...
vous avez été piraté ? obtenir de l'aide
Benjamin Bueno

Expert Cybersécurité

17 octobre, 2022
Augmentation du nombre de site piraté sur les sites hébergés chez GoDaddy
Table des matières
En mars dernier, Wordfence a constaté une augmentation des piratages sur les sites WordPress hébergés chez GoDaddy, un service d’hébergement web américain. Tous les sites piratés avaient un point commun : une porte dérobée (backdoor) installée sur le fichier wp-config.php, presque identique d’un site à l’autre. Cette porte dérobée n’a pas été installée que sur des sites hébergés par GoDaddy mais près de 95 % des sites concernés étaient hébergés chez GoDaddy au moment du rapport de Wordfence.

95 % des sites piratés en mars dernier étaient hébergés chez GoDaddy

En mars dernier, Wordfence a constaté une augmentation des piratages sur les sites WordPress hébergés chez GoDaddy, un service d’hébergement web américain. Tous les sites piratés avaient un point commun : une porte dérobée (backdoor) installée sur le fichier wp-config.php, presque identique d’un site à l’autre. Cette porte dérobée n’a pas été installée que sur des sites hébergés par GoDaddy mais près de 95 % des sites concernés étaient hébergés chez GoDaddy au moment du rapport de Wordfence.

go daddy piratage

Piratage sur les sites hébergés GoDaddy : comment ça marche ?

Cette porte dérobée, ajoutée au début du fichier wp-config.php, n’est pas une nouveauté : les pirates informatiques l’utilisent depuis 2015. L’objectif de cette backdoor, qui consiste en plusieurs lignes de code, est notamment de générer du spam dans les résultats Google. Son fonctionnement est le suivant :
1. Une requête est envoyée au site avec un cookie réglé sur une certaine valeur ;
2. La porte dérobée va télécharger un modèle de lien de spam à partir du domaine de commande et de contrôle (domaine C2) t-fish-ka[.]ru ;
3. Le modèle de lien de spam est enregistré dans un fichier codé dont le nom correspond au MD5 du domaine (par exemple : monsite.com) du site infecté. Pour rappel, le MD5 est un algorithme de hachage cryptographique permettant le chiffrement et l’authentification des données ;
4. Le domaine va alors afficher une page web vierge (tout dépend, car en 2019, la même backdoor permettait aux pirates d’afficher sur le site piraté du contenu adulte) ;
5. Le fichier encodé téléchargé contient un modèle qui est basé sur le code source du site infecté mais avec des liens de spam pharmaceutique. Il est configuré pour que le spam s’affiche à chaque fois que le site est consulté.

WordPress est sécurisé… si vous suivez les mesures de sécurité !

Votre site web redirige vers des pages malveillantes, comme des sites de rencontre ou des publicités pour de faux produits ? 
La page d’accueil a été modifiée ou a été remplacée par une autre page, comme une page à caractère islamique avec message de rançon ? 

Un code erreur apparait à la place de votre page d’accueil ? 

Les pages de votre site internet sont anormalement lentes ? 

Votre site web mine des crypto monnaies à votre insu ?

Suis-je concerné par le piratage des sites hébergés GoDaddy ?

L’année dernière, un attaquant inconnu avait obtenu un accès non autorisé au système utilisé par GoDaddy pour approvisionner ses sites WordPress. Ce piratage avait impacté près de 1,2 million de sites WordPress.
Comment savoir si vous êtes potentiellement concerné par cette porte dérobée ? Si votre site WordPress est géré par MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet ou Host Europe, cela signifie qu’il est hébergé par GoDaddy. Nous vous conseillons dans ce cas de vérifier manuellement le fichier wp-config.php de votre site WordPress ou d’utiliser un plugin de sécurité comme Wordfence pour analyser votre site et éventuellement détecter un logiciel malveillant.

Réagir en cas de piratage sur un site hébergé GoDaddy !

