[gwenm]

Bonjour,
J' ai un site wordpress avec son domaine et son hebergeur. Jusque là c 'est normal. Je subit une attaque ou je ne sais pas trop quoi, toutes les semaines et c'est toujours une erreur de ce genre 'Parse error: syntax error, unexpected '?' in /web/doclibre/www/index.php on line 18'. Je recommence mon site à chaque fois depuis 2 mois. J' en est parlé sur le forum de wordpress..on a fait un peu le tour. J' ai fait toutes les choses possible et inimaginable( scan, nettoyage, recherche de virus, defragmentation ect..) pour voir si c' était une attaque de virus ou autre..ca m' a l' air vraiment insurmontable..est ce que quelqu' un serait m' aider?

[captain_torche]

Pourrais-tu éventuellement poster le code de la page incriminée ? (Au moins jusqu'à la ligne 18 ...)

[Jeanluc]

Il semble que ton WordPress a été hacké. Cela serait plus facile à vérifier si tu postais le code demandé par captain_torche.

En cas de hack, le plus sûr est de tout effacer (fichiers et bases de données), de vérifier ton PC avec un antivirus à jour et de modifier tous tes mots de passe pour cet hébergement à commencer par ceux de ton FTP et de WordPress, puis de réinstaller des versions originales à jour de WordPress, du thème et des plugins indispensables et ensuite de recopier tes données à partir de sauvegardes sûres pour tes fichiers et la database.

Jean-Luc

[gwenm]

Oui je pense être hacké toutes les semaines.. en ce qui concerne tous ce que tu met jeanluc, ca à déjà été fait..c' est pour ca que je ne trouvre plus d' issus..

[Jeanluc]

gwenm, le 01 juin 2010 - 08:54, dit :

en ce qui concerne tous ce que tu met jeanluc, ca à déjà été fait.

Il faudrait le refaire, encore une fois, de manière complète, parce que si on le fait par partie, on risque de laisser passer les logiciels malveillants à travers les mailles du filet.

Et il faut répondre à cet interrogatoire:
- nom de l'hébergeur ? plan d'hébergement ?
- version de WordPress ? langue ?
- thème ? version ?
- liste complète des plugins ? versions ?

Jean-Luc

[gwenm]

En ce qui concerne l' hebergeur, c'est en mutualisé chez phpNux, version 2.9.2 wordpress en francais, Thème painted_Life, Plugins:adgallery slider,Akismet,Bad behavior, easy adsense,google document embedder (tous à jour)

Voilà msieur..

Et si je changeais d' hebergeur..?

[gwenm]

sinon, j' ai trouver un autre fichier index.php dans mes plugin



et la on voit bien le '?', contrairement a l' autre fichier index.php ou la ligne 18 c' est </br >. Et dedant c'est :
<?php
// Silence is golden.
?>

qui apparait

[Jeanluc]

Cet index.php dans le répertoire des plugins est normal.

L'index.php hacké dans le répertoire principal de WordPress doit être remplacé d'urgence par la version originale. Pas sûr que ce soit suffisant, mais ça limitera peut-être les dégats.

Le problème n'est probablement pas chez l'hébergeur. L'origine de la faille se trouve certainement chez toi (PC ou ailleurs). Désolé.

Jean-Luc

[gwenm]

j' ai aussi l' impression que c' est dans mon pc, malgré toutes les recherches et intervention qu' on pu faire..

[paolodelmare]

Et attention aux themes wp: certains peuvent contenir du code malicieux.

[gwenm]

j' ai remplacer le fichier comme tu m'a conseillé, et bien sur ca à marché..merci, je serais faire face maintenant à ce genre d' erreur..on en apprend tous les jours!

Par contre on se pose la question de réinitialiser complètement notre ordi, étant donné qu'on ne trouve pas de solution. Que feriez vous, vous?

[paolodelmare]

Réinstalle ton os
Place un bon antivirus/firewall
utilise des softs libres ou acquis légalement

Raz de ton hebergement (bdd comprise)
Nouveaux mdp ftp, bdd et compagnie
Reinstalle wp (derniere version)
Limite les extensions au strict necessaire, verifie que tu aies les dernières version et fais une recherche(securite) sur celles qui sont un peu exotiques
Supprime le compte admin et remplace le par un couple login/mdp robustes
Protège wp-admin par un htacces/htpasswd
Installe wp-security-scan et wp-exploit-scanner et fais les tourner

Travaille si possible en sftp

Active l'antispam (askimet ou autre)

Utilise un thème sûr (pas un pirate)

Si ça ne suffit pas, on pourra encore en rajouter.

[gwenm]

Y a du boulot! Merci pour les conseils..

[gwenm]

Installer son OS? Tu veut dire réinstaller windows?

[paolodelmare]

Dans le doute, oui.

[gwenm]

Bonjour, nous avons réinstallé windows, et depuis(je croise les doigts) plus de soucis. Je fait gaff à ce que je télécharge, etc..Merci pour votre aide et vos conseils a charge de revanche, enfin j' éspère

[gwenm]

Bon bin c'est revenu...cette fois c'était dans le fichier defaut-widget. Je me dit que c'est peut être mon nom de domaine qui est infecté? j'ai aussi vérifié mon fichier /www et je l' est modifié en 555 car il était en 777.

[Ernestine]

Salut,

Dans ton deuxième message, tu nous montres le fichier index.php : juste par acquis de conscience, c'est bien le fichier index.php tel qu'il était sur ton serveur ? Je veux dire, ce n'était pas la copie locale de ce fichier sur ton ordinateur ?

Citation

j' ai remplacer le fichier comme tu m'a conseillé, et bien sur ca à marché..merci, je serais faire face maintenant à ce genre d' erreur..on en apprend tous les jours!

Tu nous confirmes que cette méthode fonctionne toujours ?

Citation

Je me dit que c'est peut être mon nom de domaine qui est infecté?

C'est physiquement impossible, un nom de domaine n'est pas un logiciel ni rien, juste une "redirection" entre guillemets (un masque) vers une adresse ip.

[gwenm]

Oui je confirme que c'était bien le fichier ou il y avait l' erreur. Quand tu dit que c'est physiquement impossible,q' un nom de domaine soit infecté, en est tu certain? car parfois il est proposé une protection des noms de domaine chez certain hébergeur..c'est pour ca aussi que j' en suis à me demander si ce problème récurent ne vient finalement pas de ca..

[Ernestine]

Je sais que c'était le bon fichier, mais je me demandais si par hasard tu ne nous avais pas copié ta version locale de ce fichier, étant donné que l'erreur n'apparaissait pas dans le code, et que quand tu remplaces le fichier par l'original, ça remarche. Car tout porte à croire qu'il y a quelque chose qui modifie tes fichiers sur le serveur. C'est d'autant plus étonnant qu'apparemment, ce n'est jamais le même fichier qui est modifié.

La protection du nom de domaine, c'est pour empêcher le transfert vers un autre registrar, ça n'a rien à voir avec les virus

Donc si je comprends bien, tu as tout réinstallé début juillet, cette fois-ci tu étais sûre de n'avoir aucun problème sur ton ordi, et trois semaines après c'est revenu ? Tu n'avais fait aucun transfert FTP entre la première installation et l'apparition du problème ? Utilises-tu ton blog de façon conventionnelle, c'est à dire sans bidouiller le code, sans faire des transferts de fichiers tous les trois jours, etc ?