Site WP écrasé par 'WP en 5 mn' sans intervention

WordPress :6.7
Statut : résolu

Ce sujet contient 25 réponses, 4 participants et a été mis à jour pour la dernière fois par Li-An, le il y a 2 mois et 2 semaines.

11 sujets de 16 à 26 (sur un total de 26)

← 1 2

Auteur

Messages
26 avril 2025 à 21 h 27 min #2488386
Rehve
Participant

Chevalier WordPress
132 contributions
Voici la liste des tables en 3 copies d’écran.
- Compris pour la restauration. Sinon je peux aussi restaurer la BD possible via OVH : il y en une d’aujourd’hui 15h46 (avant mes actions d’effacement) ou d’hier même heure. Qu’en pensez-vous ?
- Oui il y avait des plugins de sécurité activés sur mes sites, ceux recommandés par Li Ann : La sentinelle et Ninja, mais je les ai activés/désactivés par FileZilla ces derniers jours au fil des étapes de mes problèmes. Je les ai depuis l’apparition des soucis en décembre, les intrus étaient peut-être déjà entré avant que je les installe…
- Avec votre aide précieuse je vais donc continuer à « toucher » aux données… :).
J’attends votre récation sur ce message avant de me lancer dans le nettoyage via tuto site hacké.

Merci.

Fichiers joints :
Vous devez être connecté pour voir les fichiers joints.
26 avril 2025 à 21 h 35 min #2488390

ferman
Modérateur

Maître WordPress
7648 contributions

Sinon je peux aussi restaurer la BD possible via OVH : il y en une d’aujourd’hui 15h46 (avant mes actions d’effacement) ou d’hier même heure. Qu’en pensez-vous ?

Oui c’est plus simple mais je n’ai jamais fait. Dans ce cas il n’y a pas besoin de vider la base de données avant d’importer je crois (sans en être sûr).

26 avril 2025 à 22 h 16 min #2488391

Rehve
Participant

Chevalier WordPress
132 contributions

OK, c fait par OVH, simple et rapide. J’ai ensuite vidé les tables wp_ une par une et donc éliminé le user-administrateur intrus sans impact sur le reste. J’ai donc retrouvé tous mes users habituels. Je me lance dans le nettoyage via tuto sites hackés et vous tiens informé.

26 avril 2025 à 22 h 53 min #2488392
ferman
Modérateur

Maître WordPress
7648 contributions
Il faudra éliminer (pas seulement vider) les tables wp.

Quand le nettoyage sera fini, il faudra faire le tour du site. Par exemple il y a un menu en pied de page qui ne sert à rien il me semble. Ou alors le site n’est pas terminé?
- Cette réponse a été modifiée le il y a 2 mois et 3 semaines par ferman.
26 avril 2025 à 23 h 37 min #2488395
Flobogo
Modérateur

Maître WordPress
20944 contributions
J’arrive après les échanges de la journée. Mais j’avais bien dit hier soir que le site était infecté, et qu’il fallait restaurer la base de données et l’espace d’hébergement.

Ce soir, Sucuri indique un problème avec le thème twenty-twenty-five (a priori le thème parent) → je vous conseille de télécharger sur votre ordi le thème twenty-twenty-five tout propre, et le dézipper.

Puis par FTP :
- supprimer le dossier actuel du thème twentytwentyfive
- envoyer à la place le même dossier twentytwentyfive dézippé à l’étape ci-dessus
Faites ça en urgence (d’autant que cela pourrait être la cause de vos problèmes de WP instable vu l’avertissement Sucuri)

Ensuite, suivez le tuto de nettoyage de site hacké, car en restaurant la base de données vous avez récupéré votre site, mais le virus est toujours présent quelque part. Vérifiez régulièrement au cours du nettoyage votre base de données, pour être sûr que le user intrus n’est pas revenu soit dans votre table shget58_users soit en créant de nouvelles tables wp_
27 avril 2025 à 10 h 05 min #2488399
Rehve
Participant

