...
vous avez été piraté ? obtenir de l'aide
Benjamin Bueno CEO Textone & WordPress Pirate
Benjamin Bueno

Expert Cybersécurité

31 août, 2023

Le malware Freevar est l’un des malwares de redirection les plus courants. Son impact sur votre site peut être catastrophique et générer d’importantes pertes de trafic et de revenu. Découvrez comment réagir suite à l’injection d’un malware de redirection Freevar sur votre site WordPress.

Qu’est-ce qu’un malware de redirection Freevar ?

Le malware Freevar est une forme de logiciel malveillant appelée « malware de redirection ». Le malware de redirection consiste à injecter du code malveillant dans vos fichiers serveurs via une faille d’injection. Il en existe plusieurs types et ils sont généralement difficiles à éradiquer. Les malwares de redirection des plus fréquents sont Freevar (freevar.com), cartoonmines, shbzek, newcaptchahere ou encore steadycaptcha.
Le malware Freevar va chercher à altérer les fichiers de votre serveur pour rediriger les visiteurs de votre site vers des sites indésirables. Il pourra aussi créer de fausses pages cachées en japonais.

Malware Freevar : qu’est-ce que le piratage par redirection et comment réagir ?, SecuriteWP

Comment fonctionne le piratage par malware de redirection ?

Pour ce faire, les malwares de redirection comme le malware Freevar utilisent des techniques d’infiltration variées. Les deux techniques les plus courantes sont le piratage des identifiants de connexion FTP ou SSH et l’exploitation de failles de sécurité dans les applications web.


Le piratage des identifiants de connexion est la méthode d’infiltration la plus directe. Le hacker va chercher à obtenir de manière illégale les identifiants de connexion FTP ou SSH du serveur qu’il cherche à attaquer. Pour obtenir vos identifiants de connexion FTP, ils pourront utiliser l’attaque par force brute, c’est-à-dire essayer des milliers de combinaisons possibles en très peu de temps. Les hackers peuvent aussi essayer d’accéder au serveur en exploitant les connexions SSH non sécurisées. Ils pourront ainsi facilement implanter leur code de redirection sur votre serveur.


Les pirates informatiques peuvent aussi exploiter des failles de sécurité dans les applications web hébergées sur votre serveur. Ils peuvent par exemple exploiter les vulnérabilités d’injection SQL pour injecter leur code malveillant dans votre base de données. Ils peuvent également exploiter les failles qui permettent d’inclure des fichiers distants : c’est ce que l’on appelle la Remote File Inclusion (RFI). Cela leur permet d’exécuter sur votre serveur du code malveillant qui est hébergé sur un autre serveur. Enfin, si votre site est vulnérable aux attaques par XSS, ils peuvent aussi injecter du code malveillant qui sera exécuté dans le navigateur des visiteurs de votre site, ce qui les redirigera vers les pages malveillantes.

Pourquoi les hackers font-ils du piratage par redirection ?

Les hackers utilisent le piratage par redirection pour détourner le trafic de votre site web vers des sites malveillants qui affichent des publicités. Ils vont ainsi générer des revenus via les clics sur les publicités, les abonnements à des services payants, la vente de produits pharmaceutiques, et l’installation de logiciels malveillants. Ils vont également détourner le SEO de votre site pour augmenter la popularité du site malveillant et attirer encore plus de trafic.

De plus, le piratage par redirection via le malware Freevar permet aussi de rediriger le trafic de votre site vers des sites de phishing que les visiteurs pourront prendre pour des sites légitimes (site de banque, réseau social, etc.). C’est un moyen pour les hackers de récupérer illégalement les identifiants de connexion, les données financières ou toute autre donnée sensible de vos visiteurs.

Le malware par redirection permet aussi de contrôler les serveurs à distance pour voler des informations. Parfois, la seule motivation est de nuire.

Comment savoir si j’ai été victime du malware Freevar ?

Pour savoir si votre site a été piraté par le malware Freevar, vous devez détecter une infection. La manière la plus simple de la détecter est de trouver du code suspect qui a été ajouté à vos fichiers. Il peut s’agir d’un code chiffré, encodé en base 64 ou via toute autre technique d’encodage. Il peut aussi s’agir de code obfusqué. Cette méthode consiste à remplacer les noms de variables et de fonctions par des séquences de caractères aléatoires afin de rendre le code difficile à comprendre. Le code semble alors incompréhensible mais lorsque le script est exécuté, le virus est exécuté.