Si votre site est infecté par la porte dérobée, il est important de réagir immédiatement ! Nos experts WordPress peuvent prendre en charge rapidement le nettoyage de votre site web piraté et vous donner des conseils pour mieux vous protéger de ce type de piratage à l’avenir. Vous pouvez également souscrire à notre offre d’assurance qui vous protégera toute l’année des risques de piratage.

Benjamin Bueno

20 mars 2024

Si vous souhaitez en savoir plus sur le rôle de l’hébergement dans la sécurisation de votre site, lisez notre article sur l’incendie OVH et découvrez en quoi l’hébergement mutualisé n’est pas forcément mauvais pour la sécurité de votre site.

En mars dernier, une vague importante de piratages a frappé les sites WordPress hébergés par GoDaddy, l’un des plus grands services d’hébergement web américains. Wordfence, un service de sécurité pour WordPress, a découvert que presque 95% des sites affectés étaient hébergés chez GoDaddy. La porte dérobée (backdoor) trouvée dans ces attaques était insérée dans le fichier wp-config.php des sites, ce qui est une technique courante utilisée par les pirates depuis 2015. Cette backdoor permettait notamment de générer du spam dans les résultats Google.

La backdoor fonctionnait en téléchargeant un modèle de lien de spam d’un domaine de commande et de contrôle, puis en l’enregistrant dans un fichier codé sur le site infecté. Ce processus déclenchait l’affichage de contenu indésirable, comme des publicités pour des produits pharmaceutiques. Ces attaques soulignent l’importance de vérifier régulièrement la sécurité des sites WordPress et d’utiliser des plugins de sécurité comme Wordfence pour détecter et éliminer les logiciels malveillants.

Si vous êtes concerné par cette vague de piratages, notamment si votre site WordPress est géré par MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet, ou Host Europe (tous hébergés par GoDaddy), il est crucial de vérifier manuellement le fichier wp-config.php de votre site. En cas d’infection, il est essentiel de réagir rapidement pour nettoyer le site et prendre des mesures préventives contre de futures attaques. SecuriteWP propose une assistance experte pour le nettoyage et la protection des sites WordPress piratés. De plus, leur offre d’assurance annuelle vous protège contre les risques de piratage, garantissant la sécurité de votre site tout au long de l’année.

Pour approfondir vos connaissances sur la sécurisation de WordPress, SecuriteWP offre des ressources utiles, comme des articles sur la sécurisation des identifiants des auteurs WordPress et les meilleures pratiques pour sauvegarder votre site WordPress. Ces articles fournissent des informations essentielles pour maintenir votre site sécurisé et performant.

Articles du même sujet

securiser son site internet
Sécurité Wordpress
Benjamin Bueno
Comment sécuriser son site Internet ?

Sécuriser son site internet est indispensable pour se protéger des cyberattaques. De plus en plus de hackers visent le système d’information des entreprises afin de voler des données à caractère personnel ou de porter atteinte à la réputation de l’entreprise. Mises à jour et sauvegardes régulières, certificat SSL, choix des plugins, surveillance du journal d’activité… découvrez tous nos conseils pour la sécurisation de votre site web.

Lire la suite »
users wordpress
Sécurité Wordpress
Benjamin Bueno
Modifications non autorisées de comptes utilisateurs

Un nouvel utilisateur avec le rôle d’administrateur a été ajouté sur votre site WordPress sans votre autorisation ? Des comptes utilisateurs ont été modifiés ou supprimés sans votre consentement ? Attention, il s’agit généralement d’un piratage. Découvrez comment réagir en cas de modifications de comptes utilisateurs non autorisées sur WordPress.

Lire la suite »

Nos experts français assurent un support et une prestation de qualité.

je demande de l’AIDE

Recevoir un devis
Demander un devis pour réparer un site

inscrivez vous a la newsletter

Nous vous enverrons des informations utiles et de qualité pour apprendre ainsi à mieux protéger votre site.
newsletter pour actualité WorPress

Partager cet article