Sécuriser son site. Nettoyer un site piraté (WordPress ou autre…).
Articles Blog

Sécuriser son site. Nettoyer un site piraté (WordPress ou autre…).

August 11, 2019


Se faire pirater son site et le voir remplacé par un écran de ce genre Voici le cauchemar de n’importe quelle
entreprise sérieuse présente sur le Web. La sécurité sur internet n’est pas un
jeu et se faire pirater son site n’est pas un mythe Dans cette vidéo je vais vous donner les quatre points de sécurité auxquels faire
attention pour éviter les problèmes en faisant attention à ça vous réduirez
considérablement les risques de vous faire infecter. Je vous dévoilerai
également, en détail, comment je m’y prends pour nettoyer un site WordPress à coup
sûr sans risque de réinfection ultérieure. D’ailleurs ma technique
peut également être appliquée à n’importe quel site basé sur un CMS.
Joomla, Drupal, Prestashop, etc. En tout ca, si vous êtes conscient de cette
problématique “la sécurité web” c’est déjà une très
bonne chose Vous savez que votre site peut contenir des failles de sécurité et
qu’il peut être piraté à tout moment si vous le négligez trop longtemps. Voilà. Vous
êtes au courant. C’est bien ! Avec un site non sécurisé, vous risquez de perdre des
données et de laisser des données aux mains des hackers. Vous risquez de mettre
en danger vos utilisateurs si votre site se met à partager un
fichier malveillant, un virus, ou s’il se met à voler des données à caractère
personnel comme des mots de passe ou des numéros de carte bancaire, par exemple.
Vous risquez aussi de donner une mauvaise image de marque à votre
entreprise auprès de clients potentiels si votre site est marqué comme “dangereux”.
Vous pouvez aussi perdre tout votre référencement Google
si votre site est mis dans sa blacklist, en liste noire.
D’ailleurs si vous êtes tombé sur cette vidéo depuis Google
peut-être que vous même vous venez d’apprendre que votre site a été piraté
et vous cherchez une solution. Peut-être que vous avez vu cet
avertissement écrit en rouge en cherchant à visiter votre site
ou peut être que votre hébergeur web ou une autre organisation vous a notifié
qu’un malware avait été détecté. Dans ce cas, pas d’inquiétude,
la suite va vous aider. Bon pour commencer, il faut éviter de paniquer et
ne pas prendre de décision sur un coup de tête.
Je n’ai jamais vu un logiciel malveillant
disparaître tout seul d’un site web parce que son propriétaire se mettait
à paniquer. Voilà. Ça ne sert à rien, calmez vous. Deuxièmement, ne cherchez pas
de responsable sur qui taper. Si votre site web a été piraté, le responsable,
c’est vous. Votre hébergeur web, lui, n’est pas responsable des éventuelles failles de sécurité que peu à voir votre site. D’ailleurs, à part les hébergeurs de luxe
comme EasyHoster, normalement, ils ne vous aideront pas à nettoyer les dégâts.
C’est le job d’un développeur expert en sécurité web de faire ça. Aussi, si vous
avez un webmaster qui vous aide avec votre site et que vous vous êtes fait
pirater n’allez pas vous énerver dessus. Souvent les webmaster freelance ne
proposent pas de forfait de sécurité web parce que la majorité des clients n’en
veulent pas. Ben oui, si on peut faire des économies
autant s’en passer. Pour payer moins cher… Dans notre agence sur 30 clients en
moyenne un seul prend notre forfait de sécurité web full option. Une seule
personne sur trente ! Ce n’est donc pas étonnant que votre
webmaster n’a pas voulu vous accabler avec ces frais supplémentaires. Si vous
êtes pressé et que vous désirez un nettoyage et une mise en liste blanche
auprès de Google sous 48 heures contactez-nous chez Kim Communication
pour voir si nous sommes disponibles. Après, c’est vrai que nous avons un
planning assez chargé, mais dans les situations urgentes
on peut faire des exceptions surtout si vous prenez un hébergement web chez nous,
là, ça devient gagnant-gagnant. On a l’habitude de gérer ce type de situation
chez Kim Communication. Vous trouverez une liste de témoignages clients et une
page où je parle de sécurité web en lien dans la description de cette vidéo. Bon, du coup, quels sont les points de sécurité auxquels faire attention pour
éviter les ennuis ? Ben, c’est assez simple. Premièrement, utiliser
un bon CMS et faire les mises à jour de sécurité. Voilà, sur WordPress, vous faites les mises à jour de sécurité du CMS, des
plugins, du thème. Vous vérifiez aussi que vous ne vous traînez pas des plugins qui
date de plusieurs années sur votre site. Ensuite, cherchez un hébergeur sécurisé
avec un bon firewall. Chez Kim Communication et EasyHoster, nous
