Pourquoi votre site ? Pourquoi les hackers hackent-ils ? Tant de questions...!
Code publique, manquement aux mises à jour, négligence des règles de sécurité, erreurs de "débutant"... Ils ont trouvé une faille !
En général, quand votre site a été piraté, ça saute aux yeux, littéralement !
Je vais détailler quelques conseils qui vont concerner essentiellement les sites wordpress, mais qui peuvent aussi s'appliquer à d'autres systèmes.
Pourquoi votre site ? Pourquoi les hackers hackent-ils ? Tant de questions...!
Déjà, rassurez-vous, généralement les attaques n'ont rien de personnel. A moins que votre site soit celui d'une grosse société par laquelle transite de l'argent ou des données importantes, à priori votre site a subi une attaque "aléatoire", sur une faille de sécurité déjà connue sur d'autres sites partageant le même CMS ou système.
En effet, sont plus ciblés les sites qui tournent avec un CMS, c'est pourquoi dans le titre de cet article je cite wordpress (qui est certainement un des CMS les plus utilisés en france), un site développeur a beaucoup moins de chances d'être piraté.
Les hackers, d'ailleurs n'attaquent pas en personne non plus, ils créent des scripts qui tentent de percer une ou des failles de manière automatisées, à la volée. Ils ne sont pas derrière leur écran à taper 200 mots de passe sur leur clavier pour entrer dans votre site.
Les raisons qui motivent les hackers peuvent être diverses, mais une partie d'entre eux sont là pour s'exercer, voir même pour faire des concours. Il y a aussi les pirates qui vont tenter de récolter des données (adresses mail de vos clients par exemple) pour ensuite pouvoir spammer, fisher, revendre les adresses... Parfois le but est de créer des liens sur votre site vers leurs sites - ou sites de leurs clients - et ainsi tenter de gagner de l'argent grâce à votre flux de visiteurs. Certains, plus sournois, cachent des scripts parmi les fichiers de votre site. Vous ne les verrez donc pas forcément, mais ces scripts vont utiliser les ressources et identifications de votre serveur ou ip pour ensuite lancer d'autres attaques automatisées. Les pistes sont brouillées, c'est votre site qui lance désormais des scripts malveillants ! Enfin il arrive que les hackers (mais cette fois, ce sont les "gros" sites avec des données sensibles qui seront le plus visés) retiennent vos données en otage et demandent une rançon, ça s'appelle le ransomware.
Code publique, manquement aux mises à jour, négligence des règles de sécurité, erreurs de "débutant"... Ils ont trouvé une faille !
Est-ce que vous avez fait les mises à jour ? Et oui, première question et si la réponse est non, il y a des chances que ce soit "ça" la raison du piratage de votre site. Il est important, on ne le répètera jamais assez, de faire les mises à jour proposées. Parce que justement, les mises à jour corrigent les failles qui ont été trouvées. Un pirate peut donc touver un moyen de hacker votre site si vous n'avez pas les dernières mises à jour, en exploitant une faille "connue".
Les CMS - content management system - sont plus sujets aux attaques aussi parce que le code est publique et gratuit. Ce qui est génial, certes, mais un peu risqué car les hackers ont tout le temps d'étudier le code et de voir où et comment ils pourraient tenter une attaque.
Mais aussi si vous avez codé votre site vous-même, avez-vous bien respecté les règles de sécurisation des formulaires par exemple ? Vérifier chaque donnée pouvant être entrée sur votre site, car cela peut-être une porte aux injections de code ou injections SQL (ciblant la base de données).
Il y a plusieurs types d'attaques exploitant différents types de failles, les hackers vont coder des scripts qui vont tester toutes ces failles sur votre site. Les scripts étant automatisés, il vont tourner en boucle, jusqu'à parvenir à percer, c'est le cas par exemple des attaques brute force qui vont tenter de trouver un couple identifiant / mot de passe.
En général, quand votre site a été piraté, ça saute aux yeux, littéralement !
