- WordPress :6.7
- Statut : non résolu
- Ce sujet contient 30 réponses, 3 participants et a été mis à jour pour la dernière fois par
, le il y a 2 mois et 2 semaines.
-
Messages
-
Bonjour,
Ma configuration WP actuelle (telle qu’elle était il y a 2 mois, car j’ai désactivé l’application ‘forum-wordpress-fr’)
- – Version de WordPress : 6.7.1
- – Version de PHP/MySQL : 8.3.9 / 8.0.39
- – Thème utilisé : Twenty Twenty-Five Child
- – Thème URI : https://wordpress.org/themes/twentytwentyfive/
- – Extensions en place : Akismet Anti-spam: Spam Protection (5.3.5), Categories to Tags Converter Importer (0.6.3), Forum_wordpress_fr (4.2), La Sentinelle antispam (3.1.0), Lightweight Social Icons (1.1), TablePress (3.0.1), Visualizer: Tables and Charts for WordPress (3.11.8)
- – Adresse du site : https://rehve.fr
- – Nom de l’hébergeur : Apache
Problème(s) rencontré(s) :
Suite à mon ticket « Hosting isolated » ouvert le 29/12/2024 je croyais mes problèmes résolus. Ce n’est pas le cas. Ces derniers temps je n’avais plus accès à mon tableau de bord et même lorsque je me connecte à la base de données sur OVH via phpMyAdmin je reçois parfois un message d’erreur comme quoi les capacités sont dépassées « #1226 – User ‘username’ has exceeded the ‘max questions’ resource (current value:40000) ».
Pour le moment j’ai désactivé mes plugins via FileZilla, pu accéder à mon tableau de bord, réenregistré les permaliens et le fonctionnement du site est plus ou moins rétabli mais avec toujours des problèmes d’accès aléatoires.
Malgré l’installation de NinjaFirewall et les changements de mots de passe (base de données et accès au site) suite aux échanges liéés à mon ticket de décembre dernier, il semble que le site continue à être attaqué. Je constate que j’ai plus de 1 500 commentaires « pirates » en attente. Je n’avais plus vérifié la page commentaires du tableau de bord car je croyais que NinjaFirewal empêchait ces commentaires d’arriver. Ce n’est pas le cas.
Existe-t-il un moyen du supprimer ces commentaires spams en masse, via phpMyAdmin ou via FTP File Zilla ?
J’ai ouvert un ticket chez OVH qui continue à me répondre : « L’erreur est liée à une consommation importante de ressources. »
En relisant la méthode « Solutions de dépannage pour un site hacké / piraté » postée par Flobogo le 15/07/2019 je n’ai pas encore appliqué les étapes 2 à 4 qui consistent à réinstaller le site.
Pensez-vous me confirmer qu’il me faut passer par là pour résoudre définitivement le problème ?
Je vous remercie de vos conseils sur mes 2 questions.
Bonjour,
Vous pouvez enlever les commentaires de différentes manières. Je pense que le plus difficile est de trier ce que vous voulez enlever ou conserver.
Merci Ferman, en fait j’ai trouvé comment les supprimer sur phpMyAdmin après tri. J’en ai déjà supprimé 1 000 mais pour les 500 restants je suis confronté au message « #1226 – User ‘username’ has exceeded the ‘max questions’ resource (current value:40000) » cité dans mon ticket. Je crois que le compteur est rechargé toutes les heures, donc je finirai le travail plus tard.
Je découvre aussi avec phpMyAdmin que j’ai toujours 3 tables ‘wp_huge_itgallery_…’. HugeItGallery était une application photos que j’ai utilisée un moment avant qu’elle ne soit plus compatible avec WP. J’utilise maintenant l’option photo de WP. J’avais supprimé l’application dans le tableau de bord mais les tables n’ont manifestement pas été supprimées de la base de données. Savez-vous si je peux supprimer ces 3 tables directement dans phpMyAdmin sans créer de domages colatéraux ?
Bonjour,
Malgré l’installation de NinjaFirewall et les changements de mots de passe (…), il semble que le site continue à être attaqué. Je constate que j’ai plus de 1 500 commentaires « pirates » en attente.
Ce sont des spams. Très invasifs, certes, mais ce n’est pas du piratage.
Avec l’extension La sentinelle anti-spam, il y a une option à cocher pour supprimer automatiquement les spams de + de 30 jours. (il me semble), ou bien les supprimer automatiquement directement : dans le 1er cas, cela vous permet de vérifier si les « spams » détectés ne sont pas des vrais commentaires (faux positifs : cela peut arriver quand il y a plus de 2 liens dans le message, par exemple) ; dans le 2ème cas, vous faites confiance à l’extension et vous ne vous souciez plus de rien.
