- WordPress :6.6
- Statut : résolu
- Ce sujet contient 33 réponses, 5 participants et a été mis à jour pour la dernière fois par Flobogo, le il y a 2 semaines.
-
AuteurMessages
-
4 novembre 2024 à 16 h 01 min #2482135
Bonjour,
- Ma configuration WP actuelle :
– Version de WordPress : 6.6.2
– Version de PHP/MySQL : 8.1.30 / 10.6.20
– Thème utilisé : Twenty Seventeen Enfant par WP Marmite
– Extensions en place : Advanced Excerpt (4.4.1), Caldera Forms (1.9.7), Classic Editor (1.6.5), Disable Comments (2.4.6), Eduhixy (1.4.5), Elementor (3.25.4), Forum_wordpress_fr (4.2), Media Library Categories (2.0.1), Navonisafy (2.4.5), Popup Maker (1.20.2), Really Simple Security (9.1.0), UpdraftPlus – Backup/Restore (1.24.6), W3 Total Cache (2.7.7), Wordfence Security (7.11.7), WP File Manager (8.0), WP Statistics (14.10.3), Yoast SEO (23.7)
– Adresse du site : https://usam55.fr
– Nom de l’hébergeur : Apache
Problème(s) rencontré(s) :
Le site a été mis en ligne il y a 4 ans, je suis loin d’être spécialiste, je bidouille, je devine, je teste, …… avec + ou – de réussite.
Jusqu’à présent, je n’ai pas rencontré de problème majeur, les petits soucis ont trouvé une solution rapidement grâce au forum et à ceux qui l’animent. Merci à eux.
Dernièrement, mon antivirus (Avast version gratuite) m’a alerté d’un problème (redirection intenpestive à la connexion au site.
Je me suis alors inquiété de ma protection antivirus et j’ai constaté que l’extension choisie à la création du site (secupress free) n’était plus mise à jour depuis 7 mois.
En approfondissant mes recherches, j’ai découvert plusieurs extensions avec des noms curieux, jamais installées par mes soins et toutes actives. Je me suis empressé de les désactiver et de les supprimer.
J’ai donc modifié mon choix pour passer à Wordfence pour lequel je reçois bilans et alertes.
A la suite de cette installation, j’ai constaté que :
– un administrateur inconnu se connectait régulièrement
– l’extension Wordfence avait été désactivée (je l’ai immédiatement réactivée)Voilà la situation, elle dépasse largement mes compétences, j’imagine qu’il va me falloir intervenir dans les fichiers (htaccess par exemple) pour soigner le malade mais je pense avoir besoin de soutien (moral et pratique).
Je vais joindre à ce post, quelques mails reçus via l’application Wordfence qui sera probablement plus parlante que ma prose.
Merci à ceux qui auront la patience de me lire et, j’ose espérer, me guider.
4 novembre 2024 à 19 h 38 min #2482142Bonjour,
Bien sûr, on va vous aider à vérifier tout ça.
Curieusement, votre site semble en bonne forme d’après Sucuri, et les redirections ne sont pas visibles sur Google (pas de pages asiatiques qui apparaissent dans le listing des contenus du site).
Bref, vous avez constaté qu’il y a un admin inconnu (qui désactive Worfeence), c’est un signal très inquiétant : il faut se débarrasser de cet inconnu avant qu’il ne fasse + de dégâts.
Ça va se passer dans la base de données : suivez ce tuto de nettoyage de site piraté, en vous rendant directement à la 2ème étape.
Si vous avez toujours le statut admin’, supprimez simplement l’utilisateur – admin inconnu. Et changez tous vos mots de passe, comme conseillé.
Suivez la suite du tuto par précaution, ou selon ce que dit Wordfence. Si le pirate revient dans quelques jours (ce qui est probable car Worfence alerte sur ce qui est anormal, mais ne nettoie rien), il faudra suivre la totalité du tuto de nettoyage.
5 novembre 2024 à 8 h 18 min #2482153Bonjour,
Merci pour votre réponse rapide et votre soutien, je vais me pencher sur le problème dès que possible.
Petite précision, l’admin inconnu évoqué par Wordfence ne fait pas partie des comptes admin visibles, je pense qu’il a été « généré » à partir d’un compte admin piraté. Quand j’ai demandé à l’administrateur concerné de modifier son mot de passe et de choisir la double authentification c’est là que cet admin inconnu (admin2backup) a été signalé par Wordfence.
Je vous tiens informé de mes actions sitôt que j’ai trouvé un peu de temps.
5 novembre 2024 à 14 h 33 min #2482168Bonjour, ce que vous dites est un peu problématique. Si il y a beaucoup d’admins, vous multipliez les risques de piratages – qui peuvent venir d’un matériel utilisé vérolé. Je vous conseillerai de supprimer tous les admins sauf vous-mêmes avant de nettoyer le site. Et, malheureusement, si un des admins utilise un matériel vérolé, ça va être compliqué de protéger le site sur le long terme.
Il faut vraiment restreindre le nombre d’admin. L’idéal est d’avoir une personne chargée de la maintenance du site. Comme c’est une association, il vaut mieux que le site ne soit pas dépendant de cette seule personne et vous pouvez créer d’autres admins à la condition qu’ils ne se connectent que lorque la maintenance l’exige. Pour tout ce qui rédactionnel, vous pouvez imposer d’autres rôles moins dangereux.
6 novembre 2024 à 19 h 09 min #2482226Bonjour,
Le dernier message reçu de Wordfence a fini de me plomber le moral.
Wordfence a trouvé les nouveaux problèmes suivants sur « USAM » (7 problèmes existants ont également été trouvés à nouveau).