En effet, les attaques les plus fréquentes consitent à remplacer votre page d'accueil par une autre (défacement), parfois avec des images et même un fond sonore. Parfois c'est plus discret, mais si vous voyez des changements que vous n'avez pas appliqués vous-même sur votre site ou des liens vers des sites douteux, ou encore que vous n'arrivez plus à vous connecter à l'admin, il est fort probable que votre site ait été piraté. Enfin en cas de piratage plus sournois, vous ne verrez pas forcément de changement en visitant votre site avec un navigateur, en revanche vous trouverez des fichiers qui n'étaient pas là avant si vous passez par l'utilisation d'un client FTP, ou vous remarquerez que votre site semble "ramer" plus qu'avant.
Je vais détailler quelques conseils qui vont concerner essentiellement les sites wordpress, mais qui peuvent aussi s'appliquer à d'autres systèmes.
Sans totalement céder à la panique, il faut toutefois régler le problème le plus vite possible, car on peut rapidement avoir des conséquences sur la réputation et le référencement du site. Comme je l'ai expliqué plus haut, on peut aussi devenir un site qui propage des scripts malveillants ou des virus. Mieux vaut agir rapidement. Et dans l'ordre.
Si vous avez fait une sauvegarde relativement récente des fichiers du site et de la base de données, le mieux c'est de "remonter" le site avec ces sauvegardes. Il est possible que votre hébergeur (par exemple IONOS le fait) fasse des sauvegardes journalières de vos bases de données. Dans ce cas, remontez à la dernière version où vous êtes sûrs que tout allait bien.
C'est un peu radical, mais c'est mon conseil. Toutefois si vous voulez faire le minimum je vous propose en alternative d'aller directement au "nettoyage", qui sera plus rapide, mais vous serez moins sûr d'être débarrassé du problème.
Pour ne pas se mélanger les pinceaux, je vous propose de créer un nouveau dossier dans votre espace FTP pour installer le "nouveau ancien site" (c'est-à-dire l'ancienne sauvegarde qui va remplacer le site actuellement infecté).
Uploadez l'intégralité des fichiers de votre sauvegarde du site dans ce nouveau dossier.
D'autre part, sur votre ordinateur, créez un dossier dans lequel vous allez télécharger cette fois la version infectée du site. Pourquoi ? Pour pouvoir récupérer essentiellement les images et médias et éventuellement vous pourrez plus tard étudier la cause du problème. Nommez ce dossier clairement, pour vous rappeler qu'il faudra le traiter avec précaution puisqu'il s'agit du site infecté.
Une fois le site infecté téléchargé sur votre ordinateur, n'ouvrez rien, faites simplement un clic-droit et demandez à votre anti-virus préféré de scanner tout ça. Vous pouvez ensuite récupérer les images et médias dans ce dossier qui a bien été scanné et les uploader sur le "nouveau" site (pour wordpress les images et médias se trouvent dans les dossiers par année dans wp-content/uploads).
Vous pouvez à ce moment là supprimer côté serveur (en FTP) l'intégralité du dossier qui contenait le site infecté.
Pensez à faire vos changements côté hébergement / nom de domaine pour indiquer le nouveau dossier où se trouve le site, afin de pouvour le connecter au nom de domaine.
Côté base de données, pensez aussi à remettre une sauvegarde d'une version saine. Attention, vous allez peut-être perdre les dernières modifs que vous aviez faites, aussi, pensez à sauvegarder la base de données actuelle avant de la remplacer totalement. Vous pourrez ainsi retrouver ce qu'il vous manque. Pour encore plus de précautions, vous pouvez tout à fait créer une nouvelle base de données et supprimer ensuite l'ancienne.
Sans trainer, car là vous avez remis une version saine, certes, mais qui est vulnérable puisqu'elle a pu être attaquée. De plus, vos mots de passe et identifiants sont peut-être déjà connus.
Il est possible que l'extension vous indique des fichiers infectés (surtout si vous n'avez pas ré-installé le site) et dans ce cas, il faudrait remplacer ces fichiers par leurs versions "saines" si vous les avez conservées.
Si vraiment vous n'avez pas conservé de sauvegarde du site dans un moment où il était propre et sain, je vous conseille de faire une ré-installaltion totale de votre site.
On lâche pas, on est encore dans du "critique", après cette étape vous pourrez souffler !
