Pirates !!!
Non, je ne fais pas un remake de la publicité Tipiak, et je ne vous parle pas de vacances aux Caraïbes, mais de piratage informatique… J’ai bel et bien été piratée par des hackers le week-end dernier, comme un certain nombre d’entre vous, malheureusement…
Ce sont les blogs auto-hébergés sous WordPress.org qui en ont fait les frais, à cause de plugins non mis à jour.
Mon blog est de nouveau sur pied et j’ai aussi remis en ligne le blog de Gwenadeco également touché, alors pour ceux et celles qui galèrent encore à récupérer leur blog, je vous explique comment j’ai fait.
Quels étaient les symptômes de ce piratage ?
On peut voir un début de l’attaque dans l’admin de WordPress : des messages d’erreur dans la partie Extensions qui disent que toutes les extensions ont été désactivées.
Ensuite, les extensions ont carrément disparu !
Pour enfin avoir des pages blanches, d’abord sur une ou deux pages, puis plus d’accès à l’admin (le truc qui fait trop flipper). Malheureusement je ne parle pas de la page blanche du manque d’inspiration, mais de vraies pages toutes blanches au lieu des pages de mon blog, sans aucun message d’erreur.
J’ai vu que d’autres blogueurs avaient, eux, des pages blanches avec des messages d’erreur tels que « Erreur 403 : Forbidden : You don’t have permission to access on this server » ou « Erreur de connexion à la base de données ».
Ce qui est bizarre, c’est que certains de mes lecteurs avaient encore accès à mon blog, je voyais que j’avais encore du trafic en regardant le Temps réel de Google Analytics, mais bon, sans accès à mon admin j’étais un peu coincée…
Quelles sont les causes ?
Au début, je ne pensais pas à du piratage, je pensais que c’était mon thème WordPress qui buggait car j’avais déjà eu un problème de page blanche sur un ou deux articles il y a un mois. Je comptais de toute façon changer de thème pour améliorer mon temps de chargement alors je me suis mise à tout réinstaller.
Et en voyant une dizaine de blogueurs touchés par le même problème, c’était forcément du piratage…
Apparemment les hackers sont passés par des plugins tels que Mail Poet (anciennement appelé Wysija), All in one SEO, Form7 et BackupWP entre autres. Les développeurs de ces extensions s’en étaient rendus compte rapidement et ont fait des mises à jour de leur plugin mais c’était à nous de réinstaller les dernières versions… ce que je n’ai pas fait…
Alors si vous n’êtes pas encore touché par le piratage, mettez vite à jour toutes vos extensions WordPress !
Comment récupérer son blog ?
J’ai vu plusieurs techniques qui ont été utilisées par les blogueurs touchés, mais certains ont de nouveau été piratés après leur « nettoyage » :
- Ils ont soit remis une sauvegarde d’il y a quelques jours chez leur hébergeur (à savoir OVH car je ne sais pas si ceux sur 1&1 ont pu faire la même chose),
- soit chargé via ftp (avec Filezilla par exemple) les fichiers d’il y a quelques jours.
Le problème avec ces 2 techniques c’est qu’on ne peut remonter qu’à 1 semaine maximum et si le blog a été touché avant, le processus qu’on a vu au-dessus va recommencer…
Du coup voilà ce que j’ai fait pour récupérer mon blog, puis celui de Gwenadeco, ce qui m’a pris 1 heure environ (le mien m’a pris plus de temps car j’en ai profité pour tout changer).
1. Faites une sauvegarde de votre base de données chez votre hébergeur
Dans la base de données, on retrouve tout le contenu du blog, à savoir les articles, les pages, les commentaires, les abonnés à votre newsletter, etc. Il est donc important de faire régulièrement une sauvegarde de votre base de données au cas où ce genre de piratage arrive. Il est facile de refaire le design d’un blog, mais réécrire plusieurs années d’articles est impossible… et déprimant…
Pour OVH, vous trouverez la procédure de sauvegarde sur ce lien-là. Je crois que sur 1&1 c’est un peu plus technique, il faudra que vous contactiez leur support directement.
