- WordPress :5.5
- Statut : non résolu
- Ce sujet contient 13 réponses, 4 participants et a été mis à jour pour la dernière fois par pasglop, le il y a 3 années et 11 mois.
-
AuteurMessages
-
23 novembre 2020 à 5 h 58 min #2360509
Bonjour,
Ma configuration WP actuelle
- Version de PHP/MySQL : 7.2
- Thème utilisé : Thème payant wpresidence
- Extensions en place :
- Nom de l’hébergeur : OVH
- Adresse du site : https://www.haubanconseil.com/
Problème(s) rencontré(s) :
Bonjour,
Depuis quelques jours (5 à 6), mon site WordPress n’est plus accessible, que ce soit en front ou en back-end, j’ai une page blanche avec un message d’erreur, alors qu’aucune modification n’a été effectuée sur le site, si ce n’est la mise à jour classique de contenu. Tout fonctionnait correctement auparavant.
Au mois de juillet j’ai fait les mises à jour d’usage des plugins et de wordpress (je le fais régulièrement). Tout fonctionnait correctement jusqu’à il y a ces 5 derniers jours.
J’ai 2 noms de domaines (gérés par OVH) qui pointent sur mon site (chez OVH également)
- haubanconseil.com (nom de domaine principal) me donne une erreur : une erreur critique est survenue sur votre site.
- la-marine-immobilier (redirection DNS) me donne une erreur 403 : Forbidden – You don’t have permission to access this resource.
Les tests effectués via FTP :
1- J’ai renommé les .htaccess présents à la racine générale “/” et sur “www”
ça n’a rien changé
2- J’ai activé le mode DEBUG dans wp-config
// Active le mode WP_DEBUG
define( 'WP_DEBUG', true );
// Active l’enregistrement dans le fichier /wp-content/debug.log
define( 'WP_DEBUG_LOG', true );
// Désactive l’affichage des erreurs et des avertissements
define( 'WP_DEBUG_DISPLAY', true);
@ini_set( 'display_errors', 0 );
// Utiliser les versions en développement des fichiers JS et CSS de base (seulement nécessaire si vous modifiez ces fichiers de base)
define( 'SCRIPT_DEBUG', true );Je n’ai obtenu aucune information supplémentaire, mes pages restent blanches.
3- Dans ovhconfig.php, jai mis en commentaire les lignes
#app.engine=phpcgi
#app.engine.version=7.24- J’ai essayé d’afficher une simple page html qui se trouve dans « www » et toujours mes plages blanches, enfin avec le même message d’erreur.
Ce dernier test me ferait presque penser que le problème vient de OVH non ?
J’ai jeté un coup d’œil sur le forum d’Ovh, mais visiblement, je suis la seule à avoir ce problème…
Quelqu’un pourrait-il svp me suggérer d’autres tests à faire pour essayer de trouver d’où vient le problème ?
Merci beaucoup et excellente journée
23 novembre 2020 à 6 h 19 min #2360510Ah, j’ai du nouveau…
Je peux afficher la page html, que ce soit à partir de haubanconseil.com ou de la-marine-immobilier.com
En revanche, toujours pas accès à mon site, il y a visiblement un problème avec le fichier wp-blog-header.php
Quelqu’un aurait-il svp une idée ?
Fichiers joints :
Vous devez être connecté pour voir les fichiers joints.23 novembre 2020 à 6 h 40 min #2360516J’ai refait un test : j’ai supprimé les commentaires sur 2 lignes de ovhconfig.php et j’ai de nouveau ma page blanche avec mon message d’erreur sur mes 2 url ;o((((
Fichiers joints :
Vous devez être connecté pour voir les fichiers joints.23 novembre 2020 à 6 h 56 min #2360518qu’avez vous comme messages dans le journal debug.log ?
23 novembre 2020 à 9 h 43 min #2360530Bonjour,
Via https://sitecheck.sucuri.net/results/https/www.haubanconseil.com, il semble que le site a été hacké.
Voir ici: https://wpfr.net/support/sujet/solutions-de-depannage-pour-un-site-hacke-pirate/
23 novembre 2020 à 11 h 00 min #2360539Bonjour et merci pour vos réponses
@mathieu42 : je ne vois pas mon fichier debug.log, il devrait être situé dans le dossier wp-content non ?
@pasglop : ça ne sent pas bon ;o((( et pourtant je fais en sorte d’être plus ou moins à jour avec mes versions…
Pensez-vous qu’Ovh soit un hébergeur sûr ou pas plus ni moins que n’importe quel autre hébergeur ?
- Cette réponse a été modifiée le il y a 4 années par karpediem63.
