Réparation et nettoyage de sites internet hackés ou abimés

 Petit dictionnaire des termes techniques.

Nos opérations de nettoyage de sites hackés, nous ont démontré que les causes étaient majoritairement (volontairement ou non) liées à l’utilisation de thèmes et plugins “indésirables”. Le choix du type d’accompagnement est aussi déterminant puisque certaines agences fonctionnent sans compétences de programmation ou sans laisser voix au chapitre à ceux qui les détiennent.

Une fois infecté, ce n’est généralement pas détecté immédiatement. Car la plupart des hacks se contentent d’être subtil plutôt que de “casser” votre site. Certains hacks ciblent des combinaisons ordinateur/système d’exploitation/navigateur/moteur de recherche avant de se déclencher. Ainsi après une recherche google vous vous retrouver sur un autre contenu ou un autre site (puis quand vous réessayez vous vous retrouvez bien là où vous deviez être et vous vous dites que vous avez cliqué sur le mauvais lien). En tant que propriétaire du site un cookie est probablement déjà présent dans votre navigateur et l’accès direct est souvent proscrit pour le déclenchement de ce type de hack.

Certains des effets indésirables permettant de détecter le problème peuvent être une baisse de la fréquentation, une perte de positionnement sur les moteurs de recherche (ou en cas de détection automatique par Google, un joli petit mot signalant le site comme potentiellement hacké à côté d’un résultat).

Il ne nous est jamais arrivé de ne trouver sur un site piraté qu’une seule infection. Il semblerait que le dépôt de plusieurs infections de manière automatisée soit la norme afin de pérenniser le hack.

On nous contacte généralement car le site est “hors-service”, soit que la personne aimerait “vraiment beaucoup” que son référencement soit amélioré.

Un nettoyage correct et rigoureux prend quelques jours. Surtout que nettoyer est un abus de langage pour décrire ce qui se passe. Pour une maison si vous nettoyez les traces au sol sans réparer la toiture, cela ne sert à rien.

Nous devons donc avoir des accès serveur (et la possibilité de les modifier pour la nouvelle version puisque l’accès base de donnés aura fuité). Ne remplacez pas ces accès vous-même sauf si vous voulez que votre site ne fonctionne plus (le code aussi doit se connecter à votre base).

Une petite idée de ce qui se passe pour un site utilisant un CMS :

  • Copie totale sur un ordinateur disposant de son propre serveur web ;
  • Nous analysons ;
  • Nous retirons tout ce qui ne devrait pa être là ;
  • Nous remplaçons tout ce qui doit l’être.
  • Nous créons des accréditations temporaires ;
  • Nous effectuons les mises à jour nécessaires ;
  • Nous sécurisons et protégeons le produit ;
  • Rétablir certains aspects visuels du site qui ont souffert lors des mises à jour (ou lors de remplacements de code) ;
  • Changement des accréditations ;
  • Nous republions ;
  • Selon le système re-changement des accréditations.
Plus d'informations

Le nombre de lignes de code se compte en milliers ainsi que le nombre de fichiers présents. Un des thèmes par défaut de WordPress nommé “Twenty Nineteen” possédait à un instant T : 19508 lignes de code.

Puisque du code malveillant peut être, par exemple, récupérer en ligne par une partie du code d’une manière qui semble totalement légitime sous couvert d’une mise à jour par exemple. Donc tout le code qui pose problème ne criera pas “je suis potentiellement malveillant”. Le code malveillant étant aussi écrit pour paraître inoffensif et se dissimuler.

La plus grande honnêteté de votre part est nécessaire afin d’éliminer rapidement tout moyen de ré-infection. Vous n’en êtes peut-être pas conscient, mais vous avez pu faciliter l’intrusion via un thème ou un plugin récupérer par quelqu’un ayant la gestion du site. Des exemples courants :

  • La société ayant créé votre site ;
  • Une société vous ayant vendu une “campagne marketing” ;
  • Une personne de votre équipe ayant ajouté un plugin qui affiche des boutons de partage social (qui peuvent poser d’autres problèmes comme le blocage des sorties TCP du site par l'hébergeur pour activité suspicieuse/dépassement de quota) ;
  • Vous ou votre équipe en ayant récupéré “gratuitement” un thème payant pour le site ;
  • Vous ou votre équipe en ayant récupéré un plugin “sympa” pour le site ;
  • Etc.

Dans le cas de site “hors ligne”, il peut même s’agir d’une intervention commanditée (ayant potentiellement impliqué des moyens tel que du phishing). Donc, les conséquences potentielles (présentes ou à venir) ne se limitent peut-être pas au site.