Vous vous retrouverez ainsi avec un fichier .sql ou .dump que vous pourrez recharger facilement ensuite. A noter que pour les données de plus de 16Mo, il vaut mieux exporter en plusieurs fois sinon l’import sera un peu plus compliqué.
On peut facilement faire des sauvegardes automatiques de sa base à l’aide d’extensions telles que WP-DB-Backup mais je ne l’ai pas encore testée. Apparemment on peut recevoir 1 fois par semaine (à configurer) par mail sa base de données.
2. Faites une sauvegarde de vos fichiers sur le serveur ftp
Le serveur est là où se trouvent tous les fichiers qui composent votre blog. Quand on sait « coder » un peu, c’est à cet endroit qu’on va modifier les fichiers. On y trouve donc tous les fichiers html, php, css, Javascript etc, mais aussi nos images ! Donc il est important de tout sauvegarder même si a priori ce sont ces fichiers-là qui ont été infestés par les pirates.
- Si vous ne l’avez pas encore, téléchargez le logiciel Filezilla.
- Connectez-vous sur votre ftp à l’aide des codes donnés par votre hébergeur :
- Il faut remplir l’hôte, ce qui correspond à ftp.votredomaine.com (par exemple moi c’est ftp.trucsdeblogueuse.com)
- L’identifiant et le mot de passe, à retrouver chez OVH (si vous êtes hébergé chez OVH).
- Vous pouvez aussi aller dans Fichier/Gestionnaire de sites (sur Filezilla) pour ne pas avoir à entrer à chaque fois vos identifiants.
- A gauche vous trouvez les fichiers sur votre ordinateur et à droite les fichiers sur le serveur.
- Copiez tous les fichiers de droite (en prenant tout le dossier www) vers un dossier de votre ordinateur à gauche, en déplaçant le tout avec votre souris.
- Renommez ce dossier sur votre ordinateur en l’appelant « www infecté » par exemple.
3. Supprimez tous vos fichiers actuels
Depuis Filezilla, supprimez tous vos fichiers à droite (clic droit : Supprimer).
Vérifiez que l’étape 2 est bien faite, sinon vous ne pourrez plus rien récupérer !
4. Réinstallez manuellement WordPress
Allez chercher la dernière version de WordPress sur leur site et téléchargez la.
Dézippez le fichier, vous obtiendrez un dossier appelé www.
Suivez les instructions d’installation qui sont indiquées sur cette même page de téléchargement.
5. Récupérez vos images
Dans le dossier « www infesté » que vous avez sauvegardé sur votre ordinateur, allez dans wp-content/uploads (à gauche).
Copiez tout le contenu de ce dossier uploads dans le wp-content de votre blog, à droite.
6. Changez votre mot de passe à l’admin
J’ai vu qu’une blogueuse avait été carrément piratée jusqu’à sa boîte mail… Oups !
Je vous conseille donc de modifier également le mot de passe de votre admin, qu’il soit le plus complexe possible (avec des majuscules, minuscules, caractères et chiffres) et bien sûr, qu’il soit différent de votre boîte mail…
7. Réinstallez votre thème et vos extensions
Vous avez normalement de nouveau accès à votre blog, mais il n’a sûrement plus du tout la même tête qu’avant, il va donc falloir réinstaller votre thème et vos extensions une par une, en veillant à bien prendre les dernières versions.
Au moins, vu que vous avez gardé le dossier « www infesté », vous pouvez voir quels plugins vous aviez en allant les chercher dans wp-content/plugins. Vous avez ainsi leurs noms pour pouvoir les chercher et les télécharger de nouveau, car évidemment il ne vaut mieux pas copier les anciens depuis votre « www infesté » vers votre nouveau blog.
A vous de jouer
Voilà, j’espère que cet article va pouvoir vous aider à récupérer votre blog, n’hésitez pas à me poser des questions dans les commentaires ci-dessous si jamais vous bloquez quelque part. Et bon courage à tous et à toutes !
