Comment rechercher des logiciels malveillants et des portes dérobées sur votre site Web WordPress

Rencontrez-vous l'un des problèmes suivants avec votre site WordPress ou WordPress ?

• Vitesse lente pour votre site web malgré une bonne connexion Internet.
• Rediriger les visiteurs de votre site Web vers un autre site Web.
• Affichage de contenu illégal ou dégradation de votre page d'accueil.
• Une baisse ou une augmentation soudaine du trafic du site Web.
• Le plantage fréquent du site Web lorsqu'il est ouvert dans votre navigateur.

Si, à un moment quelconque mentionné ci-dessus, votre réponse était oui, cela pourrait être un signe que votre site Web WordPress a été piraté et a été injecté avec un logiciel malveillant, également connu sous le nom de Malware .

Les logiciels malveillants font référence à toutes les formes de logiciels nuisibles, y compris les virus informatiques, les ransomwares et les chevaux de Troie, qui sont utilisés pour perturber votre site Web ou obtenir un accès non autorisé à vos dossiers informatiques.

Ces dernières années, les logiciels malveillants ont été utilisés pour perturber les sites Web des gouvernements et des entreprises et pour recueillir des informations critiques. Un logiciel malveillant d'extraction de crypto-monnaie a été utilisé pour compromettre plus de 5 000 sites Web gouvernementaux au Royaume-Uni. En septembre 2014, un logiciel malveillant a affecté le système de point de vente du détaillant de matériaux de construction, HomeDepot, et a volé les informations de carte de crédit et de débit des 56 millions de clients de l'entreprise.

En plus d'infecter avec des logiciels malveillants, les pirates insèrent également une porte dérobée dans les sites Web qu'ils piratent. Il permet aux pirates d'obtenir un accès à distance non autorisé à un site Web piraté en exploitant ses failles de sécurité . Il y parvient en contournant la procédure d'authentification standard requise pour accéder à tout système distant, y compris sa base de données et les serveurs de fichiers d'un site Web. Une porte dérobée fait partie des formes de piratage dégradées car elle peut rester non détectée et continue d'affecter les sites WordPress piratés même après avoir été analysés et restaurés.

Comment rechercher les logiciels malveillants et les portes dérobées ?

La plupart des pirates ajoutent et masquent leurs malwares et backdoors dans les fichiers et dossiers WordPress suivants, à savoir :

1. Plugins et thèmes WordPress

Les pirates stockent leur code malveillant dans des plugins et des thèmes obsolètes, car la plupart des utilisateurs ne les regardent pas. S'il y a des thèmes anciens ou inactifs dans votre répertoire de thèmes WordPress, il vous est recommandé de les supprimer ou de les mettre à niveau. De plus, la plupart des utilisateurs n'utilisent pas tous les plugins WordPress préinstallés et ne les mettent pas non plus à jour. Par conséquent, il est plus facile pour les logiciels malveillants d'échapper aux perturbations causées par les mises à niveau logicielles.

Les pirates savent qu'une fois que vous réalisez que votre site Web est piraté, vous devez le nettoyer. Ainsi, une porte dérobée est nécessaire pour accéder à votre site Web après le nettoyage. Parfois, les pirates déguisent les logiciels malveillants en plugins. C'est pourquoi parcourir vos plugins installés de temps en temps est une bonne idée. Si vous voyez un plugin que vous n'avez pas installé, il est possible qu'il s'agisse d'un malware utilisé comme porte dérobée pour accéder à votre site Web WordPress.

2. Répertoire des téléchargements

En tant qu'utilisateur de WordPress, vous utilisez le répertoire Uploads pour télécharger des images à utiliser dans votre publication ou article Web. Si le répertoire de téléchargement contient des milliers de fichiers multimédias, les pirates informatiques trouvent qu'il est facile de télécharger et de masquer leurs portes dérobées dans ce dossier. De plus, le répertoire Uploads est accessible en écriture, ce qui en fait une cible facile pour les pirates.

3. Fonctions telles que eval, base64_decode et preg_replace, situées dans le fichier wp-config.php

Le fichier wp-config.php fait partie des fichiers les plus couramment ciblés par les pirates pour insérer leur code malveillant.

4. Fichiers .htaccess et répertoire wp-includes

Le répertoire wp-includes est un autre dossier courant ciblé par les pirates, qui laissent généralement plus d'une porte dérobée dans ce dossier pour un accès facile.

Il existe principalement deux types de méthodes d'analyse, qui peuvent être utilisées pour localiser les logiciels malveillants et les programmes de porte dérobée sur votre ordinateur :

• Numérisation manuelle
• Numérisation automatique

Consultez la liste des meilleurs plugins anti-malware WordPress

Numérisation manuelle - Que rechercher

La première étape d'une procédure d'analyse manuelle consiste à rechercher l'intégrité des fichiers WordPress principaux situés dans wp-includes, wp-admin et d'autres dossiers racine. Vous pouvez également supprimer tous les plugins ou thèmes WordPress inutilisés ou inactifs.

Un signe classique pour un site Web compromis est de trouver des codes tels que eval, base64_decode. Les propriétaires de sites Web peuvent simplement les rechercher pour vérifier si un site Web a été piraté. Mais ceux-ci sont également utilisés par les plugins WordPress dans le cadre de leur code régulier. Par conséquent, l'utilisation d'une analyse manuelle est extrêmement difficile à analyser si le code est propre ou malveillant.

De plus, les pirates sont suffisamment intelligents pour utiliser différentes combinaisons de code et d'autres méthodes afin d'empêcher une détection facile du code malveillant.

