WordPress piraté : étapes efficaces pour récupérer votre site
Plus de 2 200 cyberattaques se produisent chaque jour. Cela signifie que plus de 800 000 personnes en sont victimes chaque année. Avec autant de cybermenaces sur le Web, l’une d’entre elles pourrait s’infiltrer dans votre site WordPress.
Cependant, si votre site WordPress a été piraté, vous n’avez pas besoin de paniquer. Dans cet article, nous allons parcourir 11 étapes pour restaurer votre site Web tout en empêchant de futurs piratages.
Commençons par clarifier si le problème a réellement été causé par un piratage de WordPress.
Signes d’un site WordPress piraté
Diagnostiquer si un site Web a été piraté n’est pas toujours facile. Voici quelques éléments que vous devez vérifier pour savoir si votre site Web a été piraté :
Vous ne pouvez pas vous connecter au panneau d’administration de WordPress.
Il y a du contenu et des designs que vous n’avez pas encore téléchargés.
- Le trafic chute brutalement.
- Le site redirige les utilisateurs et envoie des spams.
- Les avertissements de la liste de blocage du navigateur apparaissent lors de l’accès à votre site WordPress.
- Vos fichiers WordPress sont manquants.
- Les journaux du serveur détectent les activités inhabituelles et les accès depuis des emplacements inconnus.
- Un nouveau membre avec des privilèges d’administrateur a été ajouté sans votre consentement.
- Votre plugin de sécurité vous avertira des failles potentielles.
Comment les sites WordPress sont-ils piratés ?
Voici quelques-unes des cyberattaques les plus courantes qui peuvent exploiter les vulnérabilités de sécurité de WordPress :
- Porte dérobée ‒ logiciel malveillant qui contourne les procédures d’authentification pour accéder aux fichiers principaux de WordPress.
- L’attaque par force brute ‒ est une méthode de piratage qui utilise une stratégie d’essais et d’erreurs pour deviner vos identifiants de connexion.
- Cross-Site Scripting (XSS) – Une attaque par injection de code qui exécute des scripts malveillants dans le code d’un site Web.
- Attaque par injection SQL – Une méthode de piratage impliquant l’injection de code ciblant une requête SQL vulnérable.
- Redirections malveillantes ‒ Portes dérobées qui redirigent les visiteurs de votre site Web vers des sites Web douteux.
- Pharma SEO Spam – Une attaque de spam SEO qui infecte votre site Web avec un contenu malveillant. En conséquence, votre site Web se classera en tête des moteurs de recherche pour ces mots clés indésirables, ce qui nuira à la réputation de votre marque.
- Déni de service (DoS) – Une attaque conçue pour supprimer un site Web ou un réseau en surchargeant le système cible de requêtes.
Raisons pour lesquelles les sites WordPress sont piratés
Vous vous demandez peut-être pourquoi votre site Web a été piraté. Voici trois raisons pour lesquelles les pirates pourraient considérer votre site WordPress comme une cible de choix pour leurs cyberattaques.
identifiants de connexion non sécurisés
8% des sites WordPress infectés utilisent des mots de passe faibles tels que ‘12345’, ‘picture1’ ou ‘password’. Bien qu’un mot de passe fort ne garantisse pas la protection contre les pirates, des identifiants de connexion sécurisés peuvent ajouter une couche de sécurité supplémentaire à votre site Web et à vos informations personnelles.
logiciel obsolète
Les fichiers de base, les plugins et les thèmes WordPress obsolètes sont parmi les raisons les plus courantes pour lesquelles les sites sont piratés. Il est essentiel de maintenir votre installation WordPress à jour, car les mises à jour logicielles sont accompagnées de correctifs de sécurité qui corrigent les vulnérabilités des versions précédentes. Sans mise à jour, les pirates peuvent exploiter ces vulnérabilités pour accéder facilement à votre site WordPress.
mauvais code de site Web
Les plugins et thèmes WordPress de mauvaise qualité sont souvent mal codés, créant des trous dans votre site WordPress. Par conséquent, nous vous recommandons d’obtenir vos thèmes et plugins à partir du répertoire officiel WordPress ou d’un marché réputé qui propose des mises à jour et une assistance régulières.
11 solutions pour réparer votre site WordPress piraté
Après avoir confirmé que votre site WordPress a été piraté, il est temps de résoudre le problème. Dans la section suivante, nous expliquerons comment nettoyer un site WordPress piraté en 11 étapes faciles.
1. Mettez WordPress en mode maintenance
Si vous pouvez toujours accéder à votre panneau de contrôle WordPress, veuillez mettre votre site Web en mode maintenance immédiatement. Cela empêchera les visiteurs d’ouvrir votre site WordPress piraté, protégeant ainsi leurs informations personnelles et leurs appareils contre les attaques.
Vous pouvez également protéger la réputation de votre marque en empêchant les sites WordPress piratés d’être mis en ligne.
Les utilisateurs Hostinger peuvent activer le mode maintenance via leur tableau de bord hPanel. Il vous suffit de naviguer vers le tableau de bord sous la section WordPress de hPanel et de cliquer sur l’option Mode de maintenance.
2. Réinitialiser le mot de passe WordPress
Si un pirate accède à votre site Web, vos informations de connexion seront compromises. Par conséquent, la meilleure première étape pour réparer un site piraté consiste à réinitialiser les mots de passe de votre administrateur WordPress, de votre FTP, de votre base de données et de votre compte d’hébergement.
De nombreux outils de gestion de mots de passe comme NordPass offrent un générateur que vous pouvez utiliser pour créer des mots de passe forts et les garder en sécurité. Un mot de passe idéal doit comporter au moins 16 caractères, y compris des lettres, des chiffres et des symboles.
Nous vous recommandons également d’activer l’authentification à deux facteurs et de limiter les tentatives de connexion pour ajouter une couche de protection supplémentaire à vos identifiants de connexion WordPress.
3. Mettre à jour WordPress
C’est une bonne idée de mettre à jour votre ancienne installation WordPress avant de tenter de réparer un site piraté. Cela permet d’empêcher les pirates d’exploiter les vulnérabilités du site pour annuler vos correctifs, tout en protégeant votre site après un piratage.
conseils d’experts
Nous vous recommandons également de mettre à jour vos thèmes et plugins, car les cyberattaques infiltrent souvent WordPress via des fichiers de plugins et de thèmes obsolètes.
4. Désactiver les plugins et les thèmes
Désactiver vos plugins et thèmes, puis les réactiver un par un peut vous aider à réduire les installations infectées. Dès que vous trouvez de mauvaises installations, désactivez-les et supprimez-les.
C’est également le moment idéal pour supprimer les installations WordPress inutilisées de votre site Web. L’installation de thèmes et de plugins inutiles sur votre site Web peut créer un hotspot pour les logiciels malveillants, permettant à WordPress d’être piraté même lorsqu’il est inactif.
De plus, il est recommandé de désinstaller tous les plugins et thèmes obtenus en dehors du répertoire officiel des thèmes et plugins WordPress, car ces types de logiciels ont un risque plus élevé de transporter du code malveillant.
Voici les étapes pour désactiver un plugin :
1. Allez dans Extensions -> Extensions installées à partir de votre Tableau de bord d’administration WP.
2. Pour désactiver un plugin, cliquez sur l’option Désactiver en dessous.
3. Pour désactiver plusieurs plugins à la fois, cochez la case à côté des plugins choisis et sélectionnez Désactiver dans le menu déroulant. Cliquez sur Appliquer.