OVH Community, votre nouvel espace communautaire.

site wordpress piraté


cavapulser
22/09/2015, 09h37
Sécuriser, ça passe aussi par une sélection attentive de tout ce que l'on greffe sur son WordPress.
Avec quelques précautions supplémentaires.

PS : Un plugin comme Limit Login Attempts est par exemple parfaitement indispensable. Même s'il est ancien, il n'est pas du tout obsolète.

Nowwhat
21/09/2015, 20h14
Les "thèmes" se grèvent autrement dans le CMS (WordPress), c'est vrai, mais les plupart ont tellement de code (PHP) que finalement, ça ne sont que des plugins (extension) avec une couche 'graphisme'.

L'avantage d'un thème est que le code est écrit par un 'graphiste' ( un artist html ) et donc le script PHP est souvent encore moins sûr, moins testé.
Le facteur hackabilité est en plain expansion, le hackeurs, eux, trouvent encore plus des possibilités pour entrer.

abds69
21/09/2015, 10h26
+1 nowwhat

Je rajouterai qu'après les failles plugin , en numéro 2 les thèmes sont potentiellement hackables.

Nowwhat
18/09/2015, 19h44
Sécuriser un WP 'nu' n'est pas vraiment nécessaire.
L'équipe qui code WP, ils savent ce qu'il font. WP lui même est quasi non-hackable.

Mais, c'est après que ça se gatte.
Le paramétrage de ton WP : pourrait changer la donne - quoi que légèrement.

Là, ou ça part en couille : installer ces 'extensions'. Les plupart sont écrit par mes cousins, leur copains, etc. Et certainement pas l'équipe de WP.
WP ne contrôle même pas les extensions (comme Apple procède aux vérifications avant de les proposer dans leur AppStore).
Ces extension sont souvent écrit avec UN idée en tête: il faut qu'il marche.
Le fait qui bouffe toutes les ressources dur serveur web, qu'il surcharge le serveur MYSQL, qu'il possède des failles gros comme un maison, ça, ça demande une connaissance de PHP très poussé ... or, l’auteur ne cherche qu'à faire fonctionner son "bébé", et il s'arrête là.

En gros : installer un extension, ok, mais uniquement ceux qui viennent des éditeurs qui sortent régulièrement des mise à jour, avec un support 'actif', l'extension doit être connu et reconnu tant que tel.
Le change de se trouver avec un site hacké et linéaire avec le nombre des plugins installées (certains plugins ajoute un facteur exponentiel ).

cavapulser
18/09/2015, 19h15
Pourquoi ne pas la sauvegarder manuellement via phpMyAdmin ? Tout dépend de l'activité du site.
Pour ma part, c'est ce que je fais, en plus d'une tâche planifiée, mais il est vrai que je suis sur un "SQL Privé"...
Un plugin, pourquoi pas, mais il faut surveiller que la tâche ne soit pas "tuée" si la base est trop grosse.

Je rappelle : SÉCURISER ton WordPress à fond + Mise à jour systématique de WP, du thème et des plugins.
Et surveiller... Tu as été hacké sans réellement savoir comment, et ça pourrait se reproduire.

PS : conserver plusieurs versions pour les sauvegardes afin de pouvoir remonter dans le temps. Une vérole peut être planquée depuis un certain temps... Il y a aussi les failles dans des plugins, c'est effarant de surveiller les tentatives/tests

nicochat
15/09/2015, 22h14
Merci pour ta réponse Cavapulser, j'ai réinstallé supprimer les fichiers wordpress et du theme puis reinstaller, mais pas remis la bd d'avant...

Pour l'instant ca remarche. La base de donnée, je la sauvegarde avec un plugin (wp-dbmanager), ca ne risque pas de la veroller ?

cavapulser
15/09/2015, 22h08
Repartir sur du sain...
Tout virer sur le FTP.
Réinstaller un WordPress tout neuf, ça tombe bien la v4.3.1 vient de sortir
Réinstaller les plugins à partir du repository.
Réinstaller le thème dans sa dernière version.
Remonter les fichiers "Upload" proprement.
Repartir sur une BD d'avant le hack.
Et tout sécuriser !!!
Bref, du boulot

PS : Non exhaustif...

nicochat
15/09/2015, 20h58
Bonjour, mon site est inaccessible depuis plusieurs heures (page blanche) et quand j'ai regardé dans mon FTP, j'ai remarqué plein de fichiers suspects que j'ai supprimé (je ne me souviens pas de leurs noms) ainsi qu'un fichier image qui affichait la phrase : hacked by d3b~X (ce qui m'a convaincu d'un piratage).

Vous pouvez acceder à mon site en cliquant la

J'ai un site wordpress...
Le backoffice, en revanche est accessible
Les plugins installés sont :

Akismet
Force Regenerate Thumbnails
Gravity Forms
Générer le plan du site
Installer
New RoyalSlider
P3 (Plugin Performance Profiler)
Redirection
Related Posts Thumbnails
Shareaholic
Simple Image Widget
Top 25 Social Icons
WP Post Navigation
WP Rocket
WP-DBManager
WP-PageNavi
WPBakery Visual Composer
WPML Multilingual CMS
WPML String Translation
Yoast SEO

Si quelqu'un peut m'aider..