Je crois que je me suis fait piraté

  • WordPress :5.2
  • Statut : non résolu
7 sujets de 1 à 7 (sur un total de 7)
  • Auteur
    Messages
  • #2292449
    laclac
    Participant
    Initié WordPress
    20 contributions

    Bonjour,

    Ma configuration WP actuelle

    • Version de PHP/MySQL : 5
    • Thème utilisé : Impreza
    • Extensions en place :
    • Companion Auto Update : met à jour automatiquement les plugins
    • contact form 7
    • Duplicate Post
    • Hide My WP ghost Lite : change l’url wp-login et wp-admin + masque masque la version de WP etc..
    • iTheme security : renforcement divers de sécurité (permission des fichiers …)
    • loginizer : protege contre le brute force
    • Sucuri securité : audite de sécurité + scan malware
    • Wordfencre securité : firewall (mode learn temporairement)
    • Wp Mautic
    • Xclone : backup
    • Nom de l’hébergeur : likuid.com

    Problème(s) rencontré(s) :

    Bonjour,

    Je crois que je me suis fait piraté. Et pourtant comme vous pouvez le voir par ma liste des extensions, j’avais blindé la sécurité.
    J’avais en plus lu des dizaines de tutorial “safe” pour renforcer la sécurité (desactivé le ?author=0 , désactiver le XML-RPC…). Et je mis connais un peu donc javais pas fait n’importe quoi, je pensais etre à l’abri.

    Il met arrivé une petit fausse manip fin octobre que je décris ici : https://wpfr.net/support/sujet/site-hs-suite-au-changement-de-page-par-defautr/
    Que le forum à pu m’aider et réparer. Depuis j’avais plus touché à mon site.

    Mais depuis je n’arrivais plus à me connecté. Je pensais que mon erreur etait revenu. Je m’acharne rien à faire.
    Je décide de regarder directement en base de donnée, la bale “users” et là surprise.
    Je découvre que l’identifiant du seul compte (qui n’est pas juste mon nom ou seulement de mon site) à changer. c’est écrit “oldman”.

    Impossible que j’ai mis moi meme cette identifiant. tout les autres infos n’ont pas changé.
    J’ai donc vite changé le mot de passe. Mais je suis scotché.

    A priori rien à changé, tout est en place. Mais je suis stupéfait.
    Je sais pas comment c’est possible ni quoi faire. Je me sens démuni après tout ce que jai fait. d’autant plus que vu que seul l’identifiant à changé je me demande si je me suis vraiment fait piraté ou si je ne sais pas comment un plugin à par exemple locké mon compte admin en changeant l’identifiant.

    Note: L’ensemble des plugins et themes sont officiels. Jai rien pris sur le darknet.

     

    #2292681
    momofr@free.fr
    Modérateur
    Maître WordPress
    2911 contributions

    Salut, tu n’indiques rien sur ton login/pass précédent, si c’est basique c’est ça la faiblesse. WordPress permet la double optin maintenant, c’est un gage de sécutité renforcé.

    Un autre point n’est pas expliqué c’est les mises à jour de tes extensions, si elles ne sont pas faites tu laisses les failles ouvertes, même avec tout ton barda de sécurité… donc ce n’est pas bon non plus. Tu as des extensions qui font doublon, pas besoin d’iTheme security (il a été compromis plusieurs fois) si tu as WordFence.

    Utilisant WordFence sur 75 sites WP depuis plusieurs années je n’ai jamais eu ce genre de chose, mais je fais les mises à jour toutes les semaines via MainWP sur tous ces sites.

    Enfin tu peux passer ton site chez Sucuri histoire de voir si c’est clean sur ce site.

    #2292724
    Li-An
    Modérateur
    Maître WordPress
    23171 contributions

    Bonjour, des dizaines d’années sans être piraté (et même sans extension de sécurité pendant longtemps). La mise à jour, c’est la base de la sécurité (et ça peut aussi venir de votre ordi ou de l’ordi d’un admin). Si vous ne trouvez pas le temps pour les mises à jour, une excellente extension https://www.echodesplugins.li-an.fr/plugins/companion-auto-update/ Perso, j’utilise Ninja Firewall (et c’est tout).

     

    #2292755
    laclac
    Participant
    Initié WordPress
    20 contributions

    Merci pour vos réponses.

    A vrai dire, mon login/mdp étaient fort.  Concernant mes plugins ils sont à jour. J’utilse “Companion Auto Update” qui le fait automatiquement à ma place. Seul mon WP est mis à jour manuellement pour pas que tout pete. En l’occurrence il était en 5.2.5.
    Concernant itheme security, perso je l’aime bien car je le trouve complementaire. Il touche plus sur la config comme le check des permissions de fichiers l’activation du ssl, la detection de 404, ce que je crois Wordfence ne fait pas à ma connaissance. Apres je te l accorde j’ai des doublons mais je dirais plus avec Sucuri dont j’hésite souvent à virer;

    Après avoir fouiller dans mes backup, je me suis rendu compte que la premiere modification avait eu lieu mi-novembre. Mon login avait été modifié par “admin”, puis un peu plus tard, c’était devenu “oldman”. en dehors du mot de passe rien avait changé à priori.

