- WordPress :6.7
- Statut : résolu
- Ce sujet contient 25 réponses, 4 participants et a été mis à jour pour la dernière fois par
, le il y a 2 mois et 1 semaine.
-
Messages
-
Bonjour,
Ma configuration WP actuelle
- Version de PHP/MySQL : 8.3
- Thème utilisé : twentytwentyfive-child
- Extensions en place : askimet, asgaros-forum, forum-wordpress-fr, gwolle-gb, la-sentinelle-antispam, lightweight-social-icons, ninjafirewall, sassy-social-share, widget-google-reviews
- Nom de l’hébergeur : OVH
- Adresse du site : https://amis-chapelle-penvern.fr/
Problème(s) rencontré(s) :
Bonjour,
J’ai ticket ouvert depuis quelques jours sur ce forum (https://wpfr.net/support/sujet/hosting-isolated-le-retour/) pour un autre site. Je maintiens par ailleurs le site https://amis-chapelle-penvern.fr/ sans aucun lien avec le précédent si ne n’est qu’il est hébergé chez OVH.
Depuis quelques jours l’accès à ce site était impossible et que ce soit moi ou un visiteur on https://amis-chapelle-penvern.fr/ se transformait immédiatement en https://amis-chapelle-penvern.fr/wp-admin/install.php et affichait l’écran d’accueil de l’installation ‘WP en 5 mn’. Je ne m’en suis pas occupé car j’étais concentré sur les difficultés de mon autre site. Depuis hier, on dirait que le ‘WP en 5 mn’ a été installé sans que je n’ai fait quoi que ce soit… Quand on clique sur https://amis-chapelle-penvern.fr/ on tombe sur le premier article à tédiger comme si WP venait d’être installé.
- J’ai regardé phpMyAdmin et toutes les tables débutent par sghet58_ au lieu de l’habituel wp_. J’ai l’impression que ce préfixe est nouveau mais je ne puis pas l’affirmer. Ce préfixe est-il un problème ?
- J’ai restauré la base de données du 15/04. Je pense que je retrouve les post passés mais celà ne change rien sur le non-accès au site ni à l’admin.
- J’ai testé le site sur Succuri et le risque est medium https://sitecheck.sucuri.net/results/https/amis-chapelle-penvern.fr mais me précise que le site n’est pas en https alors que je croyais qu’il l’était ???
J’ai du mal à comprendre ce qui se passe sans que ne soit intervenu de la moindre façon pour provoquer ces transormations.
Y-a-t-il un moyen de revenir à la version du site avant ces transformations non provoquées par moi ?
Merci d’avance.
J’ai regardé phpMyAdmin et toutes les tables débutent par sghet58_ au lieu de l’habituel wp_. J’ai l’impression que ce préfixe est nouveau mais je ne puis pas l’affirmer. Ce préfixe est-il un problème ?
En principe non si la personne qui a installé le site l’a choisi. C’est bien différent s’il est apparu « spontanément ». Vérifiez si les renseignements figurant dans wp-config correspondent bien à votre base de données. En particulier le préfixe de base de données. Par la même occasion regardez s’il n’y a pas de ligne anormale (suite de chiffres/lettres) au début ou à la fin de wp-config.
Bonjour,
Un méchant (petit malin) a installé un WP neuf sur votre site, en profitant de la page d’installation ****/wp-admin/install.php
Il faut absolument (et très vite) :
- restaurer chez OVH votre base de données et votre espace d’hébergement (votre installation précédente avec wp-content complet) datant d’il y a 3 jours ou même d’il y a une semaine : c’est indispensable pour retrouver vos contenus (en base de données) et votre installation avec vos extensions, vos photos, etc …
Et les sauvegarder sur votre ordi par PhpMyAdmin pour la base de données et par FTP pour le dossier wp-content et fichiers essentiels - modifier vos mots de passe OVH / base de données et wp-config.php
- nettoyer tout le site selon le tuto de nettoyage de site hacké déjà utilisé, en particulier en supprimant tout administrateur qui n’aurait aucun rapport avec vous
Faites toutes ces étapes à la suite sur la même journée, car tant que le site est fragile, il risque d’être compromis et infecté davantage, et de ré-infecter vos 2 autres sites si ils partagent le même espace d’hébergement.
Quelques précisions sur vos 3 questions :
- toutes les tables débutent par sghet58_ au lieu de l’habituel wp_. (…) Ce préfixe est-il un problème ?
Ce n’est pas un problème si c’est vous qui l’avez choisi. Mais c’est un problème si quelqu’un a installé WordPress avec ce préfixe sans votre accord, et qu’il a supprimé votre base de données. Celle que vous avez restauré a-t-elle le même préfixe ? (si oui, c’est peut-être vous qui l’aviez choisi, mais vérifiez bien la table _users et si vous êtes en administrator )
- J’ai restauré la base de données du 15/04. Je pense que je retrouve les post passés mais celà ne change rien sur le non-accès au site ni à l’admin.