Mia
Ancienne responsable e-commerce pour une marque de luxe, elle est l'auteure du livre "Augmenter le trafic de son blog" paru aux Editions Eyrolles.
Elle s'adresse à tous ceux dont la passion est le moteur.
Voir sa description détaillée.
Les derniers articles par Mia (tout voir)
- Je vous invite dans ma bibliothèque (plein de cadeaux pour vous) - 2 avril 2019
- Je suis maman, blogueuse, guitariste, sportive et bien d’autres… - 28 mars 2019
- Le blog a 5 ans ! Un jeu-concours pour fêter ça - 8 mars 2019
Bonjour « Mia-Florence » ;-),
Question bête, mais quelle est l’utilité pour des hacker de pirater tes blogs ? Rien de financier ou confidentiel a récupérer..?
Hello !
Encore une fois tes articles me sauvent la vie !
En voulant me connecter à mon blog ce soir je n’ai pas compris ce qui se passait en me retrouvant face à cette page blanche 🙁
Après quelques heures de concentration et grâce à ton article j’ai réussi à récupérer mon blog. Il me reste des petites choses à ré-installer mais l’essentiel est la.
MERCI !
Merci pour ton message Lisa, je suis contente d’avoir pu t’aider 🙂 Bon courage pour récupérer le reste !
Merci pour l’article, il m’a aidé à nettoyer le site tout en conservant mes articles.
Merci pour article que j’aurais aimer trouver plus tôt.
J’ai aussi été piratée le week-end dernier et j’ai du chercher toutes ces informations dans tous les sens, les tester sans trop savoir si je faisais bien. Pour effacer toutes les données sur filezilla j’avais aussi effacé les 5 fichiers qui se trouvent en dessous de www. alors qu’il fallait les laisser.
Encore bravo pour ton article qui donne la méthode pas à pas.
Nadia
Bonsoir Nadia, merci pour ton commentaire! On a tous passé un week-end pourri à ce que je vois… J’ai aussi effacé les fichiers sous www, pourquoi il ne fallait pas? Ils se recréent tout seul après l’installation normalement.
Chez moi ils ne se sont pas recréés, j’ai dû aller les rechercher dans une sauvegarde.
je crois qu’ils se récréent après un certain temps. Du coup sans les avoir remis ton blog ne marchait pas?
Il ne marchait pas mais en réalité il y avait encore d’autres problèmes que j’ai résolus.
Par contre je suis apparemment à nouveau infectée. Quand je teste mon blog sur sucuri il me dit « Infected with malware ».
Refaire la même manip risque de laisser encore la même faille.
Oh non! Tu avais fait quelle manip? Comme moi ou pas?
Je viens de tester mon blog sur Sucuri (je ne connaissais pas, merci) et ouf! il n’est plus infecté.
Nadia, comment t’en es-tu sortir finalement? Car moi j’ai de nouveau été piraté, puis j’ai tout remis avec la méthode de Mia et voilà que cela recommence comme toi! Merci d’avance pour ta réponse!
J’ai tout recommencé avec les sauvegardes les plus anciennes et j’ai vérifié les fichiers importants comme les .php pour trouver des erreurs. J’ai trouvé un fichier rempli de codes malveillants chiffrés (wp.config.php) la première fois et dans le fichier (wp-includes/default-widgets.php) la deuxième fois.
Bon courage.
Nadia
Merci pour cet article! Je crois que c’est la hantise de tout blogueur à l’heure actuel : voir tout son travail réduit à néant!
J’ai néanmoins une petite question : je n’arrive pas à changer mon identifiant « admin » dans mon profil il me marque « Les identifiants ne peuvent être modifiés ». Une astuce?
Ouah il est super beau ton blog, j’adore! Et très bien écrit aussi, bravo! 🙂
Est-ce que tu as bien les droits en administrateur? Tu es bien allée dans Utilisateurs?
L’identifiant n’est pas prévu pour être modifié (c’est un identifiant utilisé en base). Il faut recréer un compte admin avec ton nouvel identifiant et lui attribuer tes articles.. On doit pouvoir le faire en base, mais je ne sais pas si cela n’a pas des effets de bord indésirable..
