En tant qu’expert en sécurité WordPress, je rencontre régulièrement des infections de spam sur les sites WordPress. Ces attaques sont généralement peu sophistiquées : un attaquant force l’accès au panneau wp-admin et utilise des scripts pour publier des articles et des pages de spam, réalisant ainsi une attaque SEO blackhat. Un site WordPress standard ne protège l’accès admin que par un mot de passe, sans limite sur le nombre de tentatives échouées, et les utilisateurs admin peuvent souvent être découverts par énumération. Ce type d’infection reste donc très répandu.
La découverte du spam
Ces attaques sont si courantes que j’ai rédigé un guide complet pour les supprimer efficacement. Tous les sites WordPress ne fonctionnent pas comme des blogs, donc de nombreux administrateurs n’accèdent même pas à la section des articles de wp-admin. Ainsi, lorsque le spam est découvert, il peut y avoir des dizaines, voire des centaines de milliers de publications, rendant leur suppression fastidieuse sans un peu de magie SQL.
Dans un cas particulier, j’ai découvert des articles de spam où les attaquants avaient pris des mesures supplémentaires pour dissimuler leur SEO blackhat.
Analyse régulière
Lors de la suppression de logiciels malveillants, il est nécessaire de scanner à la fois la structure des fichiers et la base de données. Les infections de spam sont souvent présentes dans la base de données, car elle est très textuelle. Je recherche régulièrement des termes de spam comme viagra, cialis, casino en ligne, et rédaction d’essais. Dans ce cas, de nombreux termes de spam de casino en ligne sont apparus. En vérifiant directement la base de données, j’ai pu voir clairement les articles/pages en question.
Le spam était également visible publiquement, étant indexé par les moteurs de recherche, ce qui devait avoir un impact négatif sur le SEO du site. Normalement, je me connecte à wp-admin et envoie les articles à la corbeille. Ainsi, si des articles légitimes sont mélangés, ils peuvent être facilement restaurés (ce qui est rare, mais mieux vaut être prudent).
Cependant, les articles étaient introuvables. En interrogeant la section des articles et des pages de wp-admin avec des mots-clés spécifiques comme « casino », rien n’apparaissait.
Vérification de la santé mentale
Face à un comportement étrange, il est toujours bon d’enquêter davantage. J’ai testé si je pouvais charger des pages de spam dans wp-admin, plutôt que de simplement regarder des lignes et des colonnes dans un gestionnaire de base de données.
Dans WordPress, toutes les pages et articles sont stockés dans la table wp_posts et chaque page/article a un numéro d’identification correspondant. En utilisant l’URL du navigateur, j’ai pu forcer l’accès à l’éditeur de pages pour les pages de spam, même si elles n’étaient pas visibles dans wp-admin.
Effectivement, je me suis retrouvé face à du spam classique de casino en ligne. J’ai également découvert une page de spam promouvant un jeu appelé Farming Simulator 17, ce qui était surprenant.
Méthodes de dissimulation
Après avoir vérifié les fichiers de base, les fichiers de thème récemment modifiés ou d’autres injections douteuses, je me suis concentré sur les plugins, une méthode favorite des attaquants pour manipuler les sites WordPress.
J’ai trouvé deux coupables qui travaillaient ensemble pour cacher le spam et assurer un accès admin continu aux attaquants :
- ./wp-content/plugins/yoast-seo-links/yoast seo links.php
- ./wp-content/plugins/performance-labs/performance labs.php
Yoast SEO Links
Ce plugin n’a rien à voir avec la société légitime Yoast SEO. Il s’agit d’une porte dérobée permettant aux attaquants un accès soutenu. Il contient une fonctionnalité de dissimulation et empêche sa désactivation.
Performance Labs
Ce plugin était responsable de la dissimulation des pages/articles de spam. Il ajoutait une option de paramètres pour personnaliser les ID de pages/articles à cacher. Cette option était cachée par du JavaScript simple, rendant les pages de spam invisibles dans wp-admin.
Protégez et Optimisez Votre Site WordPress : Guide Complet
Dans le monde numérique d’aujourd’hui, un site WordPress performant et sécurisé est essentiel pour toute entreprise ou blogueur. Que vous soyez un entrepreneur en France ou un créateur de contenu en Belgique, garantir la sécurité et l’efficacité de votre site est primordial. Voici comment vous pouvez y parvenir grâce à trois services phares : la réparation d’urgence WordPress, la maintenance WordPress, et l’optimisation SEO.
Réparation d’Urgence WordPress
Imaginez que votre site tombe en panne un vendredi soir, juste avant un week-end de soldes. Une telle situation peut entraîner une perte de revenus considérable. C’est là qu’intervient la réparation d’urgence WordPress. Ce service est conçu pour résoudre rapidement les problèmes critiques, qu’il s’agisse de bugs, de piratages ou de pannes de serveur.
Conseil Pratique : Assurez-vous d’avoir un plan de sauvegarde régulier. Utilisez des plugins comme UpdraftPlus pour automatiser les sauvegardes de votre site. Ainsi, en cas de problème, vous pouvez restaurer votre site à un état antérieur en quelques clics.
Maintenance WordPress
La maintenance régulière de votre site est essentielle pour prévenir les problèmes avant qu’ils ne surviennent. Cela inclut la mise à jour des plugins, des thèmes et du noyau WordPress, ainsi que la vérification des liens brisés et l’optimisation de la base de données.
Exemple Européen : En Allemagne, où la protection des données est une priorité, il est crucial de s’assurer que votre site est conforme au RGPD. La maintenance régulière peut inclure des vérifications de conformité pour garantir que les données des utilisateurs sont protégées.
Conseil Pratique : Planifiez des audits mensuels de votre site pour identifier et corriger les problèmes potentiels. Utilisez des outils comme Google Search Console pour surveiller la santé de votre site et recevoir des alertes en cas de problème.
Optimisation SEO
Un site bien optimisé pour les moteurs de recherche est plus visible et attire plus de visiteurs. L’optimisation SEO comprend l’amélioration de la vitesse du site, l’utilisation de mots-clés pertinents, et l’optimisation des balises méta.
Exemple Européen : En France, où la concurrence en ligne est féroce, se démarquer grâce à un bon référencement est crucial. Utilisez des outils comme SEMrush pour analyser vos concurrents et identifier les opportunités de mots-clés.
Conseil Pratique : Concentrez-vous sur l’optimisation de la vitesse de votre site. Des outils comme GTmetrix peuvent vous aider à identifier les éléments qui ralentissent votre site. Assurez-vous que vos images sont compressées et que votre hébergement est performant.
Conclusion
Les attaquants ne déploieraient pas autant d’efforts s’ils n’en tiraient pas profit. Cela montre qu’ils sont prêts à utiliser de nouvelles tactiques pour éviter la détection. C’est pourquoi il est crucial de protéger l’accès à votre panneau wp-admin, idéalement en le restreignant aux adresses IP autorisées.
Si vous rencontrez des problèmes similaires ou souhaitez éviter de telles situations, nos services de réparation d’urgence WordPress, maintenance WordPress, et optimisation SEO sont là pour vous aider. N’hésitez pas à nous contacter pour sécuriser et optimiser votre site.
Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP
