Mon site Web a été piraté ! Qu'est-ce que je devrais faire maintenant?
Publié: 2022-07-19Bonjour les amis!
Dans ce blog, nous expliquerons en détail tout ce qui concerne le piratage de tout site Web WordPress, WHMCS ou PHP. Nous vous expliquerons également les étapes pour récupérer un site Web piraté.
Avez-vous déjà vécu cette situation à un moment de votre vie ?
Mon site Web a été piraté ! Qu'est-ce que je devrais faire maintenant?
Permettez-moi de vous dire qu'il existe divers facteurs qui conduisent au piratage d'un site Web. Une seule porte dérobée/échappatoire est suffisamment capable d'infecter n'importe quel type de site Web, qu'il s'agisse d'un site Web WordPress, d'un site Web WHMCS, d'un php construit ou de tout autre site Web construit par CMS.
Comment savoir si votre site web est vraiment piraté ?
Il existe de nombreuses façons de savoir si votre site Web est vraiment piraté. Parfois, les pirates ont simplement défiguré votre site Web avec certaines de leurs propres pages personnalisées avec des panneaux indiquant " Piraté par ……… Dans ces cas, il est très facile de comprendre que votre site Web a été piraté et qu'il est maintenant sous le contrôle du pirate.
Mais parfois, les pirates ne montrent pas ou ne révèlent pas que votre site Web a été piraté par eux parce qu'ils veulent utiliser votre site Web pour un travail illégal aussi longtemps qu'ils le peuvent.
Comment votre site Web a-t-il été piraté ?
Une fois que vous apprenez que votre site Web a été piraté, de nombreuses questions continuent de vous venir à l'esprit, comme Comment cela s'est-il passé ? Pourquoi a-t-il été piraté ? Quand est-il piraté ?
Alors les amis continuez à lire ce blog pour trouver toutes les réponses…
Lisez également : Activer la liste grise pour protéger les e-mails contre le spam
Voici quelques-unes des façons courantes par lesquelles les pirates informatiques prennent le contrôle de votre site Web :
1. Deviner le mot de passe (force brute) : Un mot de passe simple est le moyen le plus courant par lequel les pirates prennent le contrôle de n'importe quel site Web. Les pirates tentent des tentatives aléatoires en devinant des mots de passe très simples à deviner. Assurez-vous que votre mot de passe ne figure pas dans cette liste
C'est pourquoi il est fortement recommandé de générer un mot de passe fort et difficile à deviner pour empêcher ces attaques de réussir à l'avenir.
2. Vulnérabilité/porte dérobée
Qu'est-ce que la Vulnérabilité ?
Il est très important de comprendre ce qu'est la vulnérabilité alors prenons un exemple de votre propre maison. Supposons que dans votre maison, il y a beaucoup de fenêtres et de portes que vous gardez verrouillées, mais qu'il s'agit d'une seule fenêtre qui semble fermée de l'extérieur mais qui n'est pas vraiment fermée et si quelqu'un s'en rend compte, il peut simplement y entrer et avoir accès au maison entière. C'est ce qu'on appelle la vulnérabilité.
La vulnérabilité est également connue sous le nom de faiblesse et cette faiblesse peut être l'avantage de l'attaquant.
Les attaquants utilisent cet avantage et essaient d'obtenir des informations sensibles qu'ils ne sont pas censés avoir ou peuvent même s'introduire dans le système.
Que faire lorsque votre site web est piraté ?
Il y a quelques étapes que vous devez suivre immédiatement une fois que vous constatez que votre site Web est piraté :
1. Mettez votre site hors ligne jusqu'à ce que le problème soit résolu : vous pouvez simplement mettre votre site hors ligne via la règle .htaccess afin que personne d'autre que vous n'accède à votre site Web. Vous pouvez le faire pour empêcher tout le monde de voir votre site Web infecté de l'extérieur afin que vous puissiez nettoyer votre site sans aucune interférence. De plus, les personnes essayant d'accéder à votre site ne seront pas confrontées à du code malveillant ou à des fichiers de spam. Lire ce blog
>> Bloquer tout le monde pour accéder à votre site Web sauf vous-même - htaccess >> Protéger le serveur des spams via la liste grise
2. Changez le mot de passe de votre compte : Une fois que vous constatez que votre site Web est piraté, changez immédiatement le mot de passe de votre compte. Parfois, changer de mot de passe vous permet de reprendre le contrôle. Ne définissez jamais de mots de passe faciles. Si vous avez un site WordPress, alors rendez-vous simplement sur la page de connexion de votre site et cliquez sur Mot de passe perdu
Entrez ici votre nom d'utilisateur ou votre adresse e-mail pour obtenir un lien pour obtenir un nouveau mot de passe
Mais si le pirate a déjà changé le nom d'utilisateur ou l'adresse e-mail, dans ce cas, vous devez faire plus d'efforts depuis le backend. Pour changer le nom d'utilisateur ou l'adresse e-mail de votre WordPress, lisez ce blog
3. Vérifiez tous les fichiers récemment modifiés : Il est très évident que l'attaquant pourrait avoir modifié les fichiers avec leurs propres codes personnalisés dans l'un de vos fichiers ou plus. Ainsi, la vérification des derniers fichiers modifiés sera très bénéfique. Lire ce blog >> Comment vérifier les derniers fichiers modifiés dans cPanel ?
