911 Hack RemovalseparatorPlugin Exploit

WordPress Redirect Hack – Correction des redirections de spam dans WordPress

Avatar photo
Author
Updated: February 7th, 2022
14 mins read

Votre site Web WordPress redirige-t-il les utilisateurs vers des sites inconnus et non sécurisés? Si oui, votre site Web pourrait être piraté . De telles attaques de redirection piratées WordPress sont assez courantes lorsque le malware redirige les visiteurs d’un site Web particulier vers des sites Web de spam, des pages de phishing ou des domaines contrôlés par des pirates.

Redirection par piratage de WordPress | Site WordPress redirigeant vers des sites de spam
Video: Redirection par piratage de WordPres (Note: The video is in English)

Récemment, nous avons remarqué que de nombreux sites Web WordPress étaient redirigés vers des domaines malveillants autorisant l’espace [.com] puis vers Adaranth [.com] afu.php, puis vers certains sites Web légitimes Les attaquants y parviennent par divers moyens et sources d’infection. Dans cet article, nous allons essayer de comprendre les causes, comprendre les conséquences et discuter du processus de suppression complet du piratage de redirection WordPress.

Qu’est-ce que le hack de redirection WordPress?

Un hack de redirection de malware WordPress est une forme d’attaque courante où les visiteurs du site Web infecté sont automatiquement redirigés vers des sites de phishing ou des sites Web malveillants.

WordPress Redirect Hack peut entraîner de graves ramifications, telles que:

  • Cela pourrait noircir votre image de marque et votre réputation en tant qu’entreprise.
  • WordPress Redirect Hack peut signifier une énorme perte de trafic, évidemment car vos visiteurs durement gagnés sont redirigés.
  • Un trafic moindre, à son tour, pourrait entraîner une baisse des ventes. Ainsi, affectant l’entreprise.
  • Les sites Web vers lesquels vos visiteurs sont redirigés pourraient présenter un produit illégal, ce qui pourrait entraîner votre site Web et vous dans le drame juridique.

Continuez à lire cet article jusqu’à la fin pour savoir comment supprimer les logiciels malveillants WordPress et sortir votre site Web de ce malheur.

Piratage de redirection WordPress

Redirection de spam WordPress: Comment votre site Web WordPress a-t-il été infecté?

Les attaquants utilisent plusieurs méthodes pour rediriger l’utilisateur. Certains d’entre eux sont:

  • Redirigez les utilisateurs via des codes malveillants qu’ils injectent dans le site Web
  • Les attaquants peuvent également exécuter des codes .php
  • Les attaquants peuvent s’ajouter à votre site Web en tant qu’administrateurs fantômes

En insérant des codes dans les fichiers .htaccess / wp-config.php

Dans de nombreux cas, nous avons vu que les attaquants masquaient des codes ou des fichiers malveillants dans le fichier .htaccess. Ces codes ressemblent parfois exactement aux codes légitimes. Cela rend plus difficile leur identification et leur suppression. Outre l’insertion de code dans les fichiers .htaccess, les codes peuvent également être déguisés dans d’autres fichiers principaux WordPress tels que wp-config .php, wp-vcd, etc. pour n’en nommer que quelques-uns.

L’image suivante montre les codes cachés, les experts en sécurité d’Astra trouvés dans l’un des sites de nos clients.

Codes malveillants dans .htaccess - WordPress Hacked Redirect
Codes malveillants dans .htaccess

En insérant JavaScript dans les fichiers du plugin WP

Nous avons également vu des cas de sites Web WordPress piratés par l’insertion de JS dans des vulnérabilités de plugin. Pour tenter de masquer les détails, ces JavaScripts sont souvent insérés dans un format de chaîne plutôt que dans un format de caractère pour paraître plus complexes. Voici un exemple de cela

JavaScript dans WordPress
Un exemple de JavaScript malveillant dans WordPress

Les utilisateurs étaient également confrontés à une situation lorsqu’ils utilisaient Internet Explorer. Sur Internet Explorer, le malware a amené les utilisateurs vers des sites Web qui ont forcé de fausses mises à jour de Java et de mises à jour Flash . Ce lien a conduit au téléchargement du fichier adobe_flash_player-31254524.exe. Plusieurs services de sécurité ont signalé qu’il s’agissait de logiciels malveillants.