Merci Mat pour ta réponse. Je vais tester ta méthode ça a l air pas mal! Je te tiens au courant si de éventuels effets indésirables se produisent (je croise les doigts!)
t’es sûr Mat? car je n’ai plus d' »admin », il me semblait que j’avais pu modifier le nom (vu que je ne l’ai plus)
Attention à ne pas confondre le pseudo (que tu peux modifier) et l’identifiant qui sert à le logguer sur le backoffice de WordPress..Ce qui est visible pour tes visiteurs, c’est soit le pseudo soit l’identifiant (le pseudo étant par défaut).
ah oui! donc pas besoin de changer l’identifiant, c’est plus simple de ne modifier que le pseudo… et le mot de passe bien sûr
Merci Mia ça fait toujours plaisir!
oui je suis le seul administrateur sur mon site! Je suis allée dans administrateur – mon profil!
Merci pour cet article! J’ai eu la chance de ne pas avoir été piratée non plus, mais je préfère faire une sauvegarde au cas où. Je confirme qu’il existe un outil (dans wordpress, dans outils, puis backup) qui permet de se faire envoyer par mail, 1 fois par semaine, la sauvegarde de la base de données nos articles!
Et au fait, très jolie ta nouvelle présentation!! Plus claire je trouve ;)!!
merci c’est gentil!! et il est plus rapide aussi normalement 🙂
Merci pour moi ça a été un vrai soulagement que tu es su quoi faire!!!
oui tu as à peine eu le temps de t’en rendre compte 😉
Ta démarche est bonne, mais j’ajouterais quelques commentaires.. Supprimer et ré-uploader les images ne sert à rien si ce n’est perdre du temps quand tu as plusieurs Go d’images! Il faut donc les laisser, elles ne sont pas « contaminées » de toute manière. Et lors de la réinstallation, il faut changer le mot de passe admin avec un mot de passe complexe tant qu’a faire!!
merci pour ces précisions Mat!
pour les images tu as raison, mais je trouvais plus simple d’expliquer de tout effacer le dossier wwww.
et tout à fait pour le mot de passe, je vais le rajouter dans l’article, merci pour ta contribution! 🙂
Pas de quoi, j’ai déjà eu un soucis de cet ordre il y a un moment. C’est juste pénible de devoir perdre du temps à cause de petits malin qui viennent te casser ton site..
Trop tard pour moi , je suis attaqué également, mais ce n’est pas encore de la même façon, moi j’ai eu des écritures de code sur mon fichier index.php et sur les fichiers des thèmes et des widgets. Pour réinstaller le tout je sais faire quand c’est un seul blog, sauf que moi c’est un multisites avec environ 100 blogs, j’ai fait ma mise à jour de wordpress avec softaculous, et je crois que c’est là que j’ai eu le plus gros soucis, c’est qu’elle n’est pas complète. Je peux encore refaire tout mon multisites mais c’est très long, pour l’instant je sauvegarde, un sujet important.
ah mince, moi aussi j’avais un multisites avec 6 blogs (plus ou moins à l’abandon) mais j’avoue que je ne me suis pas encore penchée dessus et la moitié est encore en pages blanches. j’en ai juste profité pour sortir trucsdeblogueuse en monosite.
Bon courage si tu dois tout refaire…
Déjà je peux sauvegarder les blogs de mes amis et j’en suis très content, j’ai mis à jour les widgets, les thèmes, et wordpress, mais pour ce dernier je crois que j’aurai du le faire directement par l’administration du réseau
c’est comment par l’administration du réseau?
sur le site maître, dans mise à jour simplement, mettre à jour la version de wordpress
ah, pour le multisites? mais comment faire si on n’a plus accès à l’admin?
Eh bien quelle histoire!
Je ne crois pas avoir été piratée, mais je m’empresse de mettre à jours mes extentions!!
Merci pour ce super article!
ah oui t’as de la chance, mets vite tout à jour! 🙂