    Je pense que quelqu’un à pu le changer , mais n’a pas trouvé ma page de connexion et à donc rien pu faire (car c’etait pas wp-login).
    J’ai regardé si javais tjs mais fichier d’install mais j’ai pas l’impression comme le le readme à ete renommé en readme.0987654356789.
    Je pense que j’aurais jamais la réponse. A noter que sur mon site il y a rien du tout, juste une page de maintenance.

    J’ai donc décidé de restaurer mon backup via xclone. Bon pour info, il faut obligatoirement que le backup soit sur un serveur distant PHP pour faire une restauration complete. Chose que j’ai pas. bilan, j’ai tenté de faire une restauration manuelle, en supprimant manuellement tout WP et en recopiant tout les fichier du backup (a priori le zip était juste le contenu du site). Idem pour la BD. Mais en faite, ca na pas marché du tout. Le site est completement cassé, j’ai l erreur désormais sur mon site:”The site is experiencing technical difficulties.”. Je ferais peut etre un autre post dessus si je ne trouve pas de solution.

    Mais je ne sais pas ce qui me déprime le plus:
    – avoir été piraté
    – ne pas savoir comment j’ai été piraté sachant que j’avais tout mis en place
    – galérer comme un fou pour restaurer mon backup, alors que j ai été très viligant pour quels soient régulieres et completes.

    En tout cas merci pour votre aide. C’est tjs très appréciable surtout compte tenu du temps que j’y passe :'(

    #2292756
    Li-An
    Modérateur
    Maître WordPress
    23171 contributions

    Il faut que vous checkiez tous vos appareils qui se connectent sur votre site. Votre thème a bien été mis à jour 7.03 ? Vous avez bien listé toutes les extensions que vous utilisez ?

    Perso, je considère que les manip sur les déplacements du login sont une perte de temps si vous avez un pare-feu d’installé. Le pare-feu va protéger bien plus efficacement le login en bloquant les IP qui sniffent. À ce niveau là, la qualité du mot de passe est presque anecdotique. Cela ne sert à rien de multiplier les mesures de sécurité car de base – hormis les attaques sur mot de passe et identifiant – WP est secure. Sur un WP tout nu, il ne peut pas y avoir de piratage (et heureusement encore).

    #2292803
    laclac
    Participant
    Initié WordPress
    20 contributions

    Heu là Li-An, je ne suis pas expres de WordPress mais je pense qu’un WP tout nu, se fait piraté en 2 min.

    C’est pas pour rien qu’il y a plus de 100 000 wordpress piraté par jour et perso, je ne connais aucun WP qui na pas été piraté dans mon entourage.

    Il y a plein de technique plus ou moins connu mais la plus simple sur un WP nu, c’est de récupérer le login admin, via faille de /?author=1.
    Une fois que tu l’as obtenu. va direct sur wp-login.php/wp-admin.php (url que tout le monde connait).
    Tu testes le login admin avec un mdp bidon. Là WordPress est sympa puisqu’il va te confirmer que ce login existe bien.
    Là tu lances un script de bruteforce comme il en existe 10000 sur le net. Et pof.  tu auras les acces admin sur le wordpress de ton voisin.

    Voilà, à la porté de n’importe qui de pirater un wordpress nu. Perso, je pense que comme souvent, la sécurité mise sous forme plugin mais de base, ce sont des passoirs. C’est juste un parti pris pour se focaliser sur le coeur de metier.

    #2292807
    Li-An
    Modérateur
    Maître WordPress
    23171 contributions

    C’est “étrange” c’est que mes WP n’ont jamais été piratés de la sorte (et j’en ai géré une dizaine sans aucune protection particulière). J’ai bien précisé que le seul problème c’est en effet sur le login. Mais 99% des personnes qui viennent sur ce forum après piratage trouvent une faille (thème/plugin/ordi) et n’ont pas été victime d’une attaque bruteforce (je laisse 1% de doute). La preuve avec votre problème. De plus, la plupart des hébergeurs mettent en place des systèmes de détection d’attaque DDOs pour éviter de voir leur qualité de service exploser.

    Si il était aussi simple de pirater un WP chez OVH ou Ionos, ce forum comporterait 90% des demandes d’aide concernant un piratage car la plupart des utilisateurs ne mettent en place aucune solution de pare feu. Personnellement, je serai curieux de voir ce genre d’attaque sur un site WP tout nu chez OVH ou tout autre hébergeur un peu sérieux.

    Le fait que tout votre entourage et vous-même aient été victime de piratage sous WP me rend pour le moins perplexe. Je serai curieux de voir l’historique de votre utilisation de WP mais bon ce n’est pas possible.

     

7 sujets de 1 à 7 (sur un total de 7)
  • Vous devez être connecté pour répondre à ce sujet.