Redirection piratée par WordPress
Exemple de fausses mises à jour flash dans Internet Explorer

En s’ajoutant en tant qu’administrateurs fantômes

Une fois qu’ils ont atterri sur votre site Web en dépassant une vulnérabilité, ils peuvent s’ajouter en tant qu’administrateur sur le site. Maintenant qu’ils traitent la pleine puissance du site, ils le redirigent vers d’autres domaines illégaux, obscènes ou non vérifiés.

Où est l’infection de redirection WordPress?

Les attaquants peuvent infecter le site Web en injectant du code dans l’un des fichiers principaux de WordPress. Recherchez ces codes malveillants dans ces fichiers:

Certains codes infectent même les fichiers .js, qui incluent le fichier jquery.js. Vous pouvez également trouver certains des codes malveillants dans le code source de la page.

Redirection de sites Web WordPress vers des sites malveillants – Analyse de WordPress pour la redirection des logiciels malveillants:

La première étape pour supprimer le malware est de le trouver. Les attaquants peuvent avoir utilisé plusieurs zones pour infecter, et les identifier représente la moitié du travail effectué pour les supprimer. Pour trouver le malware, vous pouvez soit utiliser un scanner de malware, soit simplement vous déplacer manuellement.

1. Utilisez un scanner de logiciels malveillants

Un scanner de malware, à coup sûr, est une méthode de détection de piratage plus optimisée et plus simple. En fait, le scanner de logiciels malveillants d’Astra permet également de supprimer les logiciels malveillants en un clic dans les résultats de l’analyse.

Mais, si vous ne voulez pas que le scanner vous aide, vous pouvez également emprunter la longue route de la détection manuelle des logiciels malveillants. Voilà comment vous pouvez le faire.

2. Vérifiez avec les outils de diagnostic

De plus, la page de diagnostic de Google est un outil qui peut vous aider à déterminer exactement quelle partie de votre site Web contient l’infection. Il indiquera également le nombre de fichiers / répertoires infectés.

3. Analyser les fichiers de base

Les fichiers principaux de WordPress déterminent l’apparence et les fonctionnalités du logiciel WordPress. L’identification des modifications dans les fichiers principaux vous aidera également à identifier l’attaque. Tout changement inconnu dans les fichiers peut indiquer la source de l’attaque.

La plupart du temps, le code est caché dans quelques fichiers de base de WordPress. Certains des domaines d’infection possibles sont index.php, index.html, fichiers de thème, etc.

L’une des instances les plus populaires d’une telle redirection piratée WordPress était un code infectieux injecté dans le fichier header.php sur le site Web. Le code ressemble à un tas de caractères dénués de sens. Pourtant, le code redirige les utilisateurs vers un site Web par défaut. Il définit également un cookie dans un délai d’un an. C’est effrayant, non?

WordPress piraté le code de logiciel malveillant de redirection
Exemple de code malveillant injecté dans le fichier header.php

Vous pouvez également rechercher des codes malveillants connus dans des mots clés tels que «eval» ou «base64_decode» . Bien que la plupart des codes malveillants contiennent cela, on ne peut certainement pas affirmer que chaque morceau de code avec ceux-ci est un code malveillant. Souvent, les utilisateurs suppriment les bons codes soupçonnant qu’il soit mauvais.

Dans une autre instance de redirection piratée du site WordPress , les attaquants ont injecté des codes JavaScript dans tous les fichiers avec une extension .js. La version antérieure du code infectait uniquement les fichiers jquery.js. Dans tous les cas, les codes faisaient partie de fichiers légitimes, ce qui rendait leur détection difficile.

4. Analysez WP Admin pour les administrateurs inconnus

Une autre façon connue que l’attaquant infecte est de s’ajouter en tant qu’administrateurs fantômes. Parcourez la liste des utilisateurs / administrateurs actuels sur votre site WordPress.