Existe-t-il un moyen du supprimer ces commentaires spams en masse, via phpMyAdmin ou via FTP File Zilla ?
En urgence, le temps de réfléchir au traitement des 1500 commentaires en attente, je vous conseille de désactiver tous les commentaires ( = empêcher les humains et les bots de poster des commentaires). Ça se fait dans le menu réglages généraux (il me semble), juste une case à cocher.
Plus personne ne pourra commenter, les bots se lasseront et iront voir ailleurs.En relisant la méthode « Solutions de dépannage pour un site hacké / piraté » postée par Flobogo le 15/07/2019 je n’ai pas encore appliqué les étapes 2 à 4 qui consistent à réinstaller le site.
Pensez-vous me confirmer qu’il me faut passer par là pour résoudre définitivement le problème ?
Non, puisque ça n’a rien à voir. Le spam, ce n’est pas du piratage, comme je l’ai dit ci-dessus.
En résumé :
- les clés de salage (que vous aviez changées lors du sujet de discussion précédent) contribuent à la sécurité, mais ne suffisent pas
- Ninja Firewall bloque les attaques pirates des hackers : ceux qui veulent injecter du « méchant code » pour rediriger automatiquement vos visiteurs vers des sites pornos ou de jeux en ligne ou ceux qui utilisent votre site pour ajouter des pages cachées avec leurs propres pages (beaucoup de sites asiatiques font ça)
- une autre « porte d’entrée » des hackers, ce sont les inscriptions sur votre site, car avec du code, ils arrivent alors à transformer un simple compte « membre abonné » en compte administrateur, et là ils font ce qu’ils veulent.
C’est pour ça qu’il faut supprimer la possibilité de créer un compte si votre site ne le nécessite pas (exemple : un site privé, ou associatif, où seuls les membres peuvent aller voir certaines pages, par ex) - les commentaires, c’est autre chose : à une époque où WordPress était uniquement un moteur de blog, les commentaires étaient importants (un peu comme sur les réseaux sociaux maintenant). Aujourd’hui, cela peut permettre aux gens de vous poser des questions ou donner leur avis sur vos contenus, ou d’apporter des infos complémentaires, par ex. A vous de voir si c’est utile sur votre site.
Pour finir : le site n’est pas piraté. Réactivez vos extensions, elles n’ont rien à voir là-dedans.(sauf si cela fait « sauter » l’accès à l’admin’ du site, là il faudra revoir la situation).
Par contre, il semblerait qu’il manque un fichier (index.php) au thème twenty-twenty-five : si vous n’avez rien modifié dans le dossier du thème, renvoyez le thème twenty-twenty-five par FTP après l’avoir téléchargé et dézippé. Quand Filezilla vous posera la question, choisissez « remplacer » (pour remplacer les anciens fichiers par ceux du thème « neuf »).
C’est peut-être juste un bug (fichier mal passé) lors d’une mise à jour. Mais il faudra quand même vérifier dans les jours et semaines suivants que tout va bien.Et dernier point « sécurité » : par FTP, ouvrez votre fichier .htaccess situé à la racine du site, et rajoutez la ligne ci-dessous en dehors des lignes qui vont de « BEGIN WORDPRESS » à « END WORDPRESS »
Enregistrez et renvoyez votre fichier .htaccess par FTP.
Petit complément suite à votre réponse à Ferman :
les tables n’ont manifestement pas été supprimées de la base de données. Savez-vous si je peux supprimer ces 3 tables directement dans phpMyAdmin sans créer de domages colatéraux ?
Oui, vous pouvez les supprimer. Par précaution, vous pouvez les sauvegarder (via PhpMyAdmin) table par table par précaution, en cochant la case « DROP TABLE » si elle n’est pas cochée par défaut. Cela vous permettra de les réinstaller si besoin, mais a priori non.
Et par précaution, sauvegardez aussi toute votre base de données avant d’intervenir dessus (y compris pour supprimer les commentaires). On n’est pas à l’abri d’une mauvaise manip’.
Merci beaucoup Flobogo pour votre réponse détaillée. 2 petites questions supplémentaires.
OK, le site n’est pas piraté mais victime de spams. Est-ce celà qui explique le blocage de l’accès au site ou à certains posts de façon aléatoire, y compris à la base de données via phpMyAdmin ? Sait-on au bout de combien de temps en moyenne les spammeurs passent sur un autre site ? J’avais déjà non-coché la case Réglages/ Commentaires/ « Autoriser les commentaires sur les nouvelles publications » (cf. photo) ce qui n’empêche pas de retrouver des commentaires indésirables… Y-a-t-il quelques chose de plus à faire pour empêcher les commentaires ?
