Aller au contenu

Hack site Wordpress


iNCiTE Web

Sujets conseillés

Bonjour



J'ai un problème avec un site depuis un moment, quand on y accède depuis un mobile (uniquement), on est redirigé vers une plateforme d'affiliation type Affimobiz puis vers des sites genre mescoquines ou autre sites pas vraiment liés à la thématique d'origine !


Si on retente d'y accéder en tapant l'URL, on arrive bien sur le site ; idem si on recommence plus tard. Par contre le lendemain on a à nouveau la redirection (cookie sûrement)


Le problème ne se produit pas si on est en navigation privée ou en refusant tous les cookies, de même que sur les PC fixes.



On a modifié les login et mots de passe, désactivé toutes les extensions (mais le mal était déjà fait certainement), installé les extensions de contrôle de sécurité WordPress et appliqué toutes les recommandations.



Il doit y avoir une redirection dans un header, mais je ne connais pas suffisamment le CMS pour savoir où chercher ; il y a des milliers de fichiers...


Les tests avec les outils de contrôle de header ne donnent rien.



Le site est www.redacteurweb44.fr



Si quelqu'un a une idée ou a déjà été confronté à un problème similaire ?


Le dernier recours serait de tout réinstaller, mais tout a été personnalisé, et ça représente un drôle de boulot.



Merci d'avance.


Lien vers le commentaire
Partager sur d’autres sites

Essaie de changer de thèmes déjà pour voir si le code malicieux se trouve dans le thème ou dans le core? Si c'est le core, suffit de réinstaller (par copier-écraser) avec une copie saine de Wordpress.



Sinon par tout personnaliser, tu veux dire les fichiers thèmes ou tu as modifié les fichiers de base de Wordpress aussi (ce qu'il faut éviter de faire!)?


Lien vers le commentaire
Partager sur d’autres sites

Salut



Merci pour la réponse - Je n'ai pas modifié le core, uniquement les fichiers de thèmes (en passant par Apparence/Editeur)



Le problème est qu'il est très difficile de tester car une fois que la redirection a eu lieu, il y a visiblement une tempo ; j'ai effacé les données de Safari mais je n'ai pas reproduit le problème.


Tu peux faire l'essai sur un Smartphone ? (je suis passé en 3.9.2, peut-être que le hack était dans le core justement, et il aurait été mis à jour par écrasement ?)


Lien vers le commentaire
Partager sur d’autres sites

Salut Dan



Merci beaucoup pour le test ; en effet je ne reproduis plus le problème, je suppose donc que le hack était dans un fichier qui a été remplacé dans la 3.9.2 (à noter qu'une réinstallation automatique depuis le menu de la version en place n'avait pas réglé le problème)


Je contrôlerai demain à nouveau !



Grrrr j'aime pas les CMS grand public ! :P


Lien vers le commentaire
Partager sur d’autres sites

Bonjour,



dans le doute je t'invite à passer un petit coup de clamav sur le site. En effet ce dernier repère une bonne partie des backdoors habituellement laissées par ce genre de «script kiddies» :



nice clamscan --infected --recursive /dossier-de-ton-site/

Lien vers le commentaire
Partager sur d’autres sites

clamscan ne donne rien !

----------- SCAN SUMMARY -----------Known viruses: 2424225Engine version: 0.98.1Scanned directories: 439Scanned files: 3786Infected files: 0Data scanned: 112.66 MBData read: 67.48 MB (ratio 1.67:1)Time: 23.591 sec (0 m 23 s)

Mais en le passant récursivement sur /home, il a trouvé ceci dans des répertoires de mails qui n'a rien à voir avec ta redirection :

/home/smc/imap/smcdepannage.com/contact/Maildir/new/1401188346.H641820P22580.inciteweb.com: Suspect.DoubleExtension-zippwd-15 FOUND/home/smc/imap/smcdepannage.com/contact/Maildir/new/1370047795.H857965P14660.inciteweb.com: Win.Trojan.7969526 FOUND/home/smc/imap/smcdepannage.com/contact/Maildir/new/1401290785.H609653P20257.inciteweb.com: Suspect.DoubleExtension-zippwd-15 FOUND/home/smc/imap/smcdepannage.com/contact/Maildir/new/1401375607.H274280P18916.inciteweb.com: Suspect.DoubleExtension-zippwd-15 FOUND
Lien vers le commentaire
Partager sur d’autres sites

Bonjour



Bon et bien nous en sommes au même point...


On est d'accord que c'est un "Header" ou équivalent, donc forcément avant toute sortie écran, ça devrait pourtant limiter le périmètre des recherches, mais non rien que de chercher les entêtes dans WP, ça donne le tournis tellement il y a de fichiers sad.gif



@Dan : merci bien de l'info ; en revanche je laisse mes clients se débrouiller avec leurs e-mails infectés... à eux d'avoir l'antivirus qui va bien de l'autre côté :P



Je vais continuer à chercher un peu au hasard ; la communauté WP donne des réponses standard, tout a été appliqué (il existe pleins d'extensions de sécurité, rien ne prouve que ça ne soit pas des fakes !)