Chevalier WordPress
132 contributions
Bonjour,

J’ai appliqué le tuto « site hacké » cette nuit. Je retrouve mon site avec fonctionnement « normal » mais avec quelques détails encore à régler.
- Petit problème de barre de navigation dans mes modèles qui ont changé et que je n’arrive pas à reconstituer pour le moment. Pourtant j’ai bien rechargé le thème Twenty-twenty-five neuf comme recommandé, ainsi que le thème enfant.
- Erreur critique « session PHP active (cf. copie d’écran) lié à NinjaFirewal que j’avais déjà constatée avant le nettoyage. J’ai désactivé Ninja pour le moment.
Tout va bien pour le moment.
- Pas de nouvelles tables wp_.
- Pas de user intrus pour autant que je puisse en juger.
- J’ai ajouté le code HTTPS proposé par Flobgo dans .htaccess après « END WordPress », est-ce le bon endroit ?
- # END WordPress # Redirection vers HTTPS RewriteCond %{SERVER_PORT} ^80$ [OR] RewriteCond %{HTTPS} =off RewriteRule ^(.*)$ https://amis-chapelle-penvern.fr//$1 [R=301,L] # Redirection du www vers non-www en HTTPS RewriteCond %{HTTP_HOST} ^www\.mis-chapelle-penvern\.fr [NC] RewriteRule ^(.*)$ hhttps://amis-chapelle-penvern.fr//$1 [R=301,L] <IfModule mod_autoindex.c> Options -Indexes </IfModule>
- Sucuri indique Low Security Risk avec tout de même des « Hardening Improvements » auxquels je ne comprends pas grand chose pour le moment mais je vais investiguer.
- Je vais surveiller l’évolution des choses dans les prochains jours.
Il me reste à refaire la même chose sur mon autre site https://rehve.fr/ et sons sous-site qui affichent toujours de façon aléatoire l’écran d’installation « WP en 5mn ». La dernière fois je n’avais pas appliqué le tuto « site hacké » sur le sous-site. Je vais aussi regarder la proposition de Li Ann de changer d’hébergeur. Une recommandation à ce sujet ?

Avez-vous un conseil pour résoudre l’erreur critique « session PHP active » ?
27 avril 2025 à 10 h 20 min #2488400

Li-An
Participant

Maître WordPress
29245 contributions

Pour le message d’erreur de NinjaFirewall, désinstallez-le/réinstallez-le pour voir si ça corrige le problème. Ouvrez éventuellement un nouveau sujet et/ou installez une alternative type SecuPress – il vous faut une extension de sécurité vu les incidents.

27 avril 2025 à 23 h 30 min #2488403

Flobogo
Modérateur

Maître WordPress
20944 contributions

Erreur critique « session PHP active (cf. copie d’écran) lié à NinjaFirewal que j’avais déjà constatée avant le nettoyage.

Cette erreur critique est liée aux règles de sécurité de NinjaFirewall, qui ont été mises à jour alors que vous avez restaurée une version antérieure en restaurant la base de données. C’est tout simple à régler :

→ Réactivez Ninja Firewall (indispensable pour la sécurité de votre site, comme le dit Li-An) et mettez à jour les règles de sécurité :

→ menu NinjaFirewall > onglet « Règles de sécurité » > en bas de l’écran, cliquez sur le bouton « Vérifiez les mises à jour maintenant ! »

Sinon, bravo pour le travail de nettoyage : tout est clean. La redirection HTTP vers HTTPS est correcte.

28 avril 2025 à 17 h 15 min #2488416

Rehve
Participant

Chevalier WordPress
132 contributions

Bon, jusqu’ici tout va bien. J’ai désinstallé/réinstallé NinjaFirewall + vérifié les mises à jours. Ninja indentifie déjà des attaques « critiques »… Je surveille les tables via php My Admin et dans WP, les comptes et les commentaires. Merci pour le « bravo » et votre aide réactive inestimable :).

Je clôture le sujet et je m’occupe de mon autre site pour lequel j’ai un topic ouvert.

Bien à vous.

28 avril 2025 à 20 h 17 min #2488421
Rehve
Participant

Chevalier WordPress
132 contributions
Ah Oui Li Ann, votre lien https://www.echodesplugins.li-an.fr/tutoriaux/90-sur-gmetrix-les-doigts-dans-le-nez/ n’aboutit pas. Votre site doit-il être optimisé ? :):).

Non, finalement ça marche maintenant. Fausse alerte, désolé du dérangement.
- Cette réponse a été modifiée le il y a 2 mois et 2 semaines par Rehve.
- Cette réponse a été modifiée le il y a 2 mois et 2 semaines par Rehve.
28 avril 2025 à 20 h 51 min #2488428

Li-An
Participant

Maître WordPress
29245 contributions

Ben, je n’ai pas de problème en ce qui me concerne.
Auteur

Messages