Discussion :

[Nessie37]

Bonjour,

J'ai besoin d'aide mais je ne suis pas si je poste dans la bonne rubrique.
Je suis perdue et désespérée.
J'ai crée mon petit site Internet très simple, avec Wordpress, de mes petites mains et avec mes faibles (voire quasi nulles) connaissances,

Problème, mon hébergeur OVH m'a alertée il y a quelques mois que mon site était identifié comme site frauduleux, de phishing.
J'ai appelé OVH qui ne peut intervenir pour 'aider et m'a invité à faire diagnostiquer mon site et mes codes.

C'est là que je me décompose...
Aidez-moi, je ne sais pas quoi faire, par où commencer et je n'ai pas les moyens de payer un prestataire des services
Mon site est bloqué, down et c'est bloquant pour mon activité

J'ai repoussé l'échéance pensant que je pourrais m'en sortir seule mais en fait, je suis complètement démunie.

Une âme charitable ?

Bien à vous

[jreaux62]

Bonjour,

Les règles essentielles avec un site WordPress :

• 1- créer un thème-enfant
• 2- SAUVEGARDER les données : dossiers/fichiers + base de données
• 3- NE JAMAIS CLIQUER SUR UN LIEN, SANS SAVOIR CE QU'ON FAIT !! (NI où ça mène...)

SI tu n'as fait ni l'un ni l'autre...

...mon petit site Internet très simple, avec Wordpress...

Tant mieux: ce sera plus rapide à refaire...
Le mieux est de :

• TOUT SUPPRIMER (sur le serveur)
• TOUT RE-INSTALLER (WP, thème, plugin,...
• SAUVEGARDER les données : dossiers/fichiers + base de données

[Nessie37]

Bonjour et merci.
La conception remonte à longtemps. J'ai procédé pas à pas (j'avais le temps) et j'avoue que aujourd'hui, dans la globalité, je ne sais plus trop les procédures que j'ai faites, je ne sais plus ce que je faisais dans le ftp

Pour te répondre :
- j'ai un thème enfant
- je n'ai cliqué sur aucun lien. Ce site fonctionnait normalement jusqu'à ce que je me fasse envahir par des spams que je supprimais au fur et à mesure. Manque de temps, je me suis laissée déborder et un jour, j'ai reçu un message de OVH me disant que mon site craignait.
Je pensais avoir pourtant installé une extension anti spams.
- quant à la sauvegarde, j'avoue que je ne pense pas avoir déjà fait de sauvegarde.

Disons que j'ai fait un site vitrine qui se suffisait à lui-tout seul et je n'ai jamais fait plus.

Là je ne capte pas trop ce que tu me demandes en fait. Je dois refaire mon site ?

[jreaux62]

Bonjour,

ce que tu dois faire EN PRIORITÉ :

• CHANGER TOUS TES MOTS DE PASSE !
  connexion OVH, connexion au panel admin,... et jusqu'à ta boite email

Dans le FTP :

• regarder si tu vois des fichiers douteux : avec des noms bizarre,... (difficile d'en dire plus)

[Nessie37]

Bonsoir,

Alors, je viens de tenter de me remettre sur le ftp.
Je suis mal barrée, je ne peux pas accéder d'entrée de jeu

[vttman]

Bonjour
C'était un thème gratuit ?

En ce qui me concerne :
0) Comme préconise à juste titre jreaux62 : Virer tout du serveur et message "site en maintenance"
1) Installation du site en local avec wamp, lamp etc.
2) Parcours de tous les fichiers (notepad++/recherche générique) à la recherche de code malicieux (base64)

... Vous avez certainement remarqué que les themes gratuits WordPress sont très souvent truffés de code illisible (en fait crypté avec base64_encode et lu grace à base64_decode).
base64_decode est une fonction qui permet de masquer des bouts de code pour éviter qu’ils ne soient altérés. Ces codes contiennent le plus souvent des pubs, des liens, ou du code suspicieux, pouvant par exemple télécharger des codes sur un serveur distant…Vous pouvez le laisser ou l’enlever… Moi, je choisi le retrait pour éviter toute mauvaise surprise ...

3) export de la base en fichier .sql et recherche d'adresse mail / lien site suspect / etc.
4) Installation plug-in de recherche de code malicieux (Wordfence etc.)

Bon courage

Laurent

[Nessie37]

Bonjour Merci.
Oui c'est un thème gratuit.
Je ne vois pas comment accéder au serveur. J'ai tenté le ftp mais je vous ai posté le message que j'ai. Je ne veux pas aller plus loin.
je ne comprends pas votre message "site en maintenance"
et je ne capte "site en local"

Je ne suis absolument pas calée dans le domaine et tout ce que vous venez de dire, je n'en capte pas capte un mot, je ne saurais pas quoi faire

Si je ne peux pas accéder au ftp, je fais quoi ?

