Repérer un site WordPress compromis : 12 signaux d’alerte

Un site WordPress compromis annonce rarement la couleur. L’attaquant veut rester invisible le plus longtemps possible, car chaque jour d’accès supplémentaire est une occasion de plus d’envoyer du spam, d’abuser de votre hébergement ou de bâtir des positions de recherche sur votre domaine. Plus tôt vous repérez la compromission, moins elle fait de dégâts. Voici douze signaux d’alerte concrets à vérifier sur tout site WordPress que vous possédez ou gérez.

1. Pages ou dossiers inconnus à la racine du site

WordPress range ses fichiers dans un ensemble connu de dossiers. Tout ce qui se trouve hors de wp-admin, wp-content, wp-includes et des fichiers standard du cœur à la racine doit être examiné. Un audit récent sur le site d’une agence de Sydney a révélé cinq nouveaux répertoires à la racine, chacun nommé pour imiter de vraies pages WordPress. Les fichiers à l’intérieur constituaient l’attaque entière. Les dossiers eux-mêmes étaient l’indice révélateur.

2. Des fichiers .php dans wp-content/uploads

Le dossier uploads est réservé aux médias. PHP ne devrait pas s’y exécuter. Si vous trouvez des fichiers .php dans l’arborescence uploads, surtout avec des noms étranges ou des dates de modification récentes, considérez-les comme suspects jusqu’à preuve du contraire. L’exception : un petit ensemble de fichiers de blocage volontaires que les plugins de durcissement ajoutent pour empêcher l’accès direct. Tout ce qui va au-delà mérite une vérification.

3. De nouveaux comptes administrateurs que vous n’avez pas créés

Ouvrez Utilisateurs dans votre administration WordPress. Examinez chaque compte doté du rôle administrateur. Si quelqu’un y figure que vous ne reconnaissez pas, dont l’adresse e-mail appartient à un domaine inconnu, ou dont la date d’inscription ne correspond à aucune arrivée dont vous vous souvenez, c’est un signal d’alerte. Les attaquants créent couramment un compte administrateur dérobé pour pouvoir revenir même après la fermeture du point d’entrée initial.

4. Chutes ou pics de performance dans la Search Console

Google Search Console est le système d’alerte précoce que la plupart des propriétaires de sites ignorent. Des chutes soudaines d’impressions ou de positions peuvent signifier qu’une action manuelle a été appliquée. Des pics soudains d’impressions sur des requêtes sans rapport avec votre activité peuvent signifier que Google classe désormais du contenu masqué sous votre domaine. Dans les deux cas, creusez.

5. Des URL indexées inconnues

Dans la Search Console, le rapport de couverture liste chaque URL que Google a indexée sous votre domaine. Si vous voyez des URL que vous n’avez pas créées, surtout en langues étrangères ou avec des chemins inhabituels, c’est un signe fort que votre domaine héberge du contenu masqué. Le cas de Sydney évoqué plus haut s’est d’abord manifesté par des URL indexées que le propriétaire n’avait jamais vues.

6. Anomalies sur la facture d’hébergement

Un bond soudain de bande passante ou de stockage sur votre facture d’hébergement, sans évolution correspondante du trafic ou du contenu du site, peut signifier que le serveur sert à autre chose qu’à votre site. Les attaquants utilisent parfois des sites WordPress compromis pour héberger des pages de phishing, des logiciels malveillants ou du contenu de spam, et cette bande passante apparaît dans vos statistiques d’utilisation.

7. Spam dans les commentaires ou les inscriptions malgré les filtres

Si un filtrage anti-spam est installé mais que le spam passe quand même, en particulier des commentaires approuvés automatiquement ou des inscriptions d’utilisateurs qui contournent vos réglages, quelque chose a contourné le fonctionnement normal de WordPress. Cela peut être un plugin mal configuré, mais aussi une compromission qui a désactivé ou contourné vos protections.

8. Des fichiers du cœur de WordPress modifiés

Les fichiers de wp-admin et wp-includes font partie du cœur de WordPress. Les propriétaires de sites ne devraient jamais les modifier, et les mises à jour de routine doivent les laisser dans un état connu et sain. Un plugin de sécurité réputé comme Wordfence peut comparer vos fichiers du cœur aux versions officielles et vous indiquer lesquels ont été modifiés. Toute modification que vous ne pouvez pas expliquer est un signal d’alerte.

9. Des entrées étranges dans votre journal d’activité

Si votre plugin de sécurité ou votre hébergeur fournit un journal d’activité, lisez-le. Connexions depuis des pays où vous n’opérez pas, connexions à des heures qui ne correspondent à aucune habitude de votre équipe, changements de réglages que vous n’avez pas faits, plugins installés ou activés hors des fenêtres de maintenance habituelles : chacun de ces éléments mérite une vérification.

10. Redirections inattendues depuis les résultats de recherche

Cliquez sur votre propre site depuis un résultat de recherche Google, idéalement depuis une session de navigateur vierge ou un appareil mobile. Si vous atterrissez sur un autre domaine, sur une page d’arrivée inconnue ou sur une page qui ne correspond pas au titre cliqué, quelque chose intercepte le trafic de recherche. Les attaquants écrivent souvent des règles de redirection qui ne se déclenchent que pour les visiteurs venant des moteurs de recherche — c’est pourquoi la même URL semble normale quand vous la saisissez directement.

11. Avertissements du navigateur sur votre URL

Chrome, Firefox et Safari affichent une page d’avertissement rouge si Google Safe Browsing a signalé votre domaine comme diffusant des logiciels malveillants ou du phishing. Si quelqu’un signale avoir vu un tel avertissement sur votre site, considérez la compromission comme confirmée jusqu’à preuve du contraire. Dans la grande majorité des cas, l’avertissement n’est pas un faux positif.

12. Des clients qui signalent du contenu étrange

Parfois, le détecteur le plus fiable est un client déconcerté. Si quelqu’un vous demande pourquoi votre site affiche du contenu sans rapport, fait la publicité de produits que vous ne vendez pas ou réclame des identifiants dans un formulaire inconnu, écoutez attentivement. Les clients voient la face publique de votre site dans des conditions que vous ne testez peut-être pas.

Que faire si vous repérez l’un de ces signaux

Si l’un de ces signaux d’alerte apparaît, ne paniquez pas et n’essayez pas de nettoyer avant d’avoir compris l’étendue du problème. Le premier geste essentiel est de prendre un instantané de l’état actuel, avec une sauvegarde complète des fichiers et de la base de données, afin qu’un audit forensique puisse voir ce que l’attaquant a fait. Changez ensuite tous les identifiants. Puis entamez un nettoyage systématique, idéalement avec l’aide de quelqu’un qui l’a déjà fait.

Nettoyer trop vite détruit les preuves nécessaires pour trouver le point d’entrée. Sans point d’entrée identifié, l’attaquant reviendra en quelques jours.

Besoin d’un coup de main ?

Si l’un de ces signaux d’alerte est apparu sur votre site WordPress, l’équipe de Defyn peut mener un audit forensique, identifier le point d’entrée et vous accompagner vers une récupération propre. Contactez-nous dès que vous repérez quelque chose. Le temps compte.