et le clou du spectacle une regle bizarre dans mon htaccess.

# BEGIN iThemes Security - Ne modifiez pas ou ne supprimez pas cette ligne
# iThemes Security Config Details: 2
# Passer au travers de l’en-tête d’autorisation.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^.*-(\d+).shtml$ basketl/index\.php?id=$1&%{QUERY_STRING} [L]
RewriteRule ^(.*)/item.shtml$ basketl/index\.php?cat=$1&%{QUERY_STRING} [L]
RewriteRule ^.*(site[a-z]+promap\.xml)$ pro_map/$1 [L]
RewriteRule ^.*(sitemap\.xml)$ pro_map/$1 [L]
RewriteCond %{HTTP:Authorization} ^(.*)
RewriteRule .* - [e=HTTP_AUTHORIZATION:%1]
</IfModule>

Très etrange que ça soit melé avec ithemes security. Peut être que la faille vient de la.

A partir de la je sais pas trop quoi faire. Mon hypothese :
=> Je supprime tout
=> Essaie de virer ces pages depuis la search console
=> Passe ces pages en 410

Vous en pensez quoi ?

Random465 · #2 2021-08-23 12:00:12

Les thèmes gratuits ...
Y a pas une portion de code encodée en base64 par hasard dans le thème?

Sinon pour ton hypothèse, je ferais la même, ou des redirections 301. Ca a été fait il y a longtemps ?

Guillaume0824 · #3 2021-08-23 12:21:11

Merci de ta reponse. C'est un theme elementor

Apparemment les fichiers ont été injectées le 12/08 donc ça fait un peu de temps oui. Les vacances ont pas aidés à detecter le probleme rapidement.

Pour la soumission dans le removal de la search console comme j'ai pas de pattern d'url, ça va etre compliqué de mettre les 9000 urls à la main. Je sais pas si un zennoposter pour me gérer ça. Tu as une idée ?

Pareil pour mes 410 dans mon htacess je vais pas avoir trop le choix que de toutes les mettre à la suite.

Guillaume0824 · #4 2021-08-23 12:36:33

ahhh ou sinon en mettant .shtml car ce sont que des urls en shtml. Ca peut peut etre fonctionné

greenleesh · #5 2021-10-19 16:02:00

Salut, j'ai le même soucis sur mon site, à la même date.

Perso, j'ai tout remis à zéro (j'ai pris une sauvegarde et j'ai tout réinstallé). Mais j'ai toujours des milliers d'url indexées par GG, et il ne veut pas les virer.

Tu as pu les virer de l'index toi ?

Elles sont toutes en 404.

Certaines sont des urls (liées crypto et cie) et d'autres sont des paramètres sur la page d'accueil.

J'ai soumis un sitemap des urls pourries (945 sur 12 000 environ) avec ce que me donne la search console. Ca a pas trop mal marché car j'ai moins d'url indexées (je suis passé a 6700) mais j'ai des 5xx (environ 570)

Tu as pu t'en sortir ?

Jaffaar · #6 2021-10-19 16:19:46

Salut,

Google met bcp de temps a désindexer il va falloir être patients les gars.

greenleesh · #7 2021-10-25 10:18:43

Jaffaar a écrit :

Salut,
Google met bcp de temps a désindexer il va falloir être patients les gars.

C'est mon problème n°1 .

Mais oui, perso ça commence a bouger un peu. Le truc c'est que ça m'a fait plonger niveau rankings récemment. Sinon j'aurais laissé faire.

OncleShu · #8 2021-10-25 15:47:25

parfois ca peut etre bénéfique https://twitter.com/loic_helias/status/ … 31137?s=27

Guillaume0824 · #9 2021-11-08 19:01:12

Au final on a reussi à résoudre le probleme mais c'etait un cas hyper interessant

En gros le "gars" avait injecté deux dossiers qui generaient des milliers de pages. On a essayé de les supprimer plusieurs fois mais impossible elle se regeneraient à chaque fois puis on s'est rendu compte qu'il y avait des fichiers dans le coeur de wordpress modifiés donc reinstallation de wordpress et clean des deux dossiers et zou c'etait reglé.

Toutes les pages problematiques etaient heureusement en 403. Infomaniak avait je pense bloqué tout ça. Donc on a laissé les 403 et on a plus rien la dans la search console maintenant

Guillaume0824 · #10 2021-12-07 08:48:47

Je viens de lancer une analyse de log sur mon site et google continue à aller voir ces pages "injectées" qui sont desormais en 404. Vous feriez quoi ? j'ai peur que faire des redirections soit un peu trop risqué

Enrick · #11 2021-12-07 09:36:14

Une fois que Google connait une URL, il peut continuer à la visiter pendant des mois / années... Peut-être qu'avec une 410 ça le ralentira un peu mais en tout cas maintenant il faut être patient (le fait qu'il visite encore tes 404 n'est pas forcément un problème).

Amlil71 · #12 2021-12-07 11:08:15

Salut, J'ai le même souci sur un site. Je l'ai nettoyé mais maintenant j'ai pléthore d'URL 404 dans la search console.

Je suis quand même surpris que GG mette si longtemps à désindexer des urls toxiques quand on voit la difficulté qu'il met à indexer des bonnes urls.

🟣 Site wordpress hacké

#1 2021-08-23 11:19:35

Site wordpress hacké

#2 2021-08-23 12:00:12

Re : Site wordpress hacké

#3 2021-08-23 12:21:11

Re : Site wordpress hacké

#4 2021-08-23 12:36:33

Re : Site wordpress hacké

#5 2021-10-19 16:02:00

Re : Site wordpress hacké

#6 2021-10-19 16:19:46

Re : Site wordpress hacké

#7 2021-10-25 10:18:43

Re : Site wordpress hacké

#8 2021-10-25 15:47:25

Re : Site wordpress hacké

#9 2021-11-08 19:01:12

Re : Site wordpress hacké

#10 2021-12-07 08:48:47

Re : Site wordpress hacké

#11 2021-12-07 09:36:14

Re : Site wordpress hacké

#12 2021-12-07 11:08:15

Re : Site wordpress hacké

Pied de page des forums