Après un piratage et compromission de WordPress, il est judicieux d’effectuer une vérification de sécurité de WordPress.
Cela a plusieurs buts :
- S’assurer qu’aucune porte dérobée ou contenu malveillant n’est encore présent sur votre site
- Faire un audit de sécurité général pour résoudre les problèmes de sécurité
- Essayer de déterminer le source du piratage
Ce tutoriel vous donne les grandes lignes pour faire un audit de sécurité WordPress.
Table des matières
- 1 Faire un audit de sécurité WordPress
- 1.1 Audit Sécurité avec Wordfence
- 1.2 Vérifier les créations récentes de fichiers
- 1.3 Rechercher les backdoor PHP, web shells et injections de codes
- 1.4 Comparer les fichiers avec une installation WordPress d’origine
- 1.5 Les fichiers .htaccess
- 1.6 Vérifier les comptes utilisateurs
- 1.7 Vérifier les extensions installées
- 1.8 Mettre à jour WordPress
- 2 Désinfecter et sécuriser WordPress
- 3 Liens
Faire un audit de sécurité WordPress
Audit Sécurité avec Wordfence
L’extension de sécurité Wordfence propose de manière automatique la plupart des éléments à vérifier de ce tutoriel.
Il permet donc de faire un audit de sécurité pour les débutants même s’il faut un minimum de connaissances techniques.
Suivez ce guide :
Vérifier les créations récentes de fichiers
Si vous avez un accès SSH à votre VPS ou serveur dédié, vous pouvez utiliser la commande find pour lister les dernières créations et modifications de fichiers.
Cela peut aider à trouver les modifications malveillantes opérées par des pirates.
Par exemple pour lister les fichiers modifiés depuis les cinq derniers jours dans le dossier WordPress /var/www/html/wordpress :
cd /var/www/html/wordpress
find . mtime -5 –ls | less
Plus d’informations sur la commande find :
Par la suite, vous devez installer l’extension WordPress File Monitor qui surveille les fichiers sur votre installation WordPress pour les modifications et vous alerte immédiatement.
Enfin il existe aussi ces solutions Tripwire, Trustwave, Qualys, AIDE (Advanced Intrusion Detection Environment).
Cela peut prévenir des piratages et modifications non voulues de votre site WEB.
Rechercher les backdoor PHP, web shells et injections de codes
La seconde actions consiste à chercher et détecter la présence de backdoor PHP ou injection de codes.
Pour y parvenir, suivez les recommandations de ce tutoriel :
Comparer les fichiers avec une installation WordPress d’origine
Une autre méthode consiste à comparer vos fichiers PHP WordPress avec ceux d’origine.
Cela permet de vérifier s’ils ont été modifiés et font l’objet d’une injection de code malveillant.
Il faut pour cela récupérer le fichier ZIP depuis le site de WordPress avec la même version que le votre.
Ensuite on utilise un logiciel de différentiations et de comparaisons (WinMerge, Beyond Compare, …).
Par exemple avec Beyond Compare :
- A gauche, le site à vérifier et à droite les fichiers officiels WordPress.
- On voit à gauche que wp-blog-header.php est rouge et différent.
- On sélectionne les deux fichiers puis clic droit et Quick Compare.
En rouge la différence avec un code suspect avec du eval et base64 typique des injections de codes PHP
Pour vous aider, suivez ce tutoriel :
Les fichiers .htaccess
Le fichier .htaccess n’est utilisé que si votre serveur WEB est Apache.
Les pirates peuvent le modifier pour opérer des redirections de vos visiteurs vers du contenu malveillant ou des publicités.
Il faut donc vérifier le contenu et s’assurer qu’aucune falsification de vos fichiers .htaccess n’a eu lieu.
Vérifier les comptes utilisateurs
Les pirates peuvent créer un compte utilisateur administrateur pour garder la main sur votre site.
Vérifiez la liste des utilisateurs :
- Connectez-vous au panneau d’administration de WordPress
- Puis Comptes
- Supprimer les comptes utilisateurs suspects
Vérifier les extensions installées
Les hackers peuvent installer des extensions malveillantes ou modifier celles existantes.
Après le piratage de votre site internet, il est conseillé de supprimer toutes les extensions et de les réinstaller depuis les sites officiels.
Vous êtes alors certains d’avoir des versions légitimes et saines.
Mettre à jour WordPress
Une version non à jour de WordPress peut comporter des vulnérabilités et failles logiciels.
En mettant à jour WordPress, vous corrigez les vulnérabilités qui peuvent permettre la compromission de votre site internet.
- Ouvrez le tableau de bord WordPress puis Mise à jour
- Si une mise à jour est disponible, Installez la
- Puis activer les mises à jour automatiques pour toute les versions de WordPress
- Ensuite allez dans Extensions
- Puis activez les mises à jour des extensions tout à droite de chacune d’elle
Pour aller plus loin :
Désinfecter et sécuriser WordPress
Enfin suivez le tutoriel complet pour protéger et sécuriser WordPress :
Liens
- Désinfecter un site WordPress
- Pourquoi et comment les hackers piratent un site WordPress
- Wordfence : Protéger WordPress avec un Firewall et scan anti-malware
- Wordfence : Supprimer les backdoor, web shells, malwares de WordPress
- 8 extensions de sécurité pour protéger WordPress des malwares
- Comment détecter les PHP Backdoor ou Web Shells
- Faire un audit de sécurité WordPress
- Website File Changes Monitor : Surveiller les modifications de WordPress
- CDN : optimisation et sécurité WordPress
- Sucuri WordPress Security Plugin : sécurité et protection
- Website File Changes Monitor : Surveiller les modifications de WordPress