Vous pouvez également utiliser l'analyse manuelle pour rechercher tous les fichiers qui ont été récemment modifiés comme lorsque le site Web a été piraté. Vous pouvez le faire en suivant les instructions suivantes :

1. Connectez-vous à votre serveur WP via un terminal SSH ou un client FTP
2. Avec un terminal SSH, recherchez la liste des fichiers récemment modifiés en exécutant la commande suivante : $ find. / -type f -mtime -15
3. Si vous utilisez FTP, affichez la dernière date à laquelle un fichier a été modifié sur le serveur. Bien que la date de dernière modification soit un bon indicateur pour savoir si les données ont été piratées, elle peut être trompeuse car la plupart des pirates peuvent réinitialiser la date et l'heure des fichiers infectés.

En raison des contraintes ci-dessus, la mise en œuvre d'une analyse manuelle, en particulier pour détecter les portes dérobées, peut ne pas être le meilleur choix pour les propriétaires de sites Web. Les méthodes d'analyse manuelle fonctionnaient efficacement autrefois, lorsque la plupart des pirates inséraient leurs logiciels malveillants dans des dossiers et des fichiers sélectionnés. La plupart des analyses manuelles seraient capables de détecter toute incohérence entre les fichiers et de signaler la même chose.

Numérisation automatique - Ce que vous devez savoir

Les pirates informatiques intelligents d'aujourd'hui ont développé des techniques plus complexes pour insérer du code malveillant indétectable n'importe où sur le site WordPress. Ils peuvent également ajouter des fichiers supplémentaires contenant du code malveillant mais nommés comme n'importe quel nom de fichier de plug-in, par exemple, Adm1n.php ou Hell0.php. Cela nécessite la nécessité de déployer des méthodes d'analyse automatique, qui sont plus puissantes dans la détection et la correction des logiciels malveillants et des codes de porte dérobée.

La plupart des scanners automatiques disponibles utilisent les techniques de détection de logiciels malveillants suivantes :

1. Numérisation basée sur les signatures

Il s'agit de la méthode la plus courante et la plus efficace pour identifier les logiciels malveillants. La plupart des codes malveillants comprennent une série d'instructions à exécuter par l'ordinateur pour faire fonctionner le virus. Généralement appelés signatures de virus, les analyseurs basés sur les signatures recherchent ces modèles de signature dans un fichier et, s'ils sont trouvés, le marquent comme infecté.

N'oubliez pas : Parmi les limitations typiques de l'analyse basée sur les signatures, elle ne fonctionne pas pour tous les types de virus informatiques, en particulier les virus inconnus dont les modèles de signature ne sont pas disponibles dans la base de données de signatures disponible.

2. Analyse basée sur des plugins

Comme la plupart du code malveillant est inséré dans les plugins et thèmes WordPress, les scanners basés sur les plugins sont utiles pour analyser et détecter quotidiennement tout code malveillant dans vos plugins et thèmes WordPress. La plupart d'entre eux disposent également d'un mécanisme d'alerte de virus pour vous informer de toute entrée de logiciel malveillant.

N'oubliez pas : une limitation importante des scanners basés sur des plugins est qu'ils ne recherchent que les logiciels malveillants dans les plugins et thèmes WP actuellement installés. Les plugins et thèmes inutilisés ou inactifs ne sont pas examinés ; par conséquent, cette technique ne fonctionnera que si vous avez supprimé tous les plugins et thèmes inactifs de votre installation WordPress.

De plus, il existe des scanners de logiciels malveillants, qui vérifient uniquement l'intégrité des fichiers WordPress principaux en comparant les modifications apportées aux fichiers et en déclenchant une alerte de virus si une incompatibilité est détectée.

Les scanners de logiciels malveillants approfondis, tels que MalCare, sont utiles pour détecter les logiciels malveillants et les portes dérobées, car ils effectuent une analyse approfondie de votre installation WordPress globale et garantissent qu'il n'y a pas de code malveillant caché dans votre système qui peut causer des problèmes de sécurité.

Avant d'utiliser des scanners de logiciels malveillants approfondis, vous devez vous assurer que les points clés suivants sont mémorisés et suivis :

1. Certains codes malveillants peuvent nécessiter une analyse répétée pour être entièrement supprimés de votre système.
2. Assurez-vous de faire une sauvegarde des données actuelles avant de démarrer l'analyseur approfondi. Outre les logiciels malveillants et les virus nuisibles, les outils de suppression de logiciels malveillants peuvent entraîner une perte de données ou une corruption de votre système d'exploitation. Bien que cela soit rare, assurez-vous d'avoir une sauvegarde de toutes les informations vitales avant de démarrer l'analyseur approfondi.

Conclusion

Aucun site Web hébergé par WordPress n'est entièrement à l'abri d'être piraté par des pirates professionnels. Cependant, vous pouvez réduire les menaces de sécurité en suivant toutes les meilleures pratiques de sécurité pour votre site Web WordPress.

En cas de piratage de votre site Web, il existe des outils technologiques qui peuvent vous aider à détecter et à réparer votre site compromis. Il convient de noter que malgré leurs capacités, aucun outil d'analyse des logiciels malveillants ne peut être considéré comme adéquat pour traiter tous les types de logiciels malveillants et d'infections de porte dérobée. Par conséquent, il est conseillé de suivre une politique de « prévention » plutôt que de « guérison ».

Avis de non-responsabilité : il s'agit d'un message d'invité de MalCare . Les opinions et idées exprimées ici sont celles de l'auteur et ne reflètent en aucun cas la position de Cloudways.