4. Recherchez les logiciels malveillants : si vous êtes hébergé chez Redserverhost , pour des raisons de sécurité particulières, Redserverhost a installé Imunify360 pour traiter ces sites Web infectés. Imunify360 détecte les malwares dans un site Web et renomme automatiquement public_html afin que personne ne puisse y accéder. Et dès que public_html est renommé, le site Web commence à générer une erreur 404. Lire ce blog
4. Effectuez une sauvegarde complète du compte de l'état actuel : une fois que vous constatez que votre site Web est piraté, il est fortement recommandé d'effectuer une sauvegarde de l'intégralité du compte dans l'état actuel. Je dis cela uniquement parce qu'au moins après avoir effectué une sauvegarde, vous aurez tous les fichiers et dossiers, les bases de données avec vous, mais ils sont infectés, ce n'est pas un problème, vous pouvez enquêter et le réparer plus tard. Mais supposons que si vous n'avez pas la sauvegarde avec vous et que vous découvriez soudainement que le pirate a supprimé tous les fichiers/dossiers avec la base de données, alors quelle est l'option qui vous reste..vide complet..
Avoir quelque chose est bien mieux que de ne rien avoir.
Comment nettoyer un site Web infecté ?
1. Comparez l'état actuel du fichier de sauvegarde avec l'ancienne sauvegarde propre : Si vous avez l'ancienne sauvegarde avec vous, vous pouvez la comparer avec la sauvegarde actuelle et identifier ce qui a été modifié. Essayez Diffchecker . Une fois que vous avez fini de comparer les fichiers, remplacez simplement les fichiers par des fichiers non infectés. Si vous n'avez pas l'ancienne sauvegarde, ne vous inquiétez pas, continuez à lire.
2. Recherchez les fichiers infectés détectés par Imunify360 (dans Redserverhost): Si vous utilisez les services d'hébergement de Redserverhost, vous pouvez facilement trouver les fichiers infectés car Redserverhost a installé Imunify360 dans chaque compte cPanel à des fins de sécurité particulières. Cet Imunify360 détecte non seulement le fichier infecté, mais le met également en quarantaine et renomme le public_html en un nom différent.
Il est maintenant temps pour une enquête plus approfondie. Une fois que vous êtes dans votre cPanel, allez simplement sur Imunify360 et identifiez les fichiers récemment téléchargés et modifiés et confirmez la date et l'heure des changements avec l'utilisateur qui l'a changé en suivant l'adresse IP du journal des visiteurs.
À l'intérieur d'Imunify360, vous pouvez obtenir l'heure exacte à laquelle le fichier a été détecté par Imunify360 et une fois que vous obtenez l'heure exacte du téléchargement du fichier, vous pouvez suivre l'adresse IP du visiteur qui a réellement tenté d'accéder à votre cPanel à ce moment particulier de la section métrique.
Il existe plusieurs outils dans la section Métriques tels que Visiteurs, Webalizer, Raw Access, etc. qui peuvent vous aider à suivre le résumé détaillé des visiteurs ainsi que leurs adresses IP et à quelle heure exactement ils ont visité votre site.
Le plus utile parmi ces outils est l'outil Visiteurs qui vous donne le résumé détaillé des visiteurs. Allez simplement dans la section Metric de votre cPanel et cliquez sur l'outil Visiteurs.
Assurez-vous simplement de garder la section Visiteurs ouverte dans un onglet et la page Imunify360 dans un autre onglet afin que vous puissiez enquêter sans tracas.
Ici, vous devez cliquer sur l'icône en forme de loupe devant votre nom de domaine.
Maintenant, ici, vous verrez différentes adresses IP ainsi que l'URL, l'heure et les URL de référence, comme indiqué dans l'image ci-dessous.
Ici, vous devez vérifier tous les fichiers auxquels vous avez accédé pendant cette période (une demi-heure avant et après la détection de ce fichier infecté) que vous avez vus dans Imunify360
Ainsi, de cette façon, vous aurez une idée des visiteurs qui ont tenté d'accéder à votre site Web et dans quel fichier ont-ils injecté le code malveillant.
Une fois que vous avez trouvé les fichiers suspects, ouvrez-le et essayez de lire les codes, vous trouverez certainement du contenu suspect à l'intérieur, supprimez-le complètement.
