Un site WordPress compromis annonce rarement la couleur. L’attaquant veut rester invisible le plus longtemps possible, car chaque jour d’acc\u00e8s suppl\u00e9mentaire est une occasion de plus d’envoyer du spam, d’abuser de votre h\u00e9bergement ou de b\u00e2tir des positions de recherche sur votre domaine. Plus t\u00f4t vous rep\u00e9rez la compromission, moins elle fait de d\u00e9g\u00e2ts. Voici douze signaux d’alerte concrets \u00e0 v\u00e9rifier sur tout site WordPress que vous poss\u00e9dez ou g\u00e9rez.<\/p>
WordPress range ses fichiers dans un ensemble connu de dossiers. Tout ce qui se trouve hors de wp-admin, wp-content, wp-includes et des fichiers standard du c\u0153ur \u00e0 la racine doit \u00eatre examin\u00e9. Un audit r\u00e9cent sur le site d’une agence de Sydney a r\u00e9v\u00e9l\u00e9 cinq nouveaux r\u00e9pertoires \u00e0 la racine, chacun nomm\u00e9 pour imiter de vraies pages WordPress. Les fichiers \u00e0 l’int\u00e9rieur constituaient l’attaque enti\u00e8re. Les dossiers eux-m\u00eames \u00e9taient l’indice r\u00e9v\u00e9lateur.<\/p>
Le dossier uploads est r\u00e9serv\u00e9 aux m\u00e9dias. PHP ne devrait pas s’y ex\u00e9cuter. Si vous trouvez des fichiers .php dans l’arborescence uploads, surtout avec des noms \u00e9tranges ou des dates de modification r\u00e9centes, consid\u00e9rez-les comme suspects jusqu’\u00e0 preuve du contraire. L’exception : un petit ensemble de fichiers de blocage volontaires que les plugins de durcissement ajoutent pour emp\u00eacher l’acc\u00e8s direct. Tout ce qui va au-del\u00e0 m\u00e9rite une v\u00e9rification.<\/p>
Ouvrez Utilisateurs dans votre administration WordPress. Examinez chaque compte dot\u00e9 du r\u00f4le administrateur. Si quelqu’un y figure que vous ne reconnaissez pas, dont l’adresse e-mail appartient \u00e0 un domaine inconnu, ou dont la date d’inscription ne correspond \u00e0 aucune arriv\u00e9e dont vous vous souvenez, c’est un signal d’alerte. Les attaquants cr\u00e9ent couramment un compte administrateur d\u00e9rob\u00e9 pour pouvoir revenir m\u00eame apr\u00e8s la fermeture du point d’entr\u00e9e initial.<\/p>
Google Search Console est le syst\u00e8me d’alerte pr\u00e9coce que la plupart des propri\u00e9taires de sites ignorent. Des chutes soudaines d’impressions ou de positions peuvent signifier qu’une action manuelle a \u00e9t\u00e9 appliqu\u00e9e. Des pics soudains d’impressions sur des requ\u00eates sans rapport avec votre activit\u00e9 peuvent signifier que Google classe d\u00e9sormais du contenu masqu\u00e9 sous votre domaine. Dans les deux cas, creusez.<\/p>
Dans la Search Console, le rapport de couverture liste chaque URL que Google a index\u00e9e sous votre domaine. Si vous voyez des URL que vous n’avez pas cr\u00e9\u00e9es, surtout en langues \u00e9trang\u00e8res ou avec des chemins inhabituels, c’est un signe fort que votre domaine h\u00e9berge du contenu masqu\u00e9. Le cas de Sydney \u00e9voqu\u00e9 plus haut s’est d’abord manifest\u00e9 par des URL index\u00e9es que le propri\u00e9taire n’avait jamais vues.<\/p>
Un bond soudain de bande passante ou de stockage sur votre facture d’h\u00e9bergement, sans \u00e9volution correspondante du trafic ou du contenu du site, peut signifier que le serveur sert \u00e0 autre chose qu’\u00e0 votre site. Les attaquants utilisent parfois des sites WordPress compromis pour h\u00e9berger des pages de phishing, des logiciels malveillants ou du contenu de spam, et cette bande passante appara\u00eet dans vos statistiques d’utilisation.<\/p>
