X

Comment réparer un site WordPress piraté et prévenir de futurs piratages

how to repair a hacked website

Vous cherchez un moyen rapide et efficace de nettoyer un site web piraté ?

Lorsque votre site est piraté, les conséquences peuvent être désastreuses. Les pirates peuvent rediriger votre trafic, escroquer les visiteurs, voler des données confidentielles, etc.

Ce qui est vraiment inquiétant, c’est qu’une fois que les pirates se sont introduits, ils utilisent toutes sortes de tactiques pour s’assurer qu’ils peuvent accéder à votre site même après que vous l’ayez nettoyé.

Dans ce tutoriel, nous allons vous montrer la manière la plus efficace de réparer un site WordPress piraté afin qu’il revienne à la normale en un rien de temps. De plus, nous vous montrerons comment fermer tous les points d’entrée afin que vous puissiez être sûr que votre site est protégé à l’avenir.

Nous savons que vous êtes peut-être pressé de passer directement à la solution, c’est pourquoi nous vous proposons une table des matières qui vous permettra de passer directement à la section qui vous intéresse le plus :

S’assurer que votre site est piraté

Avant de vous lancer dans le nettoyage de votre site, il est préférable de vous assurer qu’il a bien été piraté. Il peut arriver que vous constatiez un ralentissement de votre site web et que vous en concluiez directement qu’il a été piraté, alors qu’il peut s’agir d’un autre problème.

Vous pouvez donc commencer par repérer les signes et symptômes courants d’une attaque sur votre site :

  • Vous n’arrivez pas à vous connecter au panneau d’administration ou votre nom d’utilisateur n’existe pas.
  • Votre site affiche des publicités ou des fenêtres contextuelles pour des produits illégaux ou falsifiés.
  • Vous êtes classé pour des mots-clés aléatoires qui ressemblent à du spam
  • Le trafic diminue soudainement parce que des pirates informatiques le redirigent, mais cela peut aussi signifier que vous avez été pénalisé par une mise à jour de l’algorithme de Google.
  • Les performances de votre site web se sont soudainement ralenties.
  • Google avertit les visiteurs que votre site est trompeur ou malveillant.
  • Votre hébergeur a suspendu votre compte car il a détecté des logiciels malveillants.

Comme vous pouvez le constater, il existe de nombreux signes indiquant que votre site est piraté et vous pouvez en avoir le cœur net en utilisant un scanner de sécurité.

Vous pouvez effectuer une vérification des logiciels malveillants dès maintenant à l’aide de notre scanner de logiciels malveillants gratuit développé par Sucuri.

Sucuri sitecheck

Il vous suffit d’entrer l’URL de votre site web pour que le scanner l’examine. S’il détecte des logiciels malveillants, il vous fournira un rapport comme celui-ci :

Sitecheck redirect

Si vous obtenez un rapport correct et que vous pensez toujours que votre site a été piraté, nous vous recommandons d’utiliser un scanner côté serveur.

Les scanners web sont assez efficaces pour détecter rapidement les logiciels malveillants, mais ils sont limités car ils n’ont pas un accès complet à votre site. Ils ne peuvent vous dire que ce qui se passe de l’extérieur. Cela signifie qu’ils peuvent montrer que votre site est propre alors que l’infection est cachée dans un dossier de votre site.

Avec un scanner côté serveur, vous devrez l’installer sur votre site et il analysera les fichiers, les dossiers et la base de données de votre site WordPress de l’intérieur.

En cas d’activité suspecte ou de logiciel malveillant, le scanner vous alertera immédiatement.

Ensuite, nous vous montrerons comment installer une solution de sécurité qui comprend un scanner côté serveur et des nettoyages de logiciels malveillants pour réparer votre site piraté.

Comment réparer efficacement un site web piraté ?

Pour analyser et nettoyer correctement un site web piraté, nous recommandons Sucuri.

Sucuri

Sucuri est la meilleure solution de sécurité pour les sites web WordPress. Il est livré avec un scanner côté serveur qui analyse et surveille automatiquement votre site web à intervalles réguliers.