[plugin and play]

Bonjour,

Mon premier conseil est de faire quelques recherche ssur internet. La solution est probablement ici: https://community.ovh.com/t/serveur-...r-tls/10323/18

Mon second conseil serait d'aller voir en professionnel.
Beaucoup de gens ont tendance à l'oublier avec toutes les offres "faciles" et "gratuites" qui pullulent mais la création, la maintenance et la sécurisation d'un site internet est un métier.

Bon courage !

[jreaux62]

Bonjour,

Le message du FTP n'est pas une menace.
Tu peux y accéder sans crainte.

[Nessie37]

Grand merci à toi de m'avoir rassurée !!!
je ne crains pas de jeter en pâture mes mots de passe ?

[jreaux62]

Non.
De toute façon, il est plus prudent de modifier tous tes mots de passe.

commentaire intéressant ici.

[Nessie37]

Ok, je vais tenter l'aventure aujourd'hui. Je vous tiens au courant.
En attendant, j'ai tenté de retourner dans mon WP admin, site inaccessible et j'ai tenté de retaper mon adresse web et là.... une page me dit que je suis hackée par un groupe de propagande islamiste !
Je n'en peux plus ! J'ai peur de faire quoique ce soit du coup

[Nessie37]

Pour donner des nouvelles :
(J'ai du faire un signalement à la plateforme PHAROS)

Je suis en train d'essayer de suivre les procédures différentes qu'OVH me donnent. Je tente tout dans le désordre.

- J'ai accédé à mon FTP et je dois repérer des fichiers louches (tous les noms pour moi sont louches) mais admettons. OVH m'a fourni une liste non exhaustive de fichiers pouvant être infectés mais ils ne me disent pas ce que je dois en faire. Pour moi, s'ils sont infectés, ça m'indique que ce sont des fichiers qui étaient là avant d'être infectés et qu'ils sont par conséquent nécessaires. Si je fais un clic droit pour les supprimer, ne vais-je pas bousiller qqch ? (vous me direz, vu l'état dans lequel est mon site...)

- OVH m'a également invité à vérifier les logs. J'ai lu de la doc pour comprendre ce que c'est et j'ai suivi la procédure de OVH mais une fois sur les logs WEB (qui ne remontent pas au-delà du 12 oct, je ne comprends pas pourquoi), je regarde les lignes, certaines me semblent curieuses mais j'en fais quoi ?

- ne sachant pas s'il y a une différence entre sauvegarder le site et la BDD, je souhaite restaurer une sauvegarde de la base de données via OVH. Cela sert-il à quelque chose ? La plus ancienne ne corrigera pas les failles mais peut-être que je n'aurais plus le site de propagande à al place, je ne sais pas<.

Excusez mais questions/remarques naïves, je ne suis pas calée mais j'apprends ainsi.

[chrtophe]

Pour l'explication du msg FTP, on évite d'utiliser le FTP qu'on remplace par une connexion SFTP. tu dois être sur une offre perso et dans cette offre OVH ne te fourni qu'un accès FTP. D'ou le warning avec Filezilla. Pas le plus grave.

Si tu restaures une ancienne version de la base, ça ne sert à rien si tu as des fichiers infectés, car même si çà supprime temporairement le message, il reviendra.

Pour la sauvegarde du site: tu dois récupérer tout le contenu du site et la base de données. Tu peux récupérer celle-ci depuis le manager OVH, dans l'onglet de gauche hébergement-> puis dans la partie droite base de données. Vu que tu n'as semble t'il aucune maitrise il serait pertinent de monter un serveur web en interne chez toi pour y tester ta sauvegarde.

Attention à la suppression des fichiers infectés : soit tu peux les supprimer car c'est des fichiers qui n'ont rien à voir avec WordPress, soit tu dois virer le contenu modifié (ou reprendre le fichier d'origine).

Je penses que tu ne vas pas t'en sortir toute seule, mieux vaut faire appel à un prestataire ou tout refaire.

[Nessie37]

Pour l'explication du msg FTP, on évite d'utiliser le FTP qu'on remplace par une connexion SFTP. tu dois être sur une offre perso et dans cette offre OVH ne te fourni qu'un accès FTP. D'ou le warning avec Filezilla. Pas le plus grave.

OVH m'a demandé d'activer le SFTP effectivement mais le message malgré cela apparait, pourtant ils m'ont dit que je devrais plus l'avoir. Mais admettons comme tu dis. J'ai pu accéder à mon FTP

Vu que tu n'as semble t'il aucune maitrise il serait pertinent de monter un serveur web en interne chez toi pour y tester ta sauvegarde.

je ris parce que tu as, à juste titre, dit que je n'ai pas de maîtrise alors "monter un serveur web en interne chez moi..."

Merci pour ton intervention et ta pédagogie.