Normal, si le fichier wp-config.php a été modifié par le méchant intrus. C’est pour ça qu’il faut aussi restaurer votre installation sur l’hébergement avec vos dossiers et fichiers précédents (celle qu’on voit par FTP). Là, c’est un WP pratiquement vierge.
- J’ai testé le site sur Succuri (…) me précise que le site n’est pas en https alors que je croyais qu’il l’était ???
Plus exactement, il indique que le site en HTTP n’est pas redirigé vers le HTTPS.
Il faudra ajouter un code dans votre fichier .htaccess quand tout le reste sera corrigéMerci à vous deux.
Une première réaction… inquiète. Toutes les difficultés que je rencontre sur mes différents sites ont, notamment, pour conséquence de faire apparaître de façon aléatoire l’écran d’installation de « WP en 5 mn » au lieu des pages d’accueil ou des posts demandés (cf. copie d’écran). Même lorque je suis connecté sur l’admin, parfois je fais une action et je me retrouve sur cet écran. Je suppose que n’importe peut donc cliquer sur les boutons proposés et installer WP en 5 mn en écrasant tout le reste comme celà vient de se passer sur https://amis-chapelle-penvern.fr/.
Comment faire en urgence pour que cet écran n’apparaisse plus sur les sites ? Je ne voudrais pas qu’il m’arrive la même mésaventure sur https://rehve.fr/.
Vérifiez si les renseignements figurant dans wp-config correspondent bien à votre base de données. En particulier le préfixe de base de données. Par la même occasion regardez s’il n’y a pas de ligne anormale (suite de chiffres/lettres) au début ou à la fin de wp-config.
Je ne sais plus si c’est moi qui a introduit le préfixe sghet58_ à la création du site. Par contre dans le wp_config le préfixe prévu est wp_. Pas vu de lignes anormales sinon. Les tables restaurées ont le même préfixes ghet58_.
Je me lance dans la restauration/sauvegarde du site ce soir. Une petite question, j’utilise « asgaros-forum » sur https://amis-chapelle-penvern.fr/. Je suppose que l’historique du forum sera préservé si je réinstalle « asgaros-forum » ? D’ailleuts j’ai trouvé les tables de ce forum dans la BD avec phpMyAdmin donc elles devraient être préservées.
Bon we à vous.
Bonjour,
Je ne sais plus si c’est moi qui a introduit le préfixe sghet58_ à la création du site. Par contre dans le wp_config le préfixe prévu est wp_. Pas vu de lignes anormales sinon. Les tables restaurées ont le même préfixes ghet58_.
C’est à cause de cette différence que vous voyez l’écran install à la place du site. Remplacez dans wp-config wp_ par sgeth58_ et les choses devraient revenir à la normale.
NB vous pouvez aussi modifier le préfixe des tables dans phpmyadmin ou même créer un nouveau préfixe toujours dans phpmyadmin et répercuter le changement dans wp-config. Au choix mais je commencerais par le plus simple: changer dans wp-config.
Merci ferman.
Remplacez dans wp-config wp_ par sgeth58_ et les choses devraient revenir à la normale.
Je viens de le faire et maintenant j’arrive sur une page blanche, ce qui est déjà moins pire. Mais je n’ai pas encore restauré/nettoyé le site selon le tuto site piraté, ce que je ferai ce soir.
Ceci étant dit sur https://rehve.fr/ je reçois aussi régulièrement, mais pas toujours, l’écran d’install alors que j’ai le même préfixe wp_ dans les tables et dans wp_config (site parent et site enfant), d’où mon inquiétude que le même incident/écrasement ne se produise.
NB: pour info, à l’instant j’ai eu un refus d’accès à mes tables par phpMyAdmin pour « max questions » dépassé. J’ai réessayé une deuxième fois et c’était OK.
j’arrive sur une page blanche,
C’est un peu inquiétant.
Regardez dans votre base de données ce que contient la table « posts ». Est-ce que toutes les tables ont le même préfixe?
Bonjour, c’est peut-être lié à un problème serveur avec un accès à la base qui se fait trop tardivement et du coup WP propose l’installation. Posez éventuellement la question à votre hébergeur.
J’arrive sur une page blanche, – C’est un peu inquiétant.
En fait la page blanche est apparue ce matin quand j’ai changé dans wp_config le table_prefix en « sghet58_ » pour correspondre aux préfix des tables. Je viens de m’apercevoir que cette page blanche ne m’enpêchait pas de me connecter à mon admin. Je viens de le faire et constaté qu’il manquait le thème enfant twentytwentyfive-child que j’ai rechargé et le site est revenu. Après une rapide revue j’ai l’impression que j’ai récupéré l’essentiel. J’ai des problèmes de menus header et footer qui ont été créés et qui ne sont pas les miens, mais ces derniers sont toujours là, je vais les rétablir et poursuivre ma revue. J’ai aussi des bizarreries dans les modèles…
c’est peut-être lié à un problème serveur avec un accès à la base qui se fait trop tardivement et du coup WP propose l’installation. Posez éventuellement la question à votre hébergeur.