S’il détecte quoi que ce soit de suspect, il vous enverra une notification instantanée. En outre, voici pourquoi nous recommandons vivement Sucuri :

  • Vérifie régulièrement l’absence de spam et de code malveillant
  • Vérifie l’existence de listes noires auprès des moteurs de recherche et d’autres autorités
  • Surveillance du temps de fonctionnement du site web
  • Détection des modifications apportées au DNS (système de noms de domaine) et au SSL
  • Alertes instantanées par e-mail, SMS, Slack et RSS
  • Recherche les portes dérobées créées par les pirates, qui leur permettent d’accéder au site même après le nettoyage de l’infection par des logiciels malveillants.

Le scanner côté serveur de Sucuri est disponible dans la version pro à partir de 199,99 $ par an. Cette version vous donne accès à une configuration de sécurité complète pour votre site. Vous aurez accès à la suppression illimitée des logiciels malveillants en cas de piratage de votre site et à un pare-feu solide comme le roc pour prévenir toute attaque future.

Si vous souhaitez explorer des alternatives, consultez notre liste des 9 meilleurs plugins de sécurité WordPress comparés.

Nous allons maintenant vous montrer comment utiliser Sucuri pour analyser, nettoyer et protéger votre site.

Étape 1 : Exécuter une analyse complète du site web

La première chose à faire est de souscrire un plan auprès de Sucuri.

Connectez-vous ensuite à votre compte et ajoutez votre site web au tableau de bord.

Add site in Sucuri

Vous devez maintenant saisir vos identifiants FTP pour permettre à Sucuri d’accéder à votre site web. Si vous ne connaissez pas vos identifiants FTP, vous pouvez contacter le support de votre hébergeur et leur demander simplement de vous les communiquer.

Connect site to Sucuri

Une fois que vous avez ajouté votre site au tableau de bord, Sucuri lance automatiquement le scanner. Il passera au peigne fin tous vos fichiers WordPress et votre base de données pour vérifier la présence de logiciels malveillants ou d’activités de piratage.

Lorsque l’analyse est terminée, elle crée un rapport qui vous indique si votre site est piraté ou non.

Sucuri dashboard site infected

À côté du message d’avertissement, vous pouvez cliquer sur le bouton Détails.

Une page s’ouvrira pour vous permettre de lire le rapport dans son intégralité.

Clean up site with Sucuri

Vous verrez les détails suivants :

  • Avertissements de sécurité avec niveau de risque
  • Listes noires de moteurs de recherche
  • Surveillance de la disponibilité
  • Modifications récentes du DNS et du SSL

Maintenant que vous êtes sûr d’avoir un site WordPress piraté, nous allons vous montrer à quel point il est facile de le nettoyer avec Sucuri.

Étape 2 : Demander un nettoyage des logiciels malveillants

Pour supprimer les logiciels malveillants de votre site, sur la même page de rapport dans le tableau de bord de Sucuri, vous verrez une option pour “Nettoyer mon site”.

Clean up site with Sucuri

Vous accéderez à une nouvelle page où vous pourrez demander un nettoyage de logiciels malveillants.

Malware removal request in Sucuri

Lorsque vous cliquez sur ce bouton, Sucuri vous propose un formulaire dans lequel vous pouvez entrer les détails de votre site web.

Malware removal request form in Sucuri

Si vous ne connaissez pas ces détails, demandez à votre hébergeur et il vous les fournira.

Une fois que vous aurez soumis ce formulaire, Sucuri s’occupera du reste. Un personnel de sécurité sera affecté à votre site et nettoiera tous les fichiers et bases de données infectés. Il s’assurera que votre site est totalement exempt de logiciels malveillants et de portes dérobées.

Si vous avez acheté le plan Business, Sucuri remettra votre site en état en 6 heures. Pour les autres plans, cela dépend fortement de la complexité de l’infection de votre site et du volume de requêtes en attente.

Étape 3 : Supprimer les listes noires de sites Web sur les moteurs de recherche

Une fois votre site web nettoyé, vous devez en informer les moteurs de recherche afin qu’ils puissent l’examiner et le retirer des listes noires.

Cela supprimera également les avertissements sur votre site, de sorte que les visiteurs ne seront plus alarmés par le fait que votre site est infecté.

google-blacklist

Sucuri vous permet de démarrer le processus de liste blanche à partir de son tableau de bord. Vous pouvez demander des avis sur tous les moteurs de recherche.

