Mon expérience personnelle récente du piratage de site web et de leur restauration

Je viens d’être piraté sur les sites web dont je m’occupe: en premier le site handisport35.org, puis handisportetr.ovh (diffusion de la newsletter au CDHs et au CRBH) , tous les deux hébergés chez OVH.

Et pour corser la situation, en même temps, un site perso hébergé chez 1and1 a également été piraté.

Le piratage avait pour conséquence le renvoi sur une page incitant le visiteur à se faire dépanner à cause de virus et bien sûr « passer à la caisse » (téléphone surtaxé, payer pour le logiciel miracle,…)

Dans le deuxième site, il s’agissait d ‘inciter à la visite de sites pornographiques.

Serais-je le vilain canard qui se serait fait piraté son mot de passe?

Il s’avère que bien que complexe, mon mot de passe était commun à ces 3 sites.
J’avais, comme nous tous, entendu qu’il fallait avoir des mots de passe complexes, et, qui plus est, différents d’un site à l’autre. Mais je ne sais si c’est l’origine de mes déboires!

En tout cas, je me propose ci-après de vous rappeler quelques précautions à prendre.

En effet, à postériori, j’ai l’impression que j’aurais pu faire preuve de davantage de précautions (simples) , ce qui m’aurait simplifié la vie pour faire face à ce piratage.

En fait sur handisport35.org, j’ai eu la chance qu’un de nos visiteurs  (un sportif du Handisport Rennes Club) m’a alerté du problème après que nous lui ayons diffusé notre newsletter périodique. Cette alerte a eu lieu moins d’une semaine après le piratage.

J’ai ainsi pu restituer une sauvegarde de la base de données via l’interface d’administration d’OVH.

En conclusion,j’émets quelques recommandations qui vont suivre pour se préparer au mieux. Certaines pourront sembler évidentes, mais chacun sait que nous pratiquons tous la procrastination!

Prévenir le piratage en renforçant la sécurité

1 – Installer l’extension  Wordfence (plus de 100 000 téléchargements) , elle donne de bonnes garanties:

• permet d’installer un Firewall
• une analyse automatique et périodique des fichiers du site pour détecter les virus
• envoi de mail à l’administrateur dès que quelqu’un se connecte à l’interface d’administration du site WordPress.

 2 – Se forcer à choisir des mots de passe complexes pour se connecter à l’interface d’administration de WordPress. C’est encore plus vrai pour interface OVH.

éviter handisportxx !

3 – Ne pas prendre le même mot de passe sur plusieurs sites, quand bien même on a choisi un mot de passe robuste .

Pour le moins, adopter cette conduite au niveau professionnel sur les sites dont est responsable. Ne pas utiliser un mot de passe perso sur un site pro!

Se préparer au mieux à la restauration de son site en cas de piratage

1- Visiter son site au moins chaque semaine pour s’assurer qu’il n’est pas piraté

• de fait, on pourra en cas de besoin restituer facilement sa sauvegarde que l’on a pas manqué de faire (cf ci-après)
• on minimise l’impact (mauvaise image de marque sur le visiteur) car on aura laissé le site « en désordre » pas trop longtemps car c’est sûr: on va savoir pallier au piratage!

2- S’obliger à faire soit même périodiquement ses sauvegardes de site au niveau de l’hébergeur, le faire mensuellement parait une bonne stratégie (pas trop chronophage)

• En effet, l’hébergeur fait automatiquement les sauvegardes de la base de données sur une fenêtre glissante, mais uniquement sur une profondeur d’une semaine.
  Que se passerait il si vous vous rendez compte 15 jours plus tard que votre site a été piraté? Vous restituriez alors la sauvegarde d’un site piraté !
• Solution: pour OVH, il est possible lorsque l’on restitue une sauvegarde de choisir parmi celle de l’hébergeur ou parmi celles que vous avez vous même effectuées

3 – S’obliger à faire des sauvegardes au niveau WordPress: pour ce faire utiliser l’extension BackWPup (base de données + fichiers + médias)