Sur le thème 2025 j’ai créé des modèles et des pages. Seront-ils conservés si je recharge 2025 ?
Merci d’avance.
Je réponds du + facile au + complexe :
J’avais déjà non-coché la case Réglages/ Commentaires/ « Autoriser les commentaires sur les nouvelles publications » (cf. photo) ce qui n’empêche pas de retrouver des commentaires indésirables… Y-a-t-il quelques chose de plus à faire pour empêcher les commentaires ?
Cochez la case « Fermez automatiquement les commentaires sur les publications anciennes » (et laissez le réglage sur 14 jours)
En effet, les spameurs commentent souvent des publications (drôle d’idée, mais c’est comme ça)
Vous pouvez aussi regardez dans la liste des commentaires en attente sur quelle page ou article ils sont postés, et si un ou deux publications sont particulièrement ciblées, vous pouvez désactiver les commentaires sur ces publications spécifiques (allez dans l’édition de la page ou article, il y a en bas une case à cocher pour désactiver les commentaires)Sait-on au bout de combien de temps en moyenne les spammeurs passent sur un autre site ?
Moi, je ne sais pas. J’imagine que ça dépend un peu de la taille du site …
OK, le site n’est pas piraté mais victime de spams. Est-ce celà qui explique le blocage de l’accès au site ou à certains posts de façon aléatoire, y compris à la base de données via phpMyAdmin ?
Euh … vous n’aviez pas parlé de ça dans votre 1er message à 18h. Disons que le blocage du site peut venir de l’hébergeur à cause des commentaires trop nombreux en même temps (« message d’erreur comme quoi les capacités sont dépassées « #1226 – User ‘username’ has exceeded the ‘max questions’ resource (current value:40000) ». »). Mais un blocage de l’accès à la base de données via PhpMyAdmin, c’est bizarre.
Comme dit à propos du fichier manquant dans le thème, il faudra quand même surveiller ce qui se passe quand vous y verrez plus clair / spams avec le nettoyage conseillé par Ferman et le blocage des commentaires.Sur le thème 2025 j’ai créé des modèles et des pages. Seront-ils conservés si je recharge 2025 ?
Je ne maîtrise pas les thèmes FSE. En principe, quelques soient les thèmes, toutes les options ou modifications sont reportées en base de données.
Mais là encore, par précaution : faites une sauvegarde par FTP de votre dossier actuel du thème dans wp-content/themes/twenty-twenty-five (à sauvegarder sur votre ordinateur). Puis remplacez-le par le thème dézippé.Merci Flobogo du temps que vous consacrez à m’aider à avancer pour résoudre mon problème. Aujourd’hui j’ai toujours de façon aléatoire des blocages d’accès au site. 2 possibilités : je reçois l’écran d’accueil pour l’installation de WP en 5mn (https://rehve.fr/wp-admin/install.php) ou le message ‘URL not found’. Mais parfois l’accès est OK.
J’avais déjà non-coché la case Réglages/ Commentaires/ « Autoriser les commentaires sur les nouvelles publications » (cf. photo) ce qui n’empêche pas de retrouver des commentaires indésirables… Y-a-t-il quelques chose de plus à faire pour empêcher les commentaires ?
OK, je viens d’appliquer la recommandation, y compris en fermant les commentaires sur un article qui était particulièrement visé.
Mais un blocage de l’accès à la base de données via PhpMyAdmin, c’est bizarre.
J’avais cité le point dans le message initial. Le blocage aléatoire de l’accès à la base de données via phpMyAdmin continue à se produire de façon aléatoire. Plus précisement j’accède à la BD mais certaines requêtes ne sont pas exécutées et me retourne le message « #1226 – User ‘username’ has exceeded the ‘max questions’ resource (current value:40000) ». Pour le moment j’ai refusé de clôturer le ticket que j’ai ouvert chez OVH car lorsque je regarde les statistiques de trafic chez OVH je vois quelques centaines de visites ou de requêtes, des ordres de grandeurs qui ne me semblent pas énormes. Même le nomre de commentaires-spam (1 500 sur plusieurs mois) ne me semble pas excessif mais j’ignore comment OVH mesure les ressources consommées par rapport aux ressources allouées. Je vais ajouter le point concernant mes requêtes non exécutées pour dépassement de ‘max questions’.
Comme dit à propos du fichier manquant dans le thème, il faudra quand même surveiller ce qui se passe quand vous y verrez plus clair / spams avec le nettoyage conseillé par Ferman et le blocage des commentaires.
