Nos confrères de MalwareCity ont publié un article fournissant différents conseils afin de contrer le piratage de blogs, voici l’article en question cité de MalwareCity:
Le blogging est l’une des formes d’expression écrite les plus prisée sur le web, qu’il s’agisse d’un usage personnel ou professionnel.
La popularité du blogging a également été alimentée par l’émergence d’outils comme Blogspot® and WordPress®, deux acteurs majeurs des plateformes de développement dans le domaine. Les bloggeurs qui optent pour un compte gratuit sur les plateformes Blogger™ ou WordPress® bénéficient par la même des services de maintenance et de support de ces prestataires. Cela signifie que les versions du CMS sont automatiquement mises à jour au niveau du client, ainsi que tous les correctifs et autres mises à niveau des serveurs. C’est pourquoi la plupart des incidents de sécurité et de piratage de blogs sont généralement recensés sur les blogs auto-hébergés. Ces blogs sont plus susceptibles de fonctionner avec des versions obsolètes du CMS pouvant contenir différentes failles ou s’appuyant sur des serveurs mal configurés. Peut-être êtes vous d’ailleurs tombé sur cet article car votre blog n’est pas dans sa plus grande forme ? Rassurez-vous, être piraté ne signe pas la fin du monde même si la restauration de votre blog une fois qu’il a été piraté peut s’avérer relativement laborieuse. Pour faire court, plus vite vous