Jurlud.net piraté ?

Ces derniers jours, la page d’accueil de jurlud.net vous a peut être redirigé vers une publicité. Ce procédé est appelé phishing. Explications…

Le phishing est une forme de spam. La finalité de cette méthode de spam est d’obtenir vos informations personnelles (adresse, numéro, coordonnées bancaires) et vous arnaquer.

Pour parvenir à leur fins, les pirates peuvent accéder frauduleusement aux informations et bases de données d’un site et en copier les éléments sensibles, ou bien encore pirater le site afin que ses visiteurs soient redirigés sur un autre site crée par les pirates, et dans lesquels les informations sensibles du visiteur lui sont directement demandées.

Mon site jurlud.net ne possède aucune information sensible. Ce n’est pas un site de vente en ligne, ni un site communautaires. Il n’existe aucun compte utilisateur (à l’exception des comptes des auteurs). En conséquence, aucune donné n’y a été volée.

Toutefois, le ou les hackers ont pu accéder au code de mon site, et en modifier la page d’accueil, afin de rediriger les visiteurs chez eux, et leur proposer des pubs et des promotions alléchantes, afin de convaincre d’acheter.

L’incident m’a été remonté la première fois sur Twitter

@Jurlud votre lien https://t.co/xYA3cSbBY3 a infecté mon ordi…. g eu un mal de chien pr me débarrasser du virus. Merci de rectifier et de vérifier votre lien!

— Al Kpote 🇫🇷 🇪🇺 (@pakitodelparis) May 25, 2018

En vérifiant mon site, il y avait bien une redirection vers un site autre que le mien.

Comment est-ce possible ?

Tout d’abord, sachez qu’il y a (hélas) beaucoup de façons de pirater un site. Ce que je vous explique ici est la solution qui a fonctionné pour moi, mais rien ne dit qu’elle fonctionnera pour vous.
Il faut agir méthodiquement, procéder par élimination. Je vous recommande l’excellent article du blogueur @pka13 à ce sujet: Le jour où je me suis fait pirater.

La redirection se produisait sur mon site lorsque l’on accédait à la page d’accueil, systématiquement. Le point de départ a été de vérifier si le fichier “index.php” de mon site était infecté.

Et en effet, ce fichier possédait une ligne, tout en haut, composée d’un code en base64, et qui permettait de rediriger tous les visiteurs vers un autre site. Supprimer ce code rétablissait le fonctionnement normal du site.

Cependant, fréquemment, le code revenait.

Comment identifier la source du problème ?

La première chose à laquelle j’ai pensé était un mot de passe identifié. J’ai donc modifié les mots de passe de la base de donnée, de mon compte chez l’hébergeur du site (OVH), le mot de passe de mon compte sur le site… En vain.

Puis j’ai supposé qu’une extension n’avait peut-être pas été mise à jour, et qu’elle causait une faille dans la sécurité du site. En désactivant successivement les extensions, le problème persistait.

Alors peut être était-ce un fichier qui avait été caché dans les fichiers de base de WordPress. Donc suppression de tous les fichiers de base, et remise en place de fichiers sains, en vain.

A ce moment, je commençait à être à court d’idées. J’ai donc mis en place une extension “iThemes Security” sur le site. Et dans les logs, j’ai remarqué qu’il y avait beaucoup d’erreur 404 (page introuvable).

Plus particulièrement, il y avait des erreurs lors de l’appel de l’extension appelée “Pluginsamonsters”. Or je n’ai jamais installé une extension de ce type, et il n’existe pas d’extensions de ce nom dans mes fichiers wordpress.

Une petite recherche sur internet m’a suffit à comprendre la source du problème…

Comment cela a été résolu ?

J’avais en effet changé tous les mots de passe, à l’exception d’un seul: celui de mon compte worpress.com
En effet, afin de calculer les statistiques et apporter des outils pratiques à la gestion de mon site, j’ai activé l’extension JetPack.

Cette extension permet de lier un compte WordPress.com à un site hébergé ailleurs, et lui offre tous les outils de gestion et d’administration. Pour ce faire, il faut donner à WordPress.com un accès total au site.

C’est en trouvant le mot de passe de worpress.com que le ou les hackers ont pris le contrôle de mon site. Plutôt que de tous supprimer, ils ont redirigé tout le traffic sur leurs sites de spam.

En modifiant le mot de passe, et en activant la double authentification, le problème était résolu.

Par sécurité, une version propre de WordPress a été mise en place sur jurlud.net, et la base de donnée a été vérifiée. Tout est bon.

Si vous rencontrez le même problème, jetez donc un oeil sur vos extensions, ou les sites web auxquels vous avez accordé un accès total de gestion.