A+


Lien vers le commentaire
Partager sur d’autres sites

Dans ces cas la, le mieux est de mettre le site en maintenance, faire un gros backup de tout ça, vider complètement le FTP et la BDD, et refaire une installation propre


Lien vers le commentaire
Partager sur d’autres sites

Bonjour,



Le hack n'est pas forcement dans le header.



Cela peut être un code de type eval(base64_decode qui peut être dans un fichier du template (par exemple).


Attention ce type de code peut être légitime. Si tu en trouves il ne faut pas le supprimer sans savoir ce qu'il fait...



Tu peux lancer une commande linux afin de connaitre le fichiers qui ont été modifiés depuis ta dernière mise à jour du noyau / template / ...


Il va te sortir une listes de fichiers y compris des fichiers de "cache" mais tu trouveras p-e des pistes parmi les autres fichiers.

Lien vers le commentaire
Partager sur d’autres sites

Salut,



J'ai déjà eu un hack sur un wordpress. La solution pour moi a été de télécharger une version saine depuis le site officiel et de l'uploader en écrasant tous les fichiers.



Une mise à jour WP n'écrase pas tous les fichiers.



Il faut donc faire une sauvegarde du site et tout renvoyer. Le fichier WO-Content/Themes et Plugins ne sont normalement pas impactés.



Réactiver ensuite les plugins de confiance : ceux qui sont à jour et maintenus.



Ciao




Portekoi


Lien vers le commentaire
Partager sur d’autres sites

Si tu veux mon avis, tu oublies tout tes fichiers wordpress actuels, et ne conserves que ta bdd (et le répertoire de contenus, images etc. wp-content de mémoire), tu fais une réinstall vierge à partir de ta version de WP et des modules/thèmes qui correspondent à ta bdd puis tu changes la conf pour faire pointer vers ta bdd.



Tu croises les doigts, mais normalement tu verras apparaitre ton site pas vérolé.


Ensuite, bien sur, tu mets à jour module et core (sinon rebelote dans pas longtemps).



C'est bien plus facile comme ça, et au moins, tu es sur de ne plus avoir de fichiers modifiés merdiques au milieu de ton site.


Lien vers le commentaire
Partager sur d’autres sites

Attention, le hack qui me concernait, insérait des données dans la table meta.



Il faut contrôler les valeurs (avec un like'%%').



Mais je suis d'accord avec SStephane sur le fait de tout supprimer et d'uploader ensuite ton thème et tes plugins (mis à jour).



Autre chose : le hack avait placé des fichiers php dans le dossier upload.


Lien vers le commentaire
Partager sur d’autres sites

Ca fait plusieurs années que j'utilise wordpress sur plusieurs sites et aucun soucis de sécurité, mais il faut dire que les plug-in que j'utilise sont réduits, les mise à jours sont faites régulièrement, surtout que maintenant les principales maj de sécurités sont faites automatiquement.



Les principales failles de sécurité sur tous les CMS proviennent en général des plug-in, on trouve de tout et n'importe quoi


Lien vers le commentaire
Partager sur d’autres sites

Pour ma part, je n'avais pas mis à jour mon WP pendant un long moment.



Depuis, la version 3, WP intègre une mise à jour automatique. Y a juste les plugins à surveiller mais cela réduit pas mal le risque de hack.



Je recommande WP car une fois qu'on le maitrise un peu, ça dépote :)


Lien vers le commentaire
Partager sur d’autres sites

Je suis pas fan je dois dire... (et alors que dire de Prestashop) ; pas des fonctionnalités mais de la facilité à se faire hacker, notamment par le fait que le code source soit public.


Pour mes e-commerces j'ai fait le choix d'un solution propriétaire, plus de problème de ce côté.



C'est le site d'un fournisseur, je n'ai pas choisi la solution employée...



Je continue de chercher avant d'appliquer la solution finale (pas glop)



Merci


Lien vers le commentaire
Partager sur d’autres sites

Pour la solution de tout remplacer :



Est-ce un gros WP?


Y a-t-il beaucoup de "médias" (photos, documents etc)?


Niveau plugin, y en a t il beaucoup?


Les thèmes?



Si les deux premières réponses sont négatives, cela ne sera pas (trop) dur à faire.



Ensuite, tu peux le nettoyer comme expliquer ici (hop, de la pub pour bibi ;) ) :


http://blog.portekoi.com/accelerer-wordpress-sur-les-gros-sites/



Bon courage,


Lien vers le commentaire
Partager sur d’autres sites

Non le site est tout récent, seulement quelques articles et quasiment pas de médias...


Il y a pas mal de plugins en revanche (et le hack vient probablement de l'un d'eux)


Un seul thème utilisé, mais assez personnalisé (dans ses propres options et via l'éditeur)



Donc en effet ça ne devrait pas être trop long.


Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...