Si votre site Web a des règles d’adhésion, passer par tous les utilisateurs peut être un peu difficile. Cependant, un site Web avec quelques utilisateurs sera facile à analyser et à trouver des utilisateurs suspects. Une fois que vous avez repéré les utilisateurs fantômes, vous pouvez simplement les supprimer de la liste.

5. Analyser les fichiers des plugins

Vérifier la vulnérabilité du plugin

Les plugins tiers non sécurisés sont une cause fréquente d’infection. Vous pouvez afficher la liste complète des plugins dans votre panneau d’administration WP. Connectez-vous à votre wp-admin, cliquez sur ‘Plugins’ dans le panneau de gauche. Si vous repérez des plugins non identifiés ou suspects, supprimez-les.

Si vous ne parvenez pas à détecter immédiatement les plugins vulnérables, consultez le forum WordPress. Parfois, une vulnérabilité de plugin se trouve au bas d’une redirection piratée WordPress. Ainsi, la recherche sur le forum vous permettra généralement de savoir quels plugins sont exploités à l’époque.

Un exploit de plugin, cible généralement de gros morceaux de sites Web WordPress; vous pourriez ne pas être seul dans ce domaine. Sur les forums notamment, vous pourrez les autres victimes poser des questions ou exprimer leurs préoccupations.

Comparaison avec une nouvelle copie de fichier

Utilisez des outils en ligne (par exemple, diff checker) pour comparer vos fichiers de plugin avec ceux d’origine. Pour cela, vous pouvez télécharger les mêmes plugins depuis le référentiel de plugins WordPress. Et commencez à faire correspondre vos plugins installés avec ceux-ci.

Cependant, cela a également un ensemble de limitations. Étant donné que tous les plugins du référentiel ne sont pas mis à jour chaque fois qu’une nouvelle version est sortie, il est difficile de trouver la version la plus sécurisée.

6. Analyser les fichiers de thèmes

Il est toujours possible que vos fichiers de thème soient infectés. Ainsi, au lieu d’utiliser des services de sécurité gratuits pour analyser vos fichiers de thème, les analyser manuellement est une meilleure option.

Vous pouvez comparer vos fichiers d’installation aux fichiers d’origine à l’aide d’un outil de comparaison. Si vous trouvez des différences, allez-y et découvrez pourquoi elle est présente et comment elle est née.

Redirection piratée WordPress: Comment nettoyer votre site Web?

Maintenant que la numérisation est terminée. Passons au processus de suppression des logiciels malveillants. Vous avez probablement trouvé les modifications / logiciels malveillants. Sinon, lisez la suite.

Nettoyage manuel des logiciels malveillants

  • La première étape consiste à afficher les journaux de votre serveur. En parcourant les journaux de votre serveur, vous trouverez des indices concernant toute infection qui s’est introduite. Vous pourrez également enquêter sur des adresses IP inconnues qui auraient pu injecter les codes malveillants dans votre site Web. Vous pouvez également enquêter sur toute demande POST inconnue. Ces demandes envoient des données à votre site Web et peuvent avoir envoyé des logiciels malveillants sur votre site Web, ce qui a entraîné la redirection piratée du site WordPress . Et retirez-les rapidement.
  • En outre, il existe des commandes que vous pouvez exécuter sur votre site Web pour trouver où votre site Web a été compromis. Ensuite, vous pouvez les supprimer manuellement pour récupérer votre site Web. Quelques-unes de ces commandes que vous pouvez utiliser sont les commandes Grep et Find, qui fonctionnent via un client ssh.
  • Ensuite, accédez aux fichiers infectés et nettoyez-les du back-end. Modifiez les paramètres pour revenir aux paramètres d’origine. Une fois que vous avez fait cela, il est temps pour vous de combler la brèche. Vous pouvez le faire en mettant à jour vos plugins et thèmes. Puisque ce sont les sites d’infection les plus courants.

Obtenir le nettoyage des logiciels malveillants par un professionnel

  • Des professionnels comme Astra Web Security peuvent vous aider ici. Avec Malware Cleanup d’Astra, votre site Web sera récupéré de la cause et vous bénéficierez d’un abonnement à sa surveillance de sécurité continue et complète avec son pare-feu et son scanner de malwares automatisé.

