Bonsoir,
Je découvre aujourd'hui mon blog Wordpress hacké. (Google m'informe que le message publié sur le site est en turc, je n'en sais pas plus.) Le module Wordpress a été installé il y a bien longtemps via le manager OVH.
J'ai quatre autres sites sur cet hébergement, qui eux ne sont que de petites pages statiques : sans surprise plus aucun ne fonctionne, mais cette fois l'erreur est simplement "Not Found - The requested URL was not found on this server.". C'est logique, d'après ce que je vois mon FTP ne contient plus qu'un fichier index.php et c'est tout, il n'y a plus rien d'autre.
J'ai consulté l'aide (ici : https://docs.ovh.com/fr/hosting/piratage-de-votre-site-wordpress-conseils-et-cas-dusages/ ) qui n'est malheureusement pas à jour et qui me renvoyait sur un site qui ne fonctionne plus (ici : https://logs.ovh.net/votre_domaine )
J'ai ouvert un ticket, j'ai obtenu une réponse ce soir. Voici sa première ligne :
> Pour trouver si votre hébergement est hacké, je vous invite à consulter ce lien externe : http://www.gregfreeman.io/2013/how-to-tell-if-your-php-site-has-been-compromised/
Je ne suis pas informaticien, tout cela n'est pas à ma portée. J'ai tout de même été consulter mes logs, j'ai trouvé ceci :
Apparemment il y a eu une forte activité ce matin, puis plus rien. J'imagine que le hack est arrivé à cette heure-là, mais en toute honnêteté je ne peux pas faire grand chose de cette information.
Ma question est simple : que dois-je faire ?
Dans l'état actuel de mes connaissances informatiques (= pas capable de lire les logs et de repérer ce qui cloche), je pense faire une restauration de la sauvegarde d'il y a deux jours. J'imagine (j'espère !) que ça restaurera mes sites. Mais ensuite ?
Mon Wordpress se met à jour automatiquement, donc normalement il était à jour. Comment une personne novice comme moi peut trouver d'où vient la faille ? Je pensais commencer par
• restaurer le site
• mettre à jour wordpress si nécessaire
• mettre à jour les plugins si nécessaire
• changer le mot de passe de mon hébergement
Est-ce une bonne façon de faire ? Est-ce suffisant ?
Dans le ticket on me conseille également d'activer le firewall :
> Veuillez activer le firewall en suivant ces étapes à partir de votre espace client :
> Cliquer sur votre nom de domaine dans la rubrique «Hébergement», Dans l’onglet Multisite, cliquer sur le stylo devant le nom de domaine, Cocher «Activer le firewall».
En me rendant dans le manager je constate que le firewall est activé partout… sauf sur l'hébergement principal, et malheureusement je ne vois pas de "stylo" devant le nom de domaine donc je ne vois pas comment l'activer. Une idée ?
Dernière chose : je vois que mon hébergement fonctionne avec PHP 4.4.
Je suis très étonné, il me semble avoir fait une mise à jour beaucoup plus récente. Peut-être que le hack vient de là ?
D'après vous, que dois-je faire ? Actuellement j'ai surtout envie de restaurer le FTP d'il y a deux jours, au moins pour savoir si tout est récupérable, mais ensuite, que faire ? Le firewall je ne vois pas comment l'activer, la version de PHP… ça se tente, et puis ?
Merci de votre aide !