23 novembre 2020 à 11 h 15 min #2360543Via FTP, j’ai vu plusieurs fichiers qui datent du 19/11/2020 qui n’étaient pas là avant, notamment
- rindex.php sur « www »
- des .htaccess sur wp-admin, wp-content et wp-includes
Comment peut-on encore se faire hacker avec leur système (super chiant soit dit en passant) de double identification ?
Je vais supprimer tous ces fichiers et je reviens pour transmettre les résultats.
En attendant, j’ai fait une sauvegarde de la base de données…
Merci à tous
23 novembre 2020 à 11 h 22 min #2360546OVH n’est ni pire ni meilleur qu’un autre, il faut chercher la cause ailleurs et on sait que WordPress est souvent attaqué.
Une des raisons pour lesquelles ce qui est installé sur un WP doit être mis à jour régulièrement, à partir du moment où cela a été téléchargé sur un site de confiance.
23 novembre 2020 à 17 h 16 min #2360603Bonjour à tous,
Déjà un grand MERCI !!!
Je reviens pour faire un retour des fois que ça puisse aider à d’autres…
Donc oui, visiblement mon site a été hacké ;-(( Grace au retour de @pasglop, j’ai fait plus attention aux fichiers suspects et notamment, comme je l’avais précisé précédemment :
- un fichier rindex.php sur “www” qui n’a pas lieu d’être dans wordPress
- des .htaccess dans tous les répertoires à la racine de wp-admin, wp-content et wp-includes ; mais aussi dans d’autres répertoires
- des fichiers avec des codes bizarres
Ces nouveaux fichiers portaient tous la date du 19/11/2020
- j’ai cherché tous les fichier ajoutés de cette date et je les ai supprimés
- pour les fichiers modifiés à cette date, j’ai chargé le fichier de la dernière version de wordPress. Cette dernière opération n’est peut-être pas garantie, mais c’était un risque à prendre pour ne pas conserver un fichier hacké
- j’ai supprimé tous les répertoires /cache/ que j’ai trouvé dans /www/
- j’ai modifié mon code d’accès à OVH, à ma Base de Données, à mon FTP et à mon WordPress
- j’ai fait le ménage dans mes users comme conseillé dans le lien https://wpfr.net/support/sujet/solutions-de-depannage-pour-un-site-hacke-pirate/
Dès que j’ai eu accès à mon admin, je me suis empressée de mettre à jour mon wordPress et mes extensions dans les règles de l’art.
Avant de mettre [Résolu] j’aurai quelques petites questions…
1- Lorsque je demande une mise à jour de WordPress via mon admin, est-ce que si j’ai oublié un fichier qui pourrait éventuellement être un malware, sera-t-il supprimé ? Est-ce que la mise à jour ne fait qu’écraser les anciens fichiers avec les nouvelles versions ou est-ce que la mise à jour refait une installation propre ?
2- Après avoir fait ma « remise à niveau », j’ai repassé l’outil fourni par @pasglop (https://sitecheck.sucuri.net/results/https/www.la-marine-immobilier.com) en espérant bien entendu qu’il me dise « BRAVO, tu as bien travaillé !! », mais non, j’ai tout de même un diagnostic « Medium Security Risk » car la version de PHP utilisée est inférieure à 7.2.31 ET que je n’ai pas désactivé la visualisation du contenu des répertoires, avec j’imagine un « Options – Indexes » dans .htaccess.
J’ai ajouté dans mon .htaccess de /www/ avec une instruction magique (j’aime bien les instructions magiques ;o)))
<IfModule mod_autoindex.c>
Options -Indexes
</IfModule>Encore Merci
- Cette réponse a été modifiée le il y a 4 années par karpediem63.
- Cette réponse a été modifiée le il y a 4 années par karpediem63.
23 novembre 2020 à 17 h 48 min #2360617Pour la question 1, difficile de répondre que tout ira bien avec une mise à jour si oubli de suppression d’un fichier malsain (d’ailleurs, je pense que non).
Pour la 2, OVH propose la 7.3 (mais pas encore de 7.4 stable) pour un mutualisé.
Pour ton piratage, puisque tu as vu des dates de fichiers malsains, tu peux regarder dans les logs brut OVH à ces dates-là ce qui a pu se passer (logs web – FTP – error). Fastidieux, je te l’accorde.
23 novembre 2020 à 18 h 03 min #2360623Bonjour,
une mise à jour via l’administration classique ne supprimera pas les fichiers malveillants. Au pire, le pirate a pu installer une alerte ou une parade pour se réinstaller si la faille exploitée n’a pas été corrigée.
L’éradication n’est possible qu’en supprimant les dossiers wp-admin et wp-includes, avant de les remplacer par des dossiers “frais”.