avons deux couches de pare-feu très sécurisées. Et si vous êtes parano, ou que
votre site est le site d’une banque, vous pouvez aussi ajouter, en plus, un
firewall Sucuri. Ah, et euh, sur nos hébergements, on a des protections contre les attaques DDoS. C’est bien de le rappeler aussi. Pour
remplacer ça, certains ont utilisé des services comme CloudFlare ou Jetpack
Protect, par exemple, sur WordPress. Chez nous, grâce à Arbor, cela n’est pas
nécessaire. Mais bon, on sort un peu du sujet. Avant dernier point, vous pouvez
aussi effectuer du durcissement, hardening, en anglais. Avec wordpress vous
pouvez faire ça avec un plugin comme SecuPress, WordFence, ou WP Move Login,
par exemple. Enfin pour vos utilisateurs, si ce n’est pas encore fait, passez votre site en HTTPS et vérifiez que la couleur du cadenas est verte. Dans la barre
d’adresse de votre navigateur. Avec tout ça, votre site sera
impénétrable. Bon maintenant, je vous révèle comment
nettoyer un site WordPress, un site basé sur un autre CMS ou même un site qui est
basé sur aucun CMS du tout. La méthode classique qu’on utilisera sur un site sans
CMS, c’est de trouver le footprint ajouté par le pirate. Ensuite il s’agira de faire un rechercher remplacer sur tous les fichiers du site
pour retirer le code source compromettant. Cela peut se faire via
des lignes de commande Linux ou localement avec un logiciel sur votre
ordinateur. Bien sûr, avant de supprimer du code
malicieux, il faut auditer son site trouver la faille de sécurité et corriger
cette faille. On peut aussi rapatrier un backup
antérieure à la date du piratage si le site est assez statique. Ne pas oublier
également de changer ses mots de passe FTP, MySQL, cPanel, etc.
Malheureusement cette technique un peu fastidieuse échoue dans de très nombreux
cas parce que tout simplement une fois que le pirate a réussi à accéder à votre
serveur web il en profite pour placer une backdoor.
Backdoor, ça signifie en anglais, une porte ouverte, une porte dérobée. Donc dès que vous aller nettoyer votre site le pirate va automatiquement venir
replacer son code malicieux. Ça peut rapidement rendre dingue. Donc je
vous présente maintenant ma solution facile et infaillible avec WordPress, par
exemple. Il s’agit de réinstaller très simplement une copie neuve de WordPress, réinstaller tous les plugins qui étaient présents sur votre site Avec une copie NEUVE. N’allez pas me copier-coller vos anciens fichiers sources
bourrés de codes malicieux. Bande de malins. Enfin vous réinstallez votre thème
WordPress. Tout neuf aussi bien sûr. Tout cela doit avoir un code à jour et
récent N’allez pas me réinstaller de très vieux
plugins WordPress qui datent de trois ou quatre ans. C’est sûrement eux la cause du
piratage Bref, vous faites un tout nouveau site
WordPress et ensuite vous réimportez vos images depuis le dossier uploads et vous
réimportez vos bases de données MySQL. Attention à bien modifier le mot de
passe de votre utilisateur administrateur WordPress. Sinon ça sert
à rien. Et voilà, en faisant tous ça, votre site est nettoyé et mis à jour sans possibilité pour le pirate de vous attaquer à nouveau. En plus, votre site
est identique au précédent : même thème, même données, mêmes fonctionnalités. Il ne
reste plus qu’à demander à Google de réévaluer votre site.
Ah oui, et ensuite contactez votre hébergeur web pour dire que vous avez
fait le nécessaire. Comme vous vous en doutez cette
technique peut s’appliquer à n’importe quel CMS. Mais bon, nous on est
spécialisée en WordPress. Donc si vous venez nous voir éventuellement on vous
proposera de transformer votre site Joomla, Drupal en WordPress si vous le
souhaitez ou votre Prestashop en WooCommerce. Chez nous, les clients qui ont un hébergement Haut de Gamme Kim
Communication reçoivent gratuitement le nettoyage de leur site en cas de
piratage et pour les clients EasyHoster on nettoie leur site un tarif très très
avantageux. Voilà pour la sécurité avec WordPress ou
autre. Si vous avez des questions vous laissez un commentaire en dessous de la
vidéo et pareil si vous avez des idées de vidéos vous me le dites en
commentaire. Ça pourra me donner envie de faire de nouvelles vidéos sur ce sujet
là et bien sûr aller voir notre site internet kim-communication.com et mon
blog personnel aussi mister-wp.com J’y parle de sécurité web aussi là bas.
Il ne me reste plus qu’à vous remercier pour votre écoute et comme dirait
l’autre : sortez couverts ! Ciao !

Leave a Reply

Your email address will not be published. Required fields are marked *