Faut qu’on m’explique… (Créer un compte)

Accueil Forums WordPress Faut qu’on m’explique…
  • Statut : non résolu
11 sujets de 1 à 11 (sur un total de 11)
  • Auteur
    Messages
  • 15 octobre 2015 à 9 h 18 min #555252
    thierry26
    Participant
    Chevalier WordPress
    219 contributions

    Bonjour,

    Ma configuration WP actuelle :
    – Version de WordPress : 4.3.1
    – Version de PHP/MySQL : 5.4.39 / 5.5.37-log
    – Thème utilisé : Hautes Latitudes
    – Extensions en place : All In One WP Security (4.0.1), Anti-Malware and Brute-Force Security by ELI (4.15.41), BackWPup (3.2.1), Broken Link Checker (1.10.9), Captcha by BestWebSoft (4.1.5), Cat + Tag Filter (0.9.1), Contact Form by BestWebSoft (3.94), Forum_wordpress_fr (3.9), Google Analytics by Yoast (5.4.6), MailPoet Newsletters (2.6.19), Meta Slider (3.3.5), NextGEN Gallery by Photocrati (2.1.15), PHP Code Widget (2.3), Post Expirator (2.1.4), Responsive Lightbox (1.6.3), Simple Full Screen Background Image (1.2), Simple Share Buttons Adder (6.0.5), Sucuri Security – Auditing, Malware Scanner and Hardening (1.7.13), Wordfence Security (6.0.20), WP-Optimize (1.8.9.10), WP No Frames (3.0.4), Yoast SEO (2.3.5)
    – Adresse du site : http://www.hauteslatitudes.com
    – Nom de l’hébergeur : Infomaniak

    Problème(s) rencontré(s) : Bonjour, oui il faudrait qu’on m’explique… En lançant le plugin Anti-Malware and Brute-Force Security ce matin, je constate que 2 fichiers vérolés trainent encore dans mes dossiers (il n’y étaient pas il y a 4-5 jours lors du dernier scan). Mon site a été hacké à 2 reprises l’an dernier, mon hébergeur l’avait aussi constaté en relevant des envois de spam depuis l’adresse email. A ce jour j’ai :
    – réinstallé mon site
    – fait du ménage notamment avec l’aide de mon hébergeur
    – changer les mots de passe de mon FTP et BDD à 3 reprises
    – installés 3 plugins de sécurité (listés ci-dessus)
    -…

    Et ce matin donc 2 fichiers vérolés sur mon serveur, du coup je me demande : où est le problème ? Que faire de plus pour améliorer la sécurité ? Est-ce un problème de CHMOD sur certains dossiers/fichiers ? Merci pour votre aide car là, ça dépasse mes compétences…

    🙂

    15 octobre 2015 à 10 h 19 min #1024850
    thierry26
    Participant
    Chevalier WordPress
    219 contributions

    Voici la liste des fichiers vérolés, que je viens de supprimer sur mon FTP

    mini_49981087HL.jpg

    15 octobre 2015 à 13 h 31 min #1024851
    Li-An
    Participant
    Maître WordPress
    29097 contributions

    Il peut y avoir plusieurs raisons. Pour chacun des plugins installés, il faut vérifier que vous êtes bien à jour et que ceux qui n’ont eu de mise à jour depuis longtemps ne sont pas considérés comme à problème.
    Même chose pour le thème mais j’ai l’impression que c’est un thème fait sur mesure ? Il faut que vous vérifiez l’intégrité du thème.
    Et vous pouvez vous-même avoir une cochonnerie sur votre ordi.

    15 octobre 2015 à 17 h 54 min #1024854
    thierry26
    Participant
    Chevalier WordPress
    219 contributions

    Bonjour !
    Dans tout ça j’ai un plugin qui n’a pas été mis à jour depuis 2 ans et le thème enfant semble « intègre ». J’utilise exactement ce même thème sur un autre site qui n’a jamais eu de soucis…
    Je suis sur Mac et à priori après check rien d’anormal…

    15 octobre 2015 à 18 h 01 min #1024852
    Li-An
    Participant
    Maître WordPress
    29097 contributions

    Pas que le thème enfant. Il faut aussi scanner le thème parent. Vous avez des plugins qui font ça. Mais Securi ne trouve rien sur votre site.
    C’est lequel le « vieux » plugin ?

    15 octobre 2015 à 18 h 05 min #1024853
    thierry26
    Participant
    Chevalier WordPress
    219 contributions

    :D Le « vieux » plugin c’est Cat + Tag Filter (0.9.1).
    Je l’utilise aussi sur l’autre site….

    15 octobre 2015 à 20 h 48 min #1024855
    Li-An
    Participant
    Maître WordPress
    29097 contributions

    Meta Slider doit être mis à jour mais le site à l’air d’être clean si l’on en croit les outils de vérifications en ligne.

    Quelques conseils: http://www.iceranking.com/wordpress-seo/guide-complet-pour-nettoyer-et-securiser-wordpress-apres-un-hacking/

    19 octobre 2015 à 7 h 59 min #1024856
    thierry26
    Participant
    Chevalier WordPress
    219 contributions

    Oui il est clean, mais ma requête c’est comment analyser quelle(s) étai(en)t la faille qui a permis cela pour la corriger… 😉

    19 octobre 2015 à 8 h 17 min #1024857
    Li-An
    Participant
    Maître WordPress
    29097 contributions

    Ben si c’était aussi facile que ça, on vous aurait déjà donné la solution. La seule solution vraiment efficace… c’est de lire tout le code des plugins – voire de WP ! – et de voir s’il y a une faille. Impossible – à moins d’avoir beaucoup de temps, de compétences et d’être payé pour ça.

    Il faut donc prendre des mesures en amont: limiter les plugins, choisir ceux qui sont suivis, les mettre à jour le plus vite possible etc…

    19 octobre 2015 à 8 h 20 min #1024858
    thierry26
    Participant
    Chevalier WordPress
    219 contributions

    Merci ! Pour les plugins, j’ai paramétré la mise à jour automatique, je suppose que c’est une bonne chose ?… 😉

    19 octobre 2015 à 8 h 45 min #1024859
    Li-An
    Participant
    Maître WordPress
    29097 contributions

    Par défaut, il n’y a pas de mise à jour automatisée de plugins – sauf cas très exceptionnels. Vous utilisez peut-être un plugin qui le permet. J’avoue que j’aurais tendance à le conseiller même si on n’est pas à l’abri d’un bug pas corrigé dans une mise à jour qui fiche en l’air votre site et que vous ne savez pas pourquoi – mais en général ce genre de fonction a aussi un listing des plugins mis à jour.

  • Auteur
    Messages
11 sujets de 1 à 11 (sur un total de 11)
  • Vous devez être connecté pour répondre à ce sujet.