Sucuri request whitelist

Cela dit, nous allons également vous montrer comment demander la suppression d’une liste noire sur Google. Pour ce faire, vous devez disposer d’un compte Google Search Console.

Si ce n’est pas le cas, vous pouvez vous inscrire dès maintenant sur Google Search Central. Pour plus d’informations, consultez notre guide sur la soumission de votre site web aux moteurs de recherche.

Une fois connecté à votre tableau de bord Google Search Console, accédez à l’onglet Problèmes de sécurité dans le menu de gauche.

Google blacklist request review gsc

Vous verrez apparaître un bouton “Demander un examen”. Lorsque vous cliquez dessus, Google vous demande des informations sur votre site et sur les mesures que vous avez prises pour le nettoyer.

Vous pouvez leur dire que vous avez utilisé Sucuri pour analyser et nettoyer votre site. Vous pouvez lancer une nouvelle analyse et prendre une capture d’écran du tableau de bord de Sucuri pour leur montrer que votre site est propre.

Nous vous conseillons de donner à Google le plus de détails possible pour lui montrer que vous avez sécurisé votre site et pris des mesures pour éviter les piratages futurs.

Si Google estime que vos mesures de sécurité ne sont pas suffisantes, il peut devenir encore plus difficile de faire figurer votre site sur la liste blanche.

Une fois que vous avez soumis votre demande, il peut s’écouler quelques jours avant qu’ils ne vérifient que votre site est propre et qu’ils ne vous fassent remonter dans les pages de résultats de recherche.

Vous avez maintenant appris à analyser et à nettoyer votre site et à supprimer les listes noires. Ensuite, il y a quelques mesures à prendre immédiatement après un piratage.

Les étapes à suivre après avoir récupéré un piratage WordPress

Juste après un piratage, vous devez vous assurer que les données volées par le pirate, telles que votre nom d’utilisateur et votre mot de passe WordPress, ne peuvent pas être réutilisées. Vous trouverez ci-dessous les mesures à prendre dès que vous aurez nettoyé votre site web WordPress :

  1. Réinitialisez vos informations d’identification : Changez votre nom d’utilisateur et votre mot de passe pour votre wp-admin et assurez-vous d’utiliser des mots de passe forts et difficiles à craquer. Assurez-vous également que tous les comptes utilisateurs ayant accès à votre site réinitialisent leurs informations d’identification. Vous pouvez forcer une réinitialisation à l’aide d’un plugin comme Expire User Passwords.
  2. Modifiez vos sels et vos clés secrètes : Ces clés sont des codes cryptés qui sécurisent vos informations de connexion. Si des pirates ont volé ces informations, ils peuvent à nouveau s’introduire sur votre site web. Vous pouvez utiliser le plugin Salt Shaker pour obtenir un nouveau jeu de clés dans votre fichier wp-config. Vous pouvez également suivre ce guide de WPBeginner pour changer vos clés de sécurité.
  3. Mettez votre site à jour : Lorsque vous voyez des mises à jour disponibles pour votre installation WordPress, vos plugins et vos thèmes, exécutez la mise à jour dès que possible. S’il s’agit d’une mise à jour de sécurité, vous devez la lancer immédiatement car la dernière version contient un correctif qui corrige les failles de sécurité.
  4. Protégez les formulaires de votre site web WordPress : De nombreux pirates tentent d’injecter des logiciels malveillants par le biais de formulaires non sécurisés. Nous recommandons d’utiliser WPForms car il est doté d’une protection anti-spam intégrée. Il détecte et bloque les entrées frauduleuses et malveillantes.

Nous allons maintenant vous montrer comment faire en sorte que votre site soit protégé à l’avenir.

Prévenir les piratages de WordPress sur votre site

On dit que la foudre ne frappe jamais deux fois au même endroit. Malheureusement, il n’en va pas de même pour votre site web.

Nous avons déjà mentionné que lorsque des pirates s’introduisent sur votre site, ils créent des portes dérobées cachées afin de pouvoir y revenir facilement. Il est donc important de prendre des mesures de sécurité pour éviter que cela ne se reproduise.

