Wordfence : Supprimer les backdoor, web shells, malwares de WordPress

WordFence est une extension gratuite de sécurité WordPress qui propose un scan anti-malware.
Ce dernier permet de détecter des backdoor, web shells, injections de code afin de les supprimer.
Il aide donc à désinfecter et nettoyer un site WordPress mais aussi vérifier l'intégrité de WordPress pour s'assurer qu'aucun piratage n'a eu lieu.

Ce tutoriel vous guide pour comprendre les analyses et scans WordFence.
Vous trouverez différentes types d'alertes et détections avec toutes les explications.

Wordfence : Supprimer les backdoor, malwares de WordPress

Wordfence : Supprimer les backdoor, web shells, malwares de WordPress

Pour installer, configurer et lancer un scan avec Wordfence, suivez ce tutoriel :

Comprendre l'analyse et scan Wordfence

Avant toute modification, faites une sauvegarde WordPress (site + SQL) car vous pouvez planter votre site après un scan et désinfection par Wordfence.

Accédez au menu Scan puis cliquez sur Start New Scan

Faire un scan Anti-Malware de son site WordPress

Voici un exemple de résultat de scan de Wordfence.

Comprendre l'analyse et scan Wordfence

En 1, on trouve les actions globales qui seront effectuées sur tous les fichiers détectés de WordPress.
Commencez par effectuez ces deux actions afin de supprimer le plus gros des malwares :

  • Delete All Deletable files : WordFence supprime tous les fichiers malveillants ajoutés par des pirates. Cela correspond en général à des backdoor PHP ou web shells
  • Repair All Repairable Files : Restaurer les fichiers WordPress modifiés par les pirates par une injection de code malveillant

Si cela casse votre site WordPress, restaurer la sauvegarde.

Les actions pour supprimer les malwares avec Wordfence

Puis on trouve les détections 2 avec le niveau critique (rouge), medium (en jaune), le type de détection.
Cliquez sur la détection pour afficher les détails et les actions à mener en 3 :

  • View File : Affiche le fichier avec le code
  • Delete File : Supprime le fichier
  • Mark as Fixed : Marquer comme corrigé, il ne sera plus détecté par la suite
  • View Differences : Afficher les différences entre le fichier d'origine de WordPress et le fichier sur votre site

Ainsi, il existe différents types de détections, voici les principales avec quelques explications.

Publicly accessible config, backup or log

Il s'agit de fichier de configuration, de sauvegarde ou journaux accessibles de votre site par internet.
On parle donc de données accessibles publiquement.
N'importe qui, dont des pirates peuvent les récupérer pour obtenir des informations sur la configuration de votre site et parfois même des mots de passe.
Cela aide énormément pour mener une attaque et compromettre vote site.
C'est donc un problème de sécurité important qu'il faut corriger afin de sécuriser WordPress.

  • Cliquez sur le fichier et en haut à droite, clique sur Hide File pour cacher le fichier. Mais selon votre configuration, WordFence peut ne pas parvenir à cacher le fichier. Il faut alors effectuer une correction manuelle
WordFence - Publicly accessible config, backup or log

Suspicious:PHP/eval.inject ou Backdoor:PHP

Autre cas avec une erreur critique du type : File appears to be malicious or unsafe
Cela confirme en général le piratage de votre site WordPress.
Il existe alors deux types de détections : Suspicious:PHP/eval.inject ou Backdoor:PHP

  • Cliquez sur l'alerte File appears to be malicious or unsafe pour obtenir des informations
WordFence - Suspicious:PHP/eval.inject ou Backdoor:PHP
  • En rouge le code malveillant détecté et en dessous le type comme Suspicious:PHP/eval.inject qui correspond ici à du code injectée dans un fichier de WordPress. L'action à mener est de retirer le code injection en rouge
WordFence - Suspicious:PHP/eval.inject ou Backdoor:PHP
  • Voici un autre exemple avec une détection de type Backdoor:PHP. L'action à mener est de supprimer le fichier malveillant en cliquant sur Delete file

WordPress Core File modified ou Modified theme file

WordPress Core File indique qu'un fichier de WordPress a été modifiée et ne correspond plus à celui d'origine.
Il peut s'agir d'une injection de code ou d'une modification légitime.
C'est à vous de statuer.

On peut avoir la même chose mais sur un fichier du thème, ce qui donne : Modified theme file

Wordfence - Détection Modified theme file
  • Cliquez sur l'alerte WordPress Core File modified
  • Puis cliquez sur View Differences
Wordfence - Détection WordPress Core File modified
  • A gauche, le fichier d'origine de WordPress et à droite votre fichier avec en vert la partie modifiée. A voir ensuite s'il faut retirer le code ajoutée
Wordfence - Détection WordPress Core File modified

Après la désinfection de WordPress

En complément, vous pouvez consulter ce tutoriel :

Après le nettoyage de WordPress, suivez ces recommandations :

  • Vérifiez la liste des utilisateurs WordPress
  • Changer les mots de passe des comptes administrateur
  • Mettez à jour les extensions
  • Mettez WordPress est à jour
  • Sécuriser WordPress en suivant ce tutoriel : Comment sécuriser WordPress contre les piratages
  • Faites des sauvegardes régulières du site et SQL