Si un filtrage anti-spam est install\u00e9 mais que le spam passe quand m\u00eame, en particulier des commentaires approuv\u00e9s automatiquement ou des inscriptions d’utilisateurs qui contournent vos r\u00e9glages, quelque chose a contourn\u00e9 le fonctionnement normal de WordPress. Cela peut \u00eatre un plugin mal configur\u00e9, mais aussi une compromission qui a d\u00e9sactiv\u00e9 ou contourn\u00e9 vos protections.<\/p>
Les fichiers de wp-admin et wp-includes font partie du c\u0153ur de WordPress. Les propri\u00e9taires de sites ne devraient jamais les modifier, et les mises \u00e0 jour de routine doivent les laisser dans un \u00e9tat connu et sain. Un plugin de s\u00e9curit\u00e9 r\u00e9put\u00e9 comme Wordfence peut comparer vos fichiers du c\u0153ur aux versions officielles et vous indiquer lesquels ont \u00e9t\u00e9 modifi\u00e9s. Toute modification que vous ne pouvez pas expliquer est un signal d’alerte.<\/p>
Si votre plugin de s\u00e9curit\u00e9 ou votre h\u00e9bergeur fournit un journal d’activit\u00e9, lisez-le. Connexions depuis des pays o\u00f9 vous n’op\u00e9rez pas, connexions \u00e0 des heures qui ne correspondent \u00e0 aucune habitude de votre \u00e9quipe, changements de r\u00e9glages que vous n’avez pas faits, plugins install\u00e9s ou activ\u00e9s hors des fen\u00eatres de maintenance habituelles : chacun de ces \u00e9l\u00e9ments m\u00e9rite une v\u00e9rification.<\/p>
Cliquez sur votre propre site depuis un r\u00e9sultat de recherche Google, id\u00e9alement depuis une session de navigateur vierge ou un appareil mobile. Si vous atterrissez sur un autre domaine, sur une page d’arriv\u00e9e inconnue ou sur une page qui ne correspond pas au titre cliqu\u00e9, quelque chose intercepte le trafic de recherche. Les attaquants \u00e9crivent souvent des r\u00e8gles de redirection qui ne se d\u00e9clenchent que pour les visiteurs venant des moteurs de recherche \u2014 c’est pourquoi la m\u00eame URL semble normale quand vous la saisissez directement.<\/p>
Chrome, Firefox et Safari affichent une page d’avertissement rouge si Google Safe Browsing a signal\u00e9 votre domaine comme diffusant des logiciels malveillants ou du phishing. Si quelqu’un signale avoir vu un tel avertissement sur votre site, consid\u00e9rez la compromission comme confirm\u00e9e jusqu’\u00e0 preuve du contraire. Dans la grande majorit\u00e9 des cas, l’avertissement n’est pas un faux positif.<\/p>
Parfois, le d\u00e9tecteur le plus fiable est un client d\u00e9concert\u00e9. Si quelqu’un vous demande pourquoi votre site affiche du contenu sans rapport, fait la publicit\u00e9 de produits que vous ne vendez pas ou r\u00e9clame des identifiants dans un formulaire inconnu, \u00e9coutez attentivement. Les clients voient la face publique de votre site dans des conditions que vous ne testez peut-\u00eatre pas.<\/p>
Si l’un de ces signaux d’alerte appara\u00eet, ne paniquez pas et n’essayez pas de nettoyer avant d’avoir compris l’\u00e9tendue du probl\u00e8me. Le premier geste essentiel est de prendre un instantan\u00e9 de l’\u00e9tat actuel, avec une sauvegarde compl\u00e8te des fichiers et de la base de donn\u00e9es, afin qu’un audit forensique puisse voir ce que l’attaquant a fait. Changez ensuite tous les identifiants. Puis entamez un nettoyage syst\u00e9matique, id\u00e9alement avec l’aide de quelqu’un qui l’a d\u00e9j\u00e0 fait.<\/p>
Nettoyer trop vite d\u00e9truit les preuves n\u00e9cessaires pour trouver le point d’entr\u00e9e. Sans point d’entr\u00e9e identifi\u00e9, l’attaquant reviendra en quelques jours.<\/p>