Sécurité : que faire quand votre Wordpress s'est fait hacker ? Réinstallez votre environnement Wordpress
Il est maintenant temps pour vous de réinstaller votre blog. Téléchargez la dernière version de Wordpress, et déployez la sur votre machine locale. Téléchargez ensuite le thème que vous utilisiez et vos plugins favoris. Ou mieux, migrez sur Wordpress.com, je ne le répéterai jamais assez.
Répétez à présent les étapes précédentes, afin de vous assurez que rien de ce que vous venez d'installer n'a été corrompu.
Vous êtes presque prêt à remettre votre site en ligne. Il ne vous reste qu'une chose à vérifier : en plus du code infectant votre système, certains malwares vont télécharger leur propre code sur Internet. En PHP, cela se fait en utilisant la fonction fopen, associée à une URL.
Dans votre terminal lancez la commande suivante :
$ find ./wp-content -type f -name "*.php" | xargs grep fopen
Si vous ne trouvez rien dans votre thème ou vos plugins, c'est que vous devez être à peu près propre.
Sécurisez un peu votre installation
Cette dernière partie s'adresse plus particulièrement aux personnes ayant la main sur la configuration de leur serveur, même si certains conseils sont applicables par tout le monde.
Utilisez les permissions les plus restrictives
Dans la très grande majorité des cas, votre Wordpress n'aura pas besoin des droits en écriture ni sur les fichiers, ni sur les répertoires. Commencez par supprimer les droits en écriture sur l'ensemble de votre Wordpress, vous rétablirez les droits nécessaires après au cas par cas.
$ find . -type d -exec chmod 550 '{}' \;
$ find . -type d -exec chmod 440 '{}' \;
Rétablissez ensuite les droits en écriture dans le répertoire des images et dans celui des plugins en ayant spécifiquement besoin, à commencer par wp-supercache.
Désactivez les .htaccess
Si vous avez la main sur la configuration de votre Apache, ajoutez la directive suivante dans votre vhost:
AllowOverride none
Cela vous obligera à y déplacer tout le contenu de votre .htaccess puisque celui-ci ne sera plus supporté, mais en contrepartie, vous vous prémunirez contre les infections par .htaccess.
Il y a un autre intérêt à désactiver le support des .htaccess : les performances. Vous éviterez à Apache de faire un scan de tous les sous répertoires auxquels ils s'appliquent chaque fois qu'un de vos visiteurs veut accéder à une de vos pages.
Désactivez l'URL fopen
Il ne vous reste plus qu'une chose à faire : désactiver le téléchargement de fichiers distants depuis votre Wordpress. Pour cela, éditez le fichier /etc/php.ini, et remplacez :
allow_url_fopen = On
Par
Puis redémarrez votre Apache.
Et voilà, c'est à peu près tout pour aujourd'hui. Évidemment, la meilleure manière de se prémunir des dangers de Wordpress, c'est encore de ne pas utiliser Wordpress, mais cela ne résoudra pas vos problèmes. Rappelez-vous juste que l'administration système est un vrai métier, et qu'en gérant vous-même l'hébergement de votre Wordpress (même sur des pages perso Free ou un serveur mutualisé OVH), vous êtes responsable de ce qu'il vous arrive. Même si elle peut paraître moins souple, la solution Wordpress.com est peut-être pour vous la meilleure manière de dormir sur vos deux oreilles.