WordFence est une extension gratuite de sécurité WordPress qui propose un scan anti-malware.
Ce dernier permet de détecter des backdoor, web shells, injections de code afin de les supprimer.
Il aide donc à désinfecter et nettoyer un site WordPress mais aussi vérifier l’intégrité de WordPress pour s’assurer qu’aucun piratage n’a eu lieu.
Ce tutoriel vous guide pour comprendre les analyses et scans WordFence.
Vous trouverez différentes types d’alertes et détections avec toutes les explications.
Table des matières
Wordfence : Supprimer les backdoor, web shells, malwares de WordPress
Pour installer, configurer et lancer un scan avec Wordfence, suivez ce tutoriel :
Comprendre l’analyse et scan Wordfence
Accédez au menu Scan puis cliquez sur Start New Scan
Voici un exemple de résultat de scan de Wordfence.
En 1, on trouve les actions globales qui seront effectuées sur tous les fichiers détectés de WordPress.
Commencez par effectuez ces deux actions afin de supprimer le plus gros des malwares :
- Delete All Deletable files : WordFence supprime tous les fichiers malveillants ajoutés par des pirates. Cela correspond en général à des backdoor PHP ou web shells
- Repair All Repairable Files : Restaurer les fichiers WordPress modifiés par les pirates par une injection de code malveillant
Si cela casse votre site WordPress, restaurer la sauvegarde.
Puis on trouve les détections 2 avec le niveau critique (rouge), medium (en jaune), le type de détection.
Cliquez sur la détection pour afficher les détails et les actions à mener en 3 :
- View File : Affiche le fichier avec le code
- Delete File : Supprime le fichier
- Mark as Fixed : Marquer comme corrigé, il ne sera plus détecté par la suite
- View Differences : Afficher les différences entre le fichier d’origine de WordPress et le fichier sur votre site
Ainsi, il existe différents types de détections, voici les principales avec quelques explications.
Publicly accessible config, backup or log
Il s’agit de fichier de configuration, de sauvegarde ou journaux accessibles de votre site par internet.
On parle donc de données accessibles publiquement.
N’importe qui, dont des pirates peuvent les récupérer pour obtenir des informations sur la configuration de votre site et parfois même des mots de passe.
Cela aide énormément pour mener une attaque et compromettre vote site.
C’est donc un problème de sécurité important qu’il faut corriger afin de sécuriser WordPress.
- Cliquez sur le fichier et en haut à droite, clique sur Hide File pour cacher le fichier. Mais selon votre configuration, WordFence peut ne pas parvenir à cacher le fichier. Il faut alors effectuer une correction manuelle
Suspicious:PHP/eval.inject ou Backdoor:PHP
Autre cas avec une erreur critique du type : File appears to be malicious or unsafe
Cela confirme en général le piratage de votre site WordPress.
Il existe alors deux types de détections : Suspicious:PHP/eval.inject ou Backdoor:PHP
- Cliquez sur l’alerte File appears to be malicious or unsafe pour obtenir des informations
- En rouge le code malveillant détecté et en dessous le type comme Suspicious:PHP/eval.inject qui correspond ici à du code injectée dans un fichier de WordPress. L’action à mener est de retirer le code injection en rouge
- Voici un autre exemple avec une détection de type Backdoor:PHP. L’action à mener est de supprimer le fichier malveillant en cliquant sur Delete file
WordPress Core File modified ou Modified theme file
WordPress Core File indique qu’un fichier de WordPress a été modifiée et ne correspond plus à celui d’origine.
Il peut s’agir d’une injection de code ou d’une modification légitime.
C’est à vous de statuer.
On peut avoir la même chose mais sur un fichier du thème, ce qui donne : Modified theme file
- Cliquez sur l’alerte WordPress Core File modified
- Puis cliquez sur View Differences
- A gauche, le fichier d’origine de WordPress et à droite votre fichier avec en vert la partie modifiée. A voir ensuite s’il faut retirer le code ajoutée
Après la désinfection de WordPress
En complément, vous pouvez consulter ce tutoriel :
Après le nettoyage de WordPress, suivez ces recommandations :
- Vérifiez la liste des utilisateurs WordPress
- Changer les mots de passe des comptes administrateur
- Mettez à jour les extensions
- Mettez WordPress est à jour
- Sécuriser WordPress en suivant ce tutoriel : Comment sécuriser WordPress contre les piratages
- Faites des sauvegardes régulières du site et SQL
Liens
- Désinfecter un site WordPress
- Pourquoi et comment les hackers piratent un site WordPress
- Wordfence : Protéger WordPress avec un Firewall et scan anti-malware
- Wordfence : Supprimer les backdoor, web shells, malwares de WordPress
- 8 extensions de sécurité pour protéger WordPress des malwares
- Comment détecter les PHP Backdoor ou Web Shells
- Faire un audit de sécurité WordPress
- Website File Changes Monitor : Surveiller les modifications de WordPress
- CDN : optimisation et sécurité WordPress
- Sucuri WordPress Security Plugin : sécurité et protection
- Website File Changes Monitor : Surveiller les modifications de WordPress