Redirection piratée WordPress: après les étapes de nettoyage pour protéger votre site Web

Une fois que vous avez terminé le processus de nettoyage, vous devez mettre à jour vos clés secrètes et vos mots de passe. Vous devrez peut-être également réinstaller tous les plugins, gratuits et premium, pour assurer une nouvelle configuration.

Une bonne étape serait d’utiliser l’ outil Google Webmaster . Il s’agit d’un outil gratuit, et vous recevrez beaucoup d’informations sur votre site Web qui vous permettront de mieux le gérer. Vous pouvez également soumettre un logiciel malveillant inconnu pour évaluation. Une fois que vous avez nettoyé le site Web, soumettez-le pour examen avec toutes les étapes que vous avez suivies pour supprimer le logiciel malveillant. Vous pouvez le faire en suivant les étapes ci-dessous:

  • Connectez-vous à la Google Search Console
  • Vérifiez votre propriété du site Web
  • Accédez au site, puis cliquez sur l’option Tableau de bord
  • Sélectionnez le problème de sécurité

Dans la plupart des cas, l’infection se trouve dans le fichier header.php du site Web. Cela se produit uniquement lorsque l’attaquant a accès à l’interface administrateur dans WordPress et peut modifier les paramètres du fichier de thème à partir de là. Vous pouvez éviter de telles attaques en désactivant la capacité de l’utilisateur à modifier les fichiers PHP via wp-admin. Pour modifier les paramètres, ajoutez le code suivant au fichier wp-config.php:

define ('DISALLOW_FILE_EDIT', true);

Cela protégera votre site Web des redirections piratées WordPress, évitant ainsi toute interruption de la disponibilité du site Web.

Consultez également notre guide détaillé Comment réparer les pop-ups indésirables sur votre site WordPress

Redirection malveillante WordPress: conclusion

Une fois que vous avez terminé de nettoyer votre site Web, vous êtes prêt à le remettre en ligne. Avant de faire cela, testez le fonctionnement de votre site Web et assurez-vous qu’il n’y a pas d’anomalies. Vous devrez également renforcer la sécurité de votre site Web. Suivez ce guide de sécurité WordPress complet pour améliorer la sécurité de votre site Web.

Avec ces mesures de sécurité de base prises en charge, installez un service de sécurité de site Web haut de gamme comme Astra pour surveiller la sécurité de votre site Web en temps réel. Cela garantira que votre site Web est protégé et à l’abri de toute redirection piratée WordPress . Astra possède des fonctionnalités telles que l’analyse à distance des logiciels malveillants, la protection contre l’injection de fichiers, la protection contre les spams d’inscription, etc. en plus de son pare-feu et de VAPT (Vulnerability Assessment and Penetration Testing). Avec leurs outils les plus récents et les plus complets, vous pouvez respirer facilement.

Aussi, je vous recommande de suivre cette vidéo étape par étape pour sécuriser votre site WordPress.

[9+1] Steps to secure your WordPress Site in 2020

Article connexe – Comment le pare-feu Astra WordPress protège votre site Web

It is one small security loophole v/s your entire website or web application.

Get your web app audited with
Astra’s Continuous Pentest Solution.

Explore Features Schedule a meeting
character

Hand-picked articles for you

911 Hack Removal

What is WordPress Malvertising Hack & How to Fix It?

Avatar photo
Aakanchha Keshri
August 3rd, 2021
WordPress Security

Monthly WordPress Security Roundup [July 2021]

Avatar photo
Kanishk Tagade
July 28th, 2021
911 Hack Removal

Revisiting the TimThumb Hack

Headshot of Ananda Krishna, Co-Founder & CTO of Astra Security
Ananda Krishna
July 14th, 2021

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Psst! Hi there. We're Astra.

We make security simple and hassle-free for thousands of businesses worldwide.

Our security products include a vulnerability scanner and pentests to protect your site from the evil forces on the internet, even when you sleep.

Speak to Sales Get a Pentest
earth

Made with ❤️ in USA  India

Copyright © 2024 ASTRA IT, Inc. All Rights Reserved.

Privacy Policy Terms of Service Report a Vulnerability