3. Recherchez la fonction PHP malveillante la plus courante telle que base64 : Afin de trouver base64 dans l'ensemble de votre cPanel, lisez ce blog >> https://blog.redserverhost.com/how-to-find-base-64-code- dans-tout-votre-cpanel/. Une fois que vous avez trouvé les fichiers contenant la fonction PHP base64, ces fichiers peuvent être suspects car la plupart des pirates utilisent la fonction PHP base64 afin que personne ne puisse découvrir leurs codes en exécutant des codes PHP.
4. Supprimez toutes les applications ou plugins inutiles et utilisés : vous ne devez jamais installer de plugins annulés qui sont offerts gratuitement, conçus pour causer des dommages et collecter des informations. Donc, si vous avez déjà installé de tels plugins, supprimez-les instantanément.
5. Sécurisez votre public_html : Les autorisations peuvent être très importantes lorsqu'il s'agit d'héberger votre site Web. Les autorisations peuvent permettre à notre ordinateur serveur d'écrire et de modifier vos fichiers. Parallèlement à cela, certains fichiers doivent être protégés contre l'écriture et l'édition, par mesure de sécurité. Lire ce blog
Si vous souhaitez sécuriser et renforcer votre site WordPress, visitez les liens ci-dessous :
Comment rendre votre site WordPress plus sécurisé
Comment protéger le dossier wp-content de votre site WordPress ?
Comment protéger le fichier wp-config.php dans votre site WordPress ?
Comment bloquer l'accès aux fichiers sensibles de votre site WordPress ?
Quelles sont les étapes nécessaires une fois que vous constatez que votre site WHMCS est piraté ?
L'une des causes les plus courantes de piratage est un mot de passe non sécurisé. Donc, une fois que vous constatez que votre site WHMCS est piraté, essayez de changer immédiatement le mot de passe administrateur. Et il est très évident que le pirate a peut-être également changé l'adresse e-mail utilisée dans WHMCS. Donc, si vous ne parvenez pas à changer le mot de passe depuis l'interface, ne vous inquiétez pas, vous pouvez toujours changer l'adresse e-mail en une nouvelle adresse e-mail via phpMyAdmin dans cPanel.
Connectez-vous à votre cPanel et accédez à PhpMyAdmin
Allez maintenant dans la base de données associée WHMCS. Pour trouver le nom de la base de données, accédez à votre répertoire d'installation whmcs et recherchez configuration.php. Dans ce fichier, vous obtiendrez le db_username, db_password, db_name etc. Gardez ce fichier ouvert dans un nouvel onglet et revenez à la page phpMyAdmin.
Une fois que vous avez trouvé la base de données, cliquez dessus.
Cliquez maintenant sur le tableau ' tbladmins '.
Cochez maintenant la case et cliquez sur l'option Modifier
Sur la page suivante, faites défiler jusqu'à la section e-mail et modifiez l'adresse e-mail
Une fois que vous avez réussi à modifier l'adresse e-mail, faites simplement défiler vers le bas de la page, cliquez sur le bouton Go
Toutes nos félicitations! l'adresse e-mail a été mise à jour avec succès.
Vous devez maintenant visiter la page de connexion WHMCS et cliquer sur Mot de passe oublié
Entrez ici l'adresse e-mail que vous avez récemment mise à jour dans PhpMyAdmin
Enfin, cliquez sur Réinitialiser le mot de passe pour recevoir le lien de changement de mot de passe.
Ainsi, de cette façon, vous pourrez arracher le contrôle du pirate informatique. Mais vous ne pouvez pas simplement vous détendre maintenant car il est préférable d'ajouter des mesures de sécurité supplémentaires pour prévenir les attaques.
Nous pouvons modifier les paramètres WHMCS par défaut pour améliorer la sécurité. Ceci comprend:
1. Modification du répertoire admin : Changez le nom du répertoire admin de 'admin' en un autre qui est difficile à deviner. Lire ce blog
2. Restriction d'adresse IP :
Pour une protection accrue, nous pouvons définir une limite d'accès à la zone d'administration uniquement pour le personnel. Cela autorise l'adresse IP du personnel uniquement à la zone d'administration WHMCS. Cela se fait en créant un fichier avec le nom .htaccess dans votre répertoire d'administration WHMCS, avec le contenu suivant :
ordre refuser, autoriser autoriser à partir de 102.34.5.167 autoriser à partir de 198.76.54.132 refuser de tous
En savoir plus sur Comment sécuriser et durcir votre site WHMCS ? Lire ce blog
Si vous avez aimé ce blog, pensez à nous suivre sur Facebook et Twitter.
Page Facebook - https://facebook.com/redserverhost
Page Twitter - https://twitter.com/redserverhost
Si vous avez des questions, n'hésitez pas à nous le faire savoir via la section commentaires ci-dessous.