Voici un exemple de code obfusqué avec le virus Hello World :
1 $a = str_replace(‘123′,’hello’,’123 world’);
2 $b = str_replace(‘321′,’world’,’321 hello’);
3 echo $a.$b;


Le nettoyage du code infecté peut s’avérer très complexe car il est souvent répliqué dans plusieurs milliers de fichiers, voire plus ! Il est donc impossible de le faire manuellement. Et pourtant, il ne faut pas prendre le nettoyage à la légère !

Pourquoi réagir vite en cas de piratage avec le malware Freevar ?

En effet, le risque en cas de piratage avec le malware Freevar est réel. Si après nettoyage manuel, il reste du code infecté sur votre serveur, votre site risque d’être blacklisté par Google, ce qui aura un impact sur son référencement naturel. En outre, le piratage nuit à l’expérience utilisateur en générant des erreurs 500, ce qui va également avoir un impact sur la popularité et le classement de votre site.
Résultat : une perte de trafic importante qui pourra avoir un impact direct sur vos revenus, et une perte de confiance de la part de vos utilisateurs.
En effet, les visiteurs ne se rendront plus sur votre site s’il affiche un message du type « Il est possible que ce site ait été piraté », car ils auront peur de compromettre leurs données sensibles, notamment leurs données bancaires si votre site intègre les paiements en ligne.

WordPress est sécurisé… si vous suivez les mesures de sécurité !

Votre site web redirige vers des pages malveillantes, comme des sites de rencontre ou des publicités pour de faux produits ?
La page d’accueil a été modifiée ou a été remplacée par une autre page, comme une page à caractère islamique avec message de rançon ? 

Un code erreur apparait à la place de votre page d’accueil ? 

Les pages de votre site internet sont anormalement lentes ? 

Votre site web mine des crypto monnaies à votre insu ?

Comment réagir en cas d’attaque par le malware Freevar ?

En cas d’attaque par le malware Freevar, nous vous recommandons de confier le nettoyage complet de votre site web à des professionnels comme Sécurité WP. En effet, il est très important de supprimer le code malveillant repéré mais aussi les éventuelles portes dérobées laissées par les pirates sur votre serveur.
Des professionnels de WordPress vous aideront à trouver les morceaux de code malveillants sur votre site web et à nettoyer tous les virus et les injections de code pour que votre site ne présente plus aucun risque pour l’utilisateur. Nous pouvons aussi vous aider à sortir de la blacklist de Google si c’est le cas.

Benjamin Bueno

23 mars 2024

Découvrez d’autres astuces pour protéger votre site web des piratages : pourquoi il ne faut jamais utiliser « admin » comme nom d’utilisateur, comment bloquer l’accès de votre site web à certains pays, comment se protéger des failles de sécurité fréquentes sur WordPress, ou encore comment bien choisir son plugin de sécurité.

Les attaques de redirection, comme le malware Freevar, sont un problème de sécurité sérieux pour les sites WordPress. Elles détournent les visiteurs vers des sites malveillants, nuisant à la réputation et à la sécurité du site infecté. Pour réagir efficacement, il est primordial de maintenir à jour WordPress et ses extensions, notamment en suivant les recommandations sur la sécurité PHP 8.

En cas de redirections suspectes, il faut vérifier les fichiers du site à la recherche de scripts malveillants. La détection de cloaking, une technique utilisée par les hackers pour cacher leurs activités, peut être complexe, mais des outils comme les détecteurs de piratage cloaking sont disponibles pour aider dans cette tâche. En outre, il est essentiel de surveiller les avertissements de Google concernant les logiciels malveillants, comme les alertes de Google Ads suspendus pour logiciel malveillant, pour agir rapidement.

Pour renforcer la sécurité du site, il est conseillé de mettre en place des mesures préventives, telles que l’utilisation de plugins de sécurité, la mise en œuvre de protocoles HTTPS forts, et la surveillance continue de l’activité du site. Ces pratiques, combinées à une vigilance constante, peuvent grandement réduire le risque d’attaques et les dommages potentiels.

Nos experts français assurent un support et une prestation de qualité.

je demande de l’AIDE

Recevoir un devis
Demander un devis pour réparer un site

inscrivez vous a la newsletter

Nous vous enverrons des informations utiles et de qualité pour apprendre ainsi à mieux protéger votre site.
newsletter pour actualité WorPress

Partager cet article