J’ai posé la question à OVH en décembre dernier et il y a quelques jours. Chaque fois la même réponse : mon site consomme trop de ressources et il faut l’optimiser, en me donnant des liens avec des procédures OVH pour ce faire.
Mes questions :
- Où est le site « WP en 5 mn » qui a été créé par je ne sais qui (un petit malin ou un visiteur de bonne foi), a-t-il disparu, dois-je faire quelques chose ?
- Faut-il que je j’applique quand même le tuto nettoyage de site hacké sur https://www.amis-chapelle-penvern.fr/ ?
- Et enfin, le plus important, comment faire pour éviter que la page d’install WP en 5 mn apparaisse lorsque le temps de réponse est trop long puisqu’il continue à apparaître de façon aléatoire sur mon autre site https://rehve.fr/, encore à l’istant. Je n’ai pas encore réappliqué le tuto site hacké sur ce site et son sous-site. Est-ce que je ne peux pas faire apparaître une page style maintenance dans ce cas, ce qui supprimerait le risque que quelqu’un bien ou mal intentionné installe WP en 5 mn et écrase mes sites ?
En tout cas j’apprends beaucoup sur WordPress avec la gestion de tous ces incidents.
COMPLéMENT
Je crois que j’ai la réponse à la première question. Sur phpMyAdmin il y a 5 tables nouvelles avec préfixe wp_. Elles correspondent je pense à la création de « WP en 5 mn », j’ai retrouvé dans celle des posts les invitations « bonjour tout le monde » à créer une première publication. Ces tables viennent après mes tables d’origine avec préfixe sghet58_ ce qui fait que celles-ci n’ont donc pas été écrasées. Ne serait-ce pas WP qui aurait changé automatiquement le préfixe des tables d’origine pour éviter que celles créées ne remplacent celles qui existaient ?
Pensez-vous que je peux supprimer les tables wp_ par phpMyAdmin ?
COMPLéMENT 2
Ce n’est pas 5 tables wp_ qui ont été créées par « WP en 5 mn » mais 12 dont une avec un user intrus. J’ai vidé les table wp_users et wp_usermeta.
Pensez-vous que je peux supprimer les tables wp_ par phpMyAdmin ?
Oui.
Faut-il que je j’applique quand même le tuto nettoyage de site hacké
Non, pas pour le moment.
Bon, c’est encore moi :(. J’ai vidé les tables wp_, dont wp_users dans laquelle il y avait 1 seul user, l’intrus. Mais du coup la table sgeth58_users est vide aussi et je suis sûr de ne pas l’avoir sélectionnée pour le vidage. On dirait que vider wp_users a vidé en même temps sgeth58_users …
J’avais exporté la base en .sql avant l’action mai je n’arrive pas à la réimporter. J’ai un message d’erreur cf. fichier joint.
Auriez-vous un conseil pour réussir l’upload ? Sinon il faut recréer les users manuellement dans la table sur phpMyAdmin mais je ne sais pas trop comment faire ? Après je ne toucherai plus à rien !
Pour ce qui est de « comment faire en sorte que le problème n’arrive pas », il y a l’optimisation éventuelle – basique https://www.echodesplugins.li-an.fr/tutoriaux/90-sur-gmetrix-les-doigts-dans-le-nez/… mais aussi le passage à un hébergeur peut-être plus performant. Si vraiment vous avez mis la liste de toutes vos extensions, seule Asgaros peut pomper vos ressources si vous avez beaucoup d’intervenants.
J’ai vidé les tables wp_, dont wp_users dans laquelle il y avait 1 seul user, l’intrus.
Je ne savais pas ça. Il y a donc bien eu un piratage, visiblement raté et donc vous ne coupez pas au nettoyage en suivant le tuto. Je ne comprends pas comment une table non sélectionnée a pu être vidée. Mais bon.
La table « sghet58_bp_activity » ne fait pas partie des tables par défaut de wp. Elle vient de buddy press. Pouvez-vous nous mettre en copie d’écran la liste des tables de votre base de données?
Pour l’erreur sql elle provient du fait que vous ne pouvez pas importer une sauvegarde de base de données si cette base de données n’est pas vide. Il faut donc supprimer toutes les tables: sélectionner toutes les tables et faire « avec la sélection : supprimer » puis exécuter; Vous devez arriver à ce qui est en copie d’écran. Là vous pourrez importer votre sauvegarde. Ne supprimez surtout pas la base de données; seulement les tables.
Après je ne toucherai plus à rien !
Je ne pense pas que ce sera possible 🙂
Vous aviez des plugins de sécurité activés sur vos sites? C’est quand même étonnant d’avoir deux sites piratés dans deux hébergements différents.
- Vous devez être connecté pour répondre à ce sujet.