Je vais me lancer dans le rechargement de 2025 via FileZilla aujourd’hui ou demain et je surveillerai ce que celà donne.
Les choses s’aggravent…
J’ai réussi à supprimer ce matin tous les commentaires spam mais à 10h16 un compte « administrateur » a été créé, un post publié, le titre du site modifié et ‘l’adresse email d’administration’ dans Réglages/ Général modifiée. Je n’arrive pas pour le moment à rétablir ma propres adresse puisque l’email automatique de confirmation semble adressé à l’adresse intruse. Celà ressemble à un piratage ? J’ai supprimé le compte intrus.
En attendant de décider ce qu’il me faut envisager je vais mettre le site à l’arrêt.
Petite mise à jour :
- J’ai pu supprimer avec phpMyAdmin l’email de l’intrus qui s’était créé un compte administrateur et avait publié un post non sollicité, et l’ai remplacé par mon email. J’avais supprimé son compte mais son email subsistait comme email d’administration dans Réglages.
- J’ai pu supprimer avec phpMyAdmin les 3 tables Huge-IT-Gallery de la vieille application que je n’utilisais plus.
- J’attends le retour d’OVH pour savoir comment sont calculées les ‘ressources comsommées’ vs. les ‘ressources allouées’ puisque celà semble toujours bloquer à ce niveau alors que mes statitiques de trafic sont modestes, quelques centaines.
- En attendant la réponse d’OVH, et peut-être la vôtre sur comment un compte admin peut être créé par un intrus, j’ai mis le site « En maintenance » avec le plug-in ‘WP Maintenance ».
un compte « administrateur » a été créé, un post publié, le titre du site modifié et ‘l’adresse email d’administration’ dans Réglages/ Général modifiée
comment un compte admin peut être créé par un intrus,
→ le site est piraté !!
Il est impératif de suivre la totalité du tuto de nettoyage de site infecté. Sans vous occuper des questions sur les « ressources » et autres, je suis sûre à 99% que ces problèmes seront résolus quand vous sortirez du piratage.
Oui, hélas, le site est piraté. Je vais appliquer le tuto ce week-end et reviendrai vous donner le résultat des courses.
J’espère y arriver mais cette procédure m’a l’air très bien écrite, celà devrait marcher :).
cette procédure m’a l’air très bien écrite
Merci 😊
Et en effet, si vous savez utiliser le FTP et PhpMyAdmin, il n’y a rien de compliqué. Et n’hésitez pas si besoin à demander des infos complémentaires.
C’est éventuellement un peu long, prévoyez une demi-journée tranquille.N.B : vous avez un site principal et un sous-site. Le sous-site ne semble pas infecté, mais vérifiez quand même le contenu des fichiers sensibles, et re-téléchargez une version saine des extensions et du thème quand vous l’aurez fait sur le site principal.
Bonjour Flobogo,
Je me suis lancé cet après-midi dans la réinstallation du site principal en suivant la procédure. Celà se passe pas très bien avec le dossier « uploads », le résultat est que nombre de médias ne sont pas retrouvés sur la réinstallation et les liens correspondants aboutissent sur une image blanche.
- Le dossier « uploads » que j’ai downloadé sur mon ordinateur avec FileZilla est a priori incomplet et lorsque je l’ai uploadé après la réinstallation il a été chargé incomplet sur le serveur d’où le fait que de nombreux liens n’abourissent nulle part (cf. photo)
- J’ai un peu bricolé sur le serveur lors de l’upload car j’avais re-téléchargé le dossier « uploads » dans un dossier « uploads » mais tout ceci se passait sur le serveur et n’explique pas comment ni pourquoi le premier download était incomplet.
Je ne comprends pas comment le download du dossier « uploads » du serveur sur mon ordi apu être incomplet. C’est assez ennuyeux car si je dois recharger tous les médais manquant depuis mon ordinateur j’en ai pour un moment car il me faut aller les chercher un-à-un là où ils sont. J’ai plus de 4 000 médias donc s’il en manque la moitié celà fait 2 000 fichier à identifier/télécharger… J’ai sauvegardé la base de données dans phpMyAdmin avant de commencer les opérations mais, si je ne m’abuse, les médias ne sont pas dans la BD donc celà ne sert à rien que je la rétablisse et recommence tout à 0 ?
Sinon le reste s’est à peu près passé, je retrouve les posts, les catégories, les étiquettes, les pages et les modèles.
Auriez-vous une idée pour me sortir de ce mauvais pas sur les médias ?
- Vous devez être connecté pour répondre à ce sujet.