Si votre site est piraté à plusieurs reprises, votre hébergeur peut suspendre votre compte de manière permanente, car il représente une menace pour ses serveurs et ses autres clients.

De plus, les moteurs de recherche comme Google penseront que vous ne prenez pas la sécurité au sérieux et ils ne permettront pas à votre site de remonter aussi facilement sur leur page de résultats.

Lorsque vous souscrivez à la solution de sécurité de Sucuri, celle-ci protège votre site de manière globale à l’aide d’un scanner et d’un pare-feu, ainsi que d’autres mesures de sécurité importantes.

sucuri dashboard

En outre, il existe quelques mesures que vous pouvez prendre vous-même. Il s’agit notamment de

  • Choisir un hébergeur fiable : si votre hébergeur ne sécurise pas ses serveurs, les pirates peuvent s’y introduire. Il est préférable d’utiliser un hébergeur fiable qui prend la sécurité au sérieux. Nous vous recommandons d’utiliser un hébergeur sécurisé comme Bluehost.
  • Utilisez un plugin de sécurité WordPress : Si Sucuri n’est pas dans votre budget, vous pouvez compter sur d’autres plugins de sécurité. Ces plugins analysent et surveillent votre site WordPress. Ainsi, vous serez immédiatement alerté de toute activité suspecte. Nos meilleurs choix incluent :
    1. iThemes Security
    2. BulletProof Security
    3. SiteLock
    4. MalCare
  • Activez un pare-feu : Cela empêchera les pirates et tout utilisateur mal intentionné d’accéder à votre site, de sorte qu’ils ne pourront même pas essayer de s’y introduire. La plupart des plugins de sécurité sont dotés d’un pare-feu intégré, ce qui vous évite d’en installer un autre.
  • Ajoutez l’authentification à 2 facteurs : Ajoutez une couche supplémentaire de protection en utilisant un code d’authentification à usage unique qui est envoyé à votre téléphone portable ou à votre courrier électronique. Cela signifie que l’utilisateur devra saisir son mot de passe et s’authentifier en temps réel, ce qui rendra l’accès extrêmement difficile pour les pirates. Vous pouvez activer cette fonction à l’aide de plugins de sécurité tels que Sucuri et MalCare.
  • Sauvegardez votre site web : Les sauvegardes sont votre filet de sécurité. En cas de problème, vous pouvez utiliser la copie de sauvegarde de WordPress pour restaurer votre site. Vous pouvez utiliser les plugins de sauvegarde UpdraftPlus ou BlogVault pour programmer des sauvegardes automatiques.
  • Installez un certificat SSL : Le certificat SSL garantit que toutes les données transférées depuis et vers votre site web sont cryptées. Ainsi, même si des pirates informatiques les volent pendant qu’elles sont en transit, ils ne pourront pas les lire puisqu’elles sont codées. Vous pouvez obtenir un certificat SSL auprès de votre hébergeur ou en utilisant un plugin comme Really Simple SSL.

Grâce à ces mesures, votre site web disposera d’un système de sécurité robuste qui rendra la tâche des pirates incroyablement difficile. Si vous souhaitez ne négliger aucune piste, lisez notre Guide complet de sécurité WordPress (pour les débutants).

Nous espérons que ce guide vous a été utile et si vous cherchez d’autres moyens de sécuriser votre site web, voici quelques ressources utiles :

Un serveur dédié garantit que votre site ne sera jamais affecté par le site piraté de quelqu’un d’autre sur un serveur partagé. En outre, vous pouvez effectuer un audit de sécurité et créer des mots de passe sécurisés pour mieux protéger votre site.

Commentaires   laisser une réponse

Ajouter un commentaire

Nous sommes heureux que vous ayez choisi de laisser un commentaire. N'oubliez pas que tous les commentaires sont modérés conformément à notre privacy policy, et que tous les liens sont en nofollow. N'utilisez PAS de mots-clés dans le champ du nom. Engageons une conversation personnelle et constructive.

WordPress Launch Checklist

L'ultime liste de contrôle pour le lancement de WordPress

Nous avons rassemblé tous les éléments essentiels de la liste de contrôle pour le lancement de votre prochain site Web WordPress dans un ebook pratique.
Oui, envoyez-moi le gratuit !