Par sécurité, changez tous les mots de passe de tous les comptes de votre site wordpress. Profitez-en pour supprimer les comptes obsolètes.
Mais changez aussi votre mot de passe FTP, le mot de passe de la base de données, voir même le mot de passe de connexion à votre hébergeur (OVH, IONOS...).
Choisissez des mots de passe aléatoires avec un max de chiffres/lettres/symboles (15 caractères, c'est bien :))
D'autres mots de passe en rapport, de près ou de loin, avec le site ? Changez-les !
Au niveau du pare-feu, notamment, dans Firewall -> All firewall options, vous pouvez régler le nombre de fois où l'on peut se tromper de mot de passe avant d'être bloqué. A priori un vrai utilisateur ne va pas se tromper plus de 4, 5 fois (et c'est déjà beaucoup) et vous pouvez choisir la durée du blocage. De quoi décourager les hackers s'ils sont bloqués pour 3 jours toutes les 5 tentatives bloquées.
Dans la partie "login security", vous avez la posibilité d'installer un recaptcha. Do it !
Refaites un scan Wordfence. Refaites un scan le lendemain. Et 3 jours après. Et la semaine suivante. Surveillez très régulièrement votre site, surtout au début. Pourquoi ? Parce que maintenant votre nom de domaine est connu des hackers et les attaques vont continuer, vous allez voir c'est impressionnant. Mais logiquement avec le pare-feu, vous êtes protégés.
Pour aller plus loin, voici des petites astuces qui vont se trouver un peu plus loin dans le code...!
Enfin, si dans les jours suivants vous subissez une nouvelle attaque, si vous avez sauté l'étape de ré-installer une version saine, cette fois, va falloir y passer et si vous aviez effectivement ré-installer une version, il faudra se questionner sur l'intégrité de votre version "saine" que vous avez uploadée, et en tenter une autre (plus ancienne) OU BIEN... étape suivante :
La ré-installation totale reste le meilleur moyen de repartir sur des bases saines.
Notez bien les infos concernant votre thème, vos extensions, sauvegardez bien les images et médias utilisés sur le site, faites une sauvegarde de la base de données ou retrouvez une version la plus récente possible avant le piratage.
Téléchargez la dernière version de wordpress sur le site officiel. Et ré-installez votre "nouveau site". Vous pourrez ensuite ré-installer votre thème (en téléchargeant à nouveau sa version officielle et plus récente), vos plugins et extensions. Vous pourrez remettre le contenu grâce à la sauvegarde de la base de données et des fichiers images et médias (que vous aurez pris soin de scanner à l'anti-virus).
N'oubliez pas aussi de protéger votre site avec Wordfence (ou autre extension du même type), de modifier tous les mots de passe. Et de revoir les étapes de nettoyage et sécurisation.
Mes sites en développement spécifique non. Mais des sites Wordpress, malheureusement oui. D'où cet article !
Je met cette question car on me le demande assez souvent ! La réponse est non.
En plus d'être illégal et passible de sanctions, certains aspects du hacking ne sont pas de mon domaine. Et même si je peux analyser comment sont réalisées les attaques et imaginer potentiellement des idées de scripts, le rapport bénéfice - risque n'est vraiment pas intéressant à mon niveau ! Je préfère m'intéresser aux techniques de sécurisation pour les contrer.
Oui, pourquoi pas. Les sites développeurs ne reposent pas sur un système rendu publique, les techniques et logiques utilisées sont trop spécifiques pour que les hackers perdent leur temps à chercher une faille qui va concerner un nombre restreint de sites. Attention toutefois, le développeur n'est pas à l'abri, tout comme les développeurs wordpress ou autre, de faire une erreur et de ne pas avoir pensé à tout ! Ce n'est donc pas totalement infaillible.
Non...! N'hésitez pas à faire des recherches et parcourir les nombreux articles qui vous donnent des conseils pour réparer, ré-installer et sécuriser votre site.
Vous ne savez pas trop comment appliquer tous ces conseils qui sont un peu techniques ? Vous pouvez me contacter pour analyse et réaparation / ré-install de votre site ou bien si vous souhaitez en profiter pour refaire entièrement votre site !
Photo d'illustration Ales Nesetril - Unsplash
