Wordfence trouve des backdoor (Créer un compte)

  • WordPress :5.4
  • Statut : non résolu
13 sujets de 1 à 13 (sur un total de 13)
  • Auteur
    Messages
  • #2348546
    carolinetrc
    Participant
    Chevalier WordPress
    102 contributions

    Bonjour,

    Ma configuration WP actuelle

    • Version de PHP/MySQL : 7.2
    • Thème utilisé : fly mag
    • Extensions en place : Advances ads, akismet, all in one wp security, amp, contact form 7, google alanytics, google xml sitemaps, imagify, mail poet 2, metaslider, orbit fox companion, photo gallery, plugin security scanner, site kit by google, social login, tinyMCE advanced, word fence, wp twitter auto publish, was limit login, YARPP
    • Nom de l’hébergeur : ovh
    • Adresse du site : lamonteeiberique.com

    Problème(s) rencontré(s) :

    En analysant mon site, wordpress trouve une série de backdoor dont je vous joins les codes. Pourriez-vous me dire si c’est inquiétant? Si je dois les supprimer.
    <div>if($_POST[‘opt’] == ‘chmod’){x0aif(isset($_POST[‘perm’])){x0aif(chmod(</div>
    <div>The issue type is: Backdoor:PHP/Generic.153</div>
    <div>Description: A malicious file uploader known as Generic</div>
    <div></div>
    <div>Details: This file appears to be installed or modified by a hacker to perform malicious activity. If you know about this file you can choose to ignore it to exclude it from future scans. The matched text in this file is: include_once(ABSPATH . ‘/wp-includes/init.php'</div>
    <div></div>
    <div>The issue type is: Backdoor:PHP/rogueinclude.6167</div>
    <div>Description: Malicious include of a file disguised as core</div>
    <div></div>
    <div></div>
    <div>Details: This file appears to be installed or modified by a hacker to perform malicious activity. If you know about this file you can choose to ignore it to exclude it from future scans. The matched text in this file is: array(‘function’,’variable’,’document’,’cache’,’create’,’load’);x0dx0ax09x09$markers=array(x0dx0ax09x09x09x09$labels[4],x0dx0ax09x09x09x09$labels[0]x0dx0ax09x09);x0dx0ax09x09$factoryName=join(‘_’, $markers);x0dx0ax09x09$param=’$’;x0dx0ax09x09$param.=’mime’;x0dx0ax09x09$pa…</div>
    <div></div>
    <div>The issue type is: Backdoor:PHP/joindictfunction.6820</div>
    <div>Description: Include at the beginning of the wordrpess index – often used by malware, occasionally benign</div>
    <div></div>
    <div>Merci beaucoup.</div>

    #2348576
    Li-An
    Participant
    Maître WordPress
    28641 contributions

    Bonjour, ça a l’air en effet clair comme message. Le mieux c’est quand même de poser la question sur le forum Wordfence car ce sont des questions pour spécialiste. Sucuri ne trouve rien sur votre site. Un lien utile https://wpfr.net/support/sujet/solutions-de-depannage-pour-un-site-hacke-pirate/

    #2348580
    carolinetrc
    Participant
    Chevalier WordPress
    102 contributions

    Bonjour,

    Merci pour votre réponse, je vais ouvrir un sujet dans la catégorie extensions. Il est vrai que mon site a été piraté mais c’était il y a un moment, mais il est possible qu’il reste des traces.

    #2348590
    Li-An
    Participant
    Maître WordPress
    28641 contributions

    Non, il ne faut pas ouvrir un sujet ici (il faut savoir qu’il y a six personnes à tout casser qui interviennent régulièrement sur ce forum, les autres sont juste de passage). Il faut poser la question sur le forum officiel de l’extension.

    #2348595
    carolinetrc
    Participant
    Chevalier WordPress
    102 contributions

    Ah d’accord, je ne savais pas, merci. J’ai publié un message sur le forum officiel.

    Je reviendrais par ici si j’obtiens une réponse

    #2348635
    carolinetrc
    Participant
    Chevalier WordPress
    102 contributions

    Comme promis, voici la réponse du forum :

    Cela ressemble à des infections de logiciels malveillants.

    Ces fichiers sont importants à nettoyer, car ils peuvent souvent être utilisés pour réinfecter un site Web.

    Le rapport peut être utile pour nettoyer les fichiers, si vous avez un développeur Web qui sait comment procéder.

    Nous offrons des services de nettoyage du site si vous avez besoin d’aide pour nettoyer le site.

    #2348636
    Li-An
    Participant
    Maître WordPress
    28641 contributions

    Un gros travail vous attend de nettoyage. Suivez le guide avec l’URL que je vous ai donnée.

    #2348644
    carolinetrc
    Participant
    Chevalier WordPress
    102 contributions

    J’ai nettoyé. Ce n’était évident car il y a avait plusieurs bouts de codes un peu partout… La nouvelle analyse n’en trouve plus. En revanche, il reste trois fichiers que wordence m’indique comme inquiétant :

    init.php

    compat-functions.php

    comment-edit.php

    Avec ce message :

    « Ce fichier se trouve dans un emplacement principal de WordPress mais n’est pas distribué avec cette version de WordPress. Cette analyse inclut souvent des fichiers restants d’une version précédente de WordPress, mais elle peut également trouver des fichiers ajoutés par un autre plugin, des fichiers ajoutés par votre hôte ou des fichiers malveillants ajoutés par un attaquant. »

    #2348645
    Li-An
    Participant
    Maître WordPress
    28641 contributions

    Renommez les. Si tout fonctionne correctement, supprimez les. De toute manière, s’ils vous manquent, vous pouvez les récupérer via le zip officiel de WP.

    #2348646
    carolinetrc
    Participant
    Chevalier WordPress
    102 contributions

    C’est ça le truc bizarre, c’est qu’ils ne sont pas dans le zip officiel de wordpress.

    #2348649
    Li-An
    Participant
    Maître WordPress
    28641 contributions

    C’est peut-être un résidus de vieille installation mais dans ces cas-là vous pouvez supprimer sans état d’âme.

    #2348650
    carolinetrc
    Participant
    Chevalier WordPress
    102 contributions

    Un des fichiers date de 2015 donc je pense que ça peut-être ça. La nouvelle analyse wordfence a trouvé un autre soucis et oui encore un mais c’est peut-être un faux négatif…

    tinymce/skins/wordpress/images/animation_d1.gif
    This file appears to be installed or modified by a hacker to perform malicious activity. If you know about this file you can choose to ignore it to exclude it from future scans.

    tinymce c’est le nom d’un plugin donc je ne sais pas trop. Il y en a environs 40 avec un numéro qui pose problème dans le code.

    #2348660
    Li-An
    Participant
    Maître WordPress
    28641 contributions

    Tout ce qui est lié à une extension doit se trouver dans le répertoire wp-content/plugins. Franchement, si j’étais vous, je supprimerais tous les fichiers de mon installation hors wp-content + htacces + wp-config.php et je remettrai les fichiers d’un WP clean. C’est d’ailleurs la méthode proposée dans le tuto de nettoyage.

13 sujets de 1 à 13 (sur un total de 13)
  • Vous devez être connecté pour répondre à ce sujet.