Alerte générée le mercredi 6 novembre 2024 à 17h00:18
Consultez le détail des résultats de ces analyses sur votre site à l’adresse : <span class= »gmail-notranslate »>https://usam55.fr/wp-admin/admin.php?page=WordfenceScan</span>
Problèmes de gravité élevée :
* Fichier inconnu dans le noyau WordPress : wp-includes/php-compat/custom-file-5-1730832553.php
7 problèmes existants ont été retrouvés et ne sont pas affichés.
REMARQUE : vous utilisez la version gratuite de Wordfence. Effectuez la mise à niveau dès aujourd’hui :
Je me sens totalement incompétent pour résoudre le problème, l’étape de recherche du fichier wp_users de ma base me pose déjà un problème qui me semble insurmontable.
Puis-je faire appel à un service extérieur pour résoudre mon problème, avez-vous un ou plusieurs prestataires à me conseiller ?
Merci
6 novembre 2024 à 20 h 34 min #2482227Effectivement, ce fichier ne fait pas partie des fichiers WordPress. Il faut donc intervenir rapidement, et suivre la totalité du tuto, qui n’est pas hyper compliqué.
Il n’y a vraiment pas besoin d’être spécialiste pour suivre ce tuto. Il est justement là pour aider chacun à s’en sortir. Et on peut vous apporter les informations ou explications complémentaires dont vous aurez besoin.
Savez-vous accéder à vos fichiers et dossiers d’installation par FTP (avec Filezilla, ou équivalent) ? (je suppose que oui, puisque vous avez su mettre en place un thème-enfant)
Savez-vous accéder à votre base de données avec PhpMyAdmin chez votre hébergeur ?PhpMyAdmin est un peu délicat à manier, mais avec une ou des sauvegardes préalables, vous n’avez rien à craindre.
Pour commencer, connectez-vous chez votre hébergeur (O2 Switch ?), vous accédez à cPanel puis au gestionnaire de base de données.
Regardez ce tuto adapté à votre hébergeur. Tout est expliqué pour la sauvegarde d’une base de données pour WordPress (et même pour la restaurer, si besoin)Regardez aussi cette partie de tuto consacrée à PhpMyAdmin, (les images peuvent être légèrement différente, selon la version PhpMyAdmin disponible chez votre hébergeur). Je vous conseille de suivre la procédure de sauvegarde personnalisée, en cochant bien la case « Add DROP TABLE / VIEW / PROCEDURE / FUNCTION / EVENT / TRIGGER « .
Faites une sauvegarde complète de votre base de données, et une sauvegarde table par table. Et revenez ensuite ici pour confirmer quand c’est fait.
Croyez-moi, par la suite, vous irez plus vite à faire une sauvegarde que moi à écrire tout ça 😉7 novembre 2024 à 8 h 19 min #2482238Bonjour,
Tout d’abord merci de votre soutien, vous m’avez donné envie d’essayer !
J’ai fait une sauvegarde chez mon hébergeur, O2swich effectivement
La sauvegarde de l’ensemble des tables est faite, je suis étonné de la petite taille du fichier (73 Mo), j’imagine que ça n’a rien à voir avec le contenu du site (je vous vois sourire !)
Pour la suite, je ne vois encore rien qui ressemble à une table wp_users
7 novembre 2024 à 8 h 30 min #2482239J’avance !
J’ai retrouvé mon intrus (voir PJ), j’ai supprimé la ligne concernée.
Fichiers joints :
Vous devez être connecté pour voir les fichiers joints.7 novembre 2024 à 8 h 41 min #2482243Je le vois encore mentionné dans plusieurs tables :
wp0k_usermeta
wp0k_wfconfig
wp0k_wflogins
En PJ, l’état actuel de ma table wp_users
Édit modération : PJ supprimée car elle contenait vos infos personnelles de connexion (hors mdp chiffré, mais quand même)
- Cette réponse a été modifiée le il y a 3 semaines et 5 jours par Flobogo. Raison: édit modération
7 novembre 2024 à 8 h 58 min #2482245Je suis un peu perdu entre les tables wp_* et wpOk_* qui apparaissent dans ma structure.
Je n’ai pas trouvé de table wp_usermeta mais une table wp0k (voir PJ) et là, je coince
Édit modération : idem ci-dessus
- Cette réponse a été modifiée le il y a 3 semaines et 5 jours par Flobogo. Raison: édit modération
7 novembre 2024 à 9 h 17 min #24822477 novembre 2024 à 9 h 48 min #2482250usermeta, suite et interrogations (voir PJ)
Fichiers joints :
Vous devez être connecté pour voir les fichiers joints.7 novembre 2024 à 9 h 52 min #2482253J’ai beau supprimer l’admin2backup de la table users, il réapparaît très rapidement !
7 novembre 2024 à 9 h 53 min #2482254Merci. Ce que vous donnez sera utile mais il serait bon également d’avoir une vue d’ensemble de la base de données montrant toutes les tables exactement comme sur la pièce jointe que j’avais jointe.
7 novembre 2024 à 12 h 00 min #2482261Par FTP, allez récupérer le fichier wp-config.php, ouvrez-le avec un logiciel texte type Notepad (ou Notepad++ sous Windows) et regardez le préfixe des tables utilisé
Pour cela, regardez la ligne define( ‘DB_NAME’, ‘wpquelquechose’ ) – ne nous mettez pas le contenu de ce fichier ici ou alors cachez tout ce qui est mot de passe.
- Ma configuration WP actuelle :
-
AuteurMessages
- Vous devez être connecté pour répondre à ce sujet.