[chrtophe]

je ris parce que tu as, à juste titre, dit que je n'ai pas de maîtrise alors "monter un serveur web en interne chez moi..."

C'est vrai que dit comme ça ...

Tu as des solutions comme wamp ou easyphp plus ou moins facile à utiliser en local.
Le danger est surtout de ne pas faire une sauvegarde complète

Le contenu de ton site est au moins partiellement visible ou complètement défacé ? car si rien n'est visible, pas très utile d'essayer de tester la sauvegarde en local.

Wordfence peut effectivement t'aider à nettoyer le site, encore faut il que tu es accès au backend (wp-admin). est-ce le cas ?

Tu dis petit site, c'est peut être plus judicieux de le refaire pour éviter le coup de réparation, tu peux toujours faire faire un devis.

[Nessie37]

Si mon site est visible ? Regarde la pièce jointe ...

[jreaux62]

LOL...

Bon ben là... il ne te reste plus qu'à te convertir...

Sinon,... dans les dossiers :

• -> "wp-content" / "uploads", tu retrouveras tous les médias (photos/vidéos) de ton site.
• -> "wp-content" / "plugins" : les noms des plugins (extensions) utilisées
• -> "wp-content" / "themes" : les noms des thèmes / thème/enfant

Au cas où tu voudrais les récupérer...

Pour le reste... jette tout ça à la poubelle !!
Et re-crée un nouveau site.

N.B.Et sur OVH : opte pour un hébergement SÉCURISÉ (https) !!!

[Nessie37]

En fait, les photos et vidéos et autres images présentent sur le site m'importent moins que les témoignages du livre d'or et les textes des pages que j'ai créées

Et je viens de renouveler l'hébergement

[chrtophe]

Pour le texte, tu pourras en récupérer au moins une partie par archive.org (lien envoyé en MP)


Voici ce qu'il faut faire :

1ère tentative :

- copier tout le contenu du FTP en local pour le sauvegarder et exporter la base de données
Depuis le manager OVH :
- restaurer la version de sauvegarde la plus vieille de la base et des fichiers - attention pour la restauration des fichiers c'est pas instantané.
- si récupération accès mettre à jour toutes les extension et éventuellement wordpress
- installer wordfence et lancer une analyse - traiter par rapport aux informations wordfence


2nde tentative plus profonde et complexe :

- copier tout le contenu du FTP en local pour le sauvegarder et exporter la base de données depuis le manager OVH
- ouvrir le fichier wp-includes/version.php avec un éditeur de texte pour récupérer ta version de wordpress
- télécharger la version de wordpress correspondant à celle en ligne, la décompresser (https://fr.wordpress.org/download/releases/)
- sur le site supprimer le fichier .htaccess (si tu le vois pas dans filezilla menu serveur->forcer l'affichage des fichiers cachés)
- supprimer le dossier wp-admin et wp-includes et les remplacer par celui du wordpress téléchargé

si ensuite tu peux accéder au backend (wp-admin) c'est déjà un premier pas. Si tu n'as toujours pas l'accès à l'interface, supprimes les dossiers dans wp-content/plugins (tu laisses le fichier index.php), ça enlèvera les extensions.
Si tu as la demande de mot de passe mais que tu n'arrives pas à te connecter, il faut modifier le mot de passe directement dans la base, dans ce cas reviens vers nous. Si tu arrives à te connecter tu auras un msg indiquant la désactivation des extensions.
Si tu as supprimé les extensions, il faudra les réinstaller depuis l'interface de wordpress, depuis ta sauvegarde, dans wp-content/plugins cahque dossier correspondant à une extension, tu devrais pouvoir les réinstaller depuis le nom des dossiers.
ensuite :
- mettre à jour les extensions (si elles n'ont pas du être réinstallés), les thèmes et wordpress si il y des mises à jour à faire
- installer le plugin wordfence et lancer un scan qui te diras tout ce qui va pas à sa connaissance (fichiers pourris, fichiers potentiellement à risque)
Si il t'indiques des plugins/thèmes obsolètes, les remplacer dans la mesure du possible : attention impact possible sur l'affichage du site
Une fois le site stabilisé il faudra :
- supprimer les éventuels utilisateurs autre que celui te servant à te connecter, éventuellement si ton utilisateur se nomme admin, le renommer, vérifier que l'adresse de récupération est correcte
- supprimer les éventuels commentaires pourris
- faire un contrôle visuel sur les pages pour voir si il n'y a pas de textes illégitimes

Je ne sais pas si c'est nécessaire, mais faire un enregistrement dans réglages->permaliens pour régénérer le .htaccess.

changer le mot de passe de la base depuis le manager et mettre à jour le fichier config.php en conséquence, puis celui du ftp.
Et comme indiqué, depuis l'interface OVH générer un certificat pour être en https