Le site dispose-t-il d’une solution parefeu ? Ninja Firewall, Secupress, Wordfence par exemple ont bonne réputation.
23 novembre 2020 à 18 h 54 min #23606281- Ok pour le passage à la 7.3, je vais le faire… J’avais peur que wordPress n’aime pas ;o))
2- Mon instruction dans .htaccess ne doit pas être bonne ou je ne l’ai pas mise au bon endroit car je vois toute l’arborescence et les fichiers de mes répertoires ;o(((
3- Pour ce qui est de la consultation des logs…
J’ai demandé les logs FTP, là c’est bizarre car je n’ai que 2 entrées disponibles, postérieures au 19…
De plus, ça ne correspond même pas à mes propres actions qui ont été effectuées les 22 et 23, alors que là j’ai l’impression qu’il me propose l’activité du 20 et du 21… (copie d’écran jointe)
Concernant les autres fichiers de logs, les ERRORS et WEB (copies d’écran également jointes). Est-ce que ce sont les fichiers que j’ai surlignés que je dois consulter pour une activité du 19 ?
J’ai tout de même ouvert les fichiers correspondants, mais franchement, je n’y comprends rien ;o((( ça doit être mon côté blonde ;o))
Sur celui concernant les logs WEB, j’ai vu des mises à jours de données, mais ça, c’est normal, il y a bien eu des mises à jours d’articles, mais pour le reste, je ne sais même pas ce que je dois chercher…
Auriez-vous svp une suggestion pour orienter mes recherches ?
Fichiers joints :
Vous devez être connecté pour voir les fichiers joints.23 décembre 2020 à 10 h 19 min #2364024Bonjour à tous,
Après quelques jours, je reviens vers vous car mon problème n’est pas encore résolu…
Je me suis attelée au « désindexage » des url dans Google, c’est comme ça que j’ai remarqué que j’avais un robots.txt virtuel avec le code suivant :
User-agent: *
Allow: /
Sitemap: https://www.haubanconseil.com/sitemap.xml
Sitemap: https://www.haubanconseil.com/sitemap_1.xml
Sitemap: https://www.haubanconseil.com/sitemap_2.xml
Sitemap: https://www.haubanconseil.com/sitemap_3.xml
Sitemap: https://www.haubanconseil.com/sitemap_4.xml
Sitemap: https://www.haubanconseil.com/sitemap_5.xml
Sitemap: https://www.haubanconseil.com/sitemap_6.xmlLes fichiers sitemap* sont également virtuels et chacun contient une liste d’url venues de je ne sais où…
J’ai fait un sitemap.xml et un robots.txt que j’ai envoyé via FTP sur mon ovh, en pensant que ce serait ok…
Le problème est que lorsque je transfère mon fichier robots.txt via filezilla, j’ai le message « transfert réussit », je vois bien mon fichier dans l’arborescence, mais dès que j’actualise la liste de mes fichiers, sans avoir rien fait d’autre, mon robots.txt disparait de la liste et il n’existe vraiment plus physiquement, du coup c’est le robots.txt virtuel injecté par les hackeurs qui est pris en compte !
ça parait vraiment étrange, mais c’est vraiment ce qui se produit. Lorsque je renvoie mon robots.txt, je n’ai pas de message comme quoi il existe déjà, si je veux le remplacer etc. et encore une fois il disparaît…
Je n’ai pas rencontré ce problème avec les fichiers sitemap.xml que je peux transférer et même consulter via l’url https://www.haubanconseil.com/sitemap.xml et vérifier que c’est le bon.
Je dis « les fichiers » car en attendant de pouvoir résoudre mon problème, j’ai dupliqué mon fichier sitemap.xml pour en faire 6 copies, je les ai nommés comme dans le robots.txt virtuel des hackeurs, en espérant qu’ils soient pris en compte au lieu de ceux injectés par le hackeur.Maintenant, je cherche à trouver comment et où la création de ce fichier virtuel robots.txt a lieu (j’ai regardé dans le functions.php de wordpress, il y a le code de base) et pourquoi je ne peux pas ajouter le mien via FTP.
Comme j’ai fait un réinstallation de wordpress via FTP, je n’ai plus les dates des fichiers modifiés pour les étudier…Quelqu’un aurait svp une idée ??
MerciP.S : je devrais peut-être faire un autre sujet pour ce problème ?
23 décembre 2020 à 10 h 36 min #2364025Bonjour,
Il vous faut surtout résoudre le problème de piratage de votre site, puisqu’il est toujours considéré comme hacké par sitecheck.sucuri.net., donc suivre ces instructions (https://wpfr.net/support/sujet/solutions-de-depannage-pour-un-site-hacke-pirate/)
-
AuteurMessages
- Vous devez être connecté pour répondre à ce sujet.