• programmation périodique possible, chaque semaine par exemple. Penser à faire le ménage ultérieurement car des sauvegardes en grand nombre prennent de la place et, à terme, risquent de saturer son espace disque disponible.
• Attention la version gratuite de cette extension ne permet pas de rapatrier ses sauvegardes ! N’ayant jamais essayé de le faire, j’avais comme un doute à chaque fois que j’y pensai, mais aujourd’hui, je confirme! Notez que la version payante (qui fait le rapatriement, mais que je n’ai pas acheté) vaut plus de 100$!
• rapatrier périodiquement le fichier sauvegardé par  BackWPup sur son PC (Ce peut être sous la forme d’un fichier zip).
  A noter que, une fois le fichier de sauvegarde BackWPup rapatrié et dézippé, on peut facilement se déplacer dans l’arborescence du site (qui a été intégralement sauvé) et ainsi se rassurer en vérifiant que toutes les données sont là. Par exemple, on peut trouver, dans le répertoire wp_content/uploads, les médias rangés par année et par mois.

Que faire en cas de piratage?

Le Jour J où l’on constate que le site est piraté

• Confirmer qu’il s’agit bien d’un piratage: essayer sur plusieurs navigateurs (Chrome, Firefox pour ne citer qu’eux), essayer sur les PCs des collègues, appréhender si le comportement est le même sur PC et mobile.
• Voir si la même chose n’est pas arrivée aux collègues des autres départements en visitant leur site
• Google a peut être entendu parler de web masters qui auraient eu le même problèmes que vous et qui auraient trouvé des solutions simples?

S’il s’agit bien d’un piratage et que vous décidez d’y faire face par vos propres moyens, deux solutions sont possibles en privilégiant la première qui est très facile à appliquer:

1- restaurer la base de données qui convient  via l’interface OVH

Simple et souvent très efficace (ça peut suffire!)

2 – restaurer le site sur la base d’une sauvegarde de BackWPup

• On achète la version payante de BackWPup, on croise les doigts, mais il aurait mieux valu faire des tests avant!
• On « upload » manuellement l’arborescence du site à partir du fichier dézippé avec un client ftp (ex Filezilla client)
  C’est théoriquement possible. Je l’ai déjà déjà fait et réussi, mais dans la pratique, c’est aventureux:
  • le nombre de fichiers est gigantesque (plusieurs 100 aine de milliers), et ça prend plusieurs heures sans garantie de résultat.
    D’autant plus qu’un site peut quelquefois ressembler à un capharnahüm (cf § « Opter pour un fonctionnement au quotidien … » ci-après).
  • quelques fois ça plante en cours de route (interruptions de la liaison internet, des fichiers ne sont pas acceptés, des alarmes (en anglais technique) défilent en rouge que l’on a pas le temps de lire en temps réel, on ne les comprend pas, et j’en passe des meilleures!

Opter pour un fonctionnement au quotidien qui vous assure d’avoir un site web « propre » et plus facile à restaurer, c’est à dire:

• un site qui ne contient que le nécessaire et qui est le moins volumineux possible, et donc simple à manipuler lors d’une restauration (d’autant plus pertinent dans le mode upload de sauvegardes BackupWP du site à partir de son PC), ceci en faisant le ménage de ce qui ne sert plus:
  •  dans les Médias
    – Eviter X versions de la même image, un album de 36000 photos qui n’intéressent personne, idem pour les vidéos.
    – De toute façon, il aurait été préférable de mettre ce type de médias ailleurs  que sur le site => ex: vidéos sur Youtube, albums photos sur Facebook )
  • toutes ces extensions qui sont installées et qui ne servent plus.

La version 2.2.7 du constructeur de page ELEMENTOR est maintenant compatible avec le thème de nos sites handisport (shape5_vertex) et ses fonctions sont maintenant beaucoup plus évoluées. A tester pour votre confort !

Vous pouvez donc oublier le précédent article sur Elementor qui recommandait de ne pas faire la mise à jour

S’il s’avérait que vous rencontriez des problèmes avec cette nouvelle version, ou tout simplement l’envie de revenir en arrière. Alors, désintaller la version 2.2.7 et réinstaller Elementor à partir du fichier zip version 1.4.8