- WordPress :6.7
- Statut : non résolu
- Ce sujet contient 29 réponses, 4 participants et a été mis à jour pour la dernière fois par
, le il y a 4 mois et 1 semaine.
-
Messages
-
Bonjour,
J’ai modifié votre dernière réponse car:
- elle contient du code dangereux qui pourrait être copié et qui n’a pas sa place sur le forum.
- vous donnez des renseignements confidentiels sur votre wp-config qui ne sont potentiellement utiles qu’à un pirate.
Si vous souhaitez absolument mettre du code de piratage sur le forum (ou si on vous le demande), mettez le en copie d’écran et pas en entier (quelques lignes suffisent). Comme vous l’aviez fait dans une de vos précédentes réponses.
Si vous mettez sur le forum des fichiers / dossiers sensibles, mettez-les en copie d’écran en ayant pris soin d’ôter tout ce qui est confidentiel (adresse et nom de la base de données, identifiant, mot de passe, clés de salage).
Enfin, vérifiez votre PC avec votre antivirus. Je ne suis pas sûr à 100% mais j’ai l’impression très nette que le simple fait de visiter votre site est susceptible d’infecter les PC.
Pour nettoyer votre wp-config, enlevez tout ce qui est avant
< ? php
/**
* La configuration de base de votre installation WordPress.et après
require_once(ABSPATH . ‘wp-settings.php’);
Merci @ferman, j’avais complètement oublié les consignes relatives aux informations sensibles sur ce fichier.
@Li-An. J’ai simplement réagi parce que, à la suite d’une tentative de visite du site, je me suis retrouvé avec un avertissement de sécurité de Firefox puis, plus bizarre, le même avertissement en essayant de retourner sur Sucuri. Là j’ai soupçonné mon PC et effectivement, en ayant fait tourner mon antivirus j’ai vu que le virus s’était collé dans plusieurs fichiers!
Attention :
Sur une de vos captures écran de Filezilla (07 mars 00:17), il était indiqué que vous ne pouviez pas renommer le dossier
themesen wp-content/themes-X → c’est normal : il ne faut pas renommer tout le dossier themes, mais seulement le sous-dossier de votre thème (vous reconnaîtrez son nom dans le dossier, même si vous ne l’avez pas indiqué en configuration)Donc, ça donne : wp-content/themes/nom-du-theme-X
Par contre, le dossier
pluginsest à renommer s’en s’occuper des sous-dossiers : wp-content/plugins-XJ’ajoute que dans la même capture d’écran, on voit que votre dossier wp-content contient des fichiers avec des noms en chiffres et lettres qu’il faut très probablement supprimer. (éventuellement, sauvegardez-les sur votre PC dans un dossier à part, mais ça me semble suspect)
Merci. J’ai renommé uniquement le sous-dossier thème. Par contre pour plugins: impossible à renommer. Et je n’arrive pas à supprimer non plus les fichiers avec des noms en chiffres et lettres.
Pourriez vous m’indiquer ou je peux télécharger une version neuve de wp? merci–
Merci. Pourriez m’indiquer la raison pour laquelle je n’arrive pas à supprimer mon installation pour renvoyer la neuve?
J’ai renommé uniquement le sous-dossier thème.
Vous voulez dire le sous-dossier du thème utilisé ? Pas l’ensemble du dossier themes, on est bien d’accord ?
Par contre pour plugins: impossible à renommer. Et je n’arrive pas à supprimer non plus les fichiers avec des noms en chiffres et lettres.
C’est très embêtant. Vous êtes passé par FTP (Filezilla) je crois ? Essayez directement chez votre hébergeur, avec le gestionnaire de fichiers Net2FTP : voir ce tuto spécial OVH
Si ça ne fonctionne pas avec FTP, c’est que vous ne seriez pas considéré comme propriétaire ? Contactez en effet votre hébergeur.
Bonjour,
Votre problème paraît compliqué et il y aurait besoin de renseignements complémentaires pour tenter de trouver une solution.
Avant toute chose, il faut sauvegarder votre site sur votre PC. Pour cela créez deux dossiers sauvegarde-ftp et sauvegarde-bdd (ou tout autre nom).
Dans le premier copiez par ftp le dossier wp-content qui se trouve chez l’hébergeur.
Allez dans phpmyadmin et exportez votre base de données (choisissez l’option « rapide », pas « personnalisée »). Cette exportation se trouvera dans le dossier « téléchargements » de votre PC. Transférez-la dans le dossier sauvegarde-bdd.
Dans notepad++, ouvrez un nouveau fichier puis faites une « recherche dans les sous dossiers » dans le dossier wp-content (voir pj1). Le terme à rechercher est « Leafmail3 ». C’est le nom du script de piratage. En bas de la page, vous verrez une liste de tous les fichiers contenant ce script. Pouvez-vous nous communiquer cette liste en copie d’écran? Il n’y a rien de confidentiel (autrement nous l’enlèverions).
Toujours dans notepad++, ouvrez la sauvegarde de la BDD et faites une recherche du terme « Leafmail3 ». S’il n’y a pas de résultat c’est bien; autrement dites-nous dans quelle(s) table(s) se trouve le script.
Par contre pour plugins: impossible à renommer.
Vous pouvez désactiver vos plugins depuis la base de données. Dans phpmyadmin ouvrez votre base de données, puis la table wp-options et cherchez l’option « active_plugins » qui se trouve sans doute sur le deuxième ou troisième écran.(Voir pj2). Double-cliquez sur la case option value correspondante (pj2) puis, de manière classique, sélectionnez tout le texte , copiez-le quelque part sur votre PC puis supprimez-le dans la base de données. Cela désactive toutes les extensions.
Dans le premier [dossier de sauvegarde] copiez par ftp le dossier wp-content qui se trouve chez l’hébergeur.
Je complète, pour les conseils de sauvegarde : copiez dans le même dossier le fichier wp-config.php situé à la racine de l’installation (là où il y a les 3 dossiers wp-admin / wp-content / wp-includes). Et de même pour le fichier .htaccess
je complète, pour les conseils de sauvegarde : copiez dans le même dossier le fichier wp-config.php situé à la racine de l’installation
Absolument; c’est un oubli de ma part. Merci @flobogo.
Bonjour. Merci pour vos contributions. Je mets en pause par manque de temps malheureusement. Je garde vos liens utiles précieusement pour la semaine prochaine ou après. Éventuellement essayer de récupérer une sauvegarde ancienne via OVH ou refaire un site …
A vous de voir ce qui est le mieux pour votre association. Mais n’oubliez pas que pour l’instant, toute personne qui visite votre site risque de récupérer une « cochonnerie » sur son propre PC : pas très cool.
OVH propose au maximum des sauvegardes de 3 semaines, je ne crois pas qu’on puisse plus. Mais le virus peut très bien avoir été injecté il y a 3 mois, et être actif depuis quelques semaines seulement. En remettant une sauvegarde, vous risquez de retrouver le même problème dans quelques mois.
La solution la plus sécurisante, c’est de suivre la totalité du tuto de nettoyage. Avec un peu de temps et de patience, ça peut vous permettre de retrouver votre site, et de repartir dessus après nettoyage et mises à jour.
- Vous devez être connecté pour répondre à ce sujet.