Nettoyez son site WordPress après piratage

Les sites wordpress sont vulnérables comme tous les sites mais la notoriété de ce CMS et la quantité d’extensions disponibles le désigne souvent comme une cible privilégiée pour les pirates en herbes.

Alors voilà un beau jours on se rend compte que son site qui semble fonctionné correctement a été infecté. Dans mon cas d’un point de vue extérieure rien de très flagrant, une pop-up qui s’ouvre aléatoirement pour certain visiteurs le promettant un gain en temps que Xème visiteur du site.
Une connexion FTP plus tard et on découvre des fichiers au nom étrange et au contenu suspect. (ex : mk3y8itr.php ou encore ur93yd5m.php) Des dossiers assets sont également présent un peut partout.

Comment en est on arrivé là difficile de savoir exactement. Mais certainement une extension avec un upload de fichier pas trop sécurisé. Je précise que mon wordpress et les extensions étaient mis à jour de manière régulière mais pas automatique car le site en question est un site e-commerce.

Un nettoyage s’impose

Pour lister les dossiers assets
find ./ -type d -path "./repertoire-du-wordpress" -prune -o -name "assets" | grep assets
Pour supprimer les dossiers en question
find ./ -type d -path "./repertoire-du-wordpress" -prune -o -name "assets" | grep assets | xargs rm -rf

Pour les fichiers au nom douteux pas de miracle il faut les supprimer à la main.

En suite je fais appel aux outils de mon hébergeur au travers de l’outil d’administration cpanel pour finir le nettoyage de fichiers à la recherche de malware et autres fichiers eventuellemnt virolé. Outil imunifyAV, ModSecurity et TigerProtect. Et si vous voulez en savoir plus sur le contenu des fichiers douteux dont je vous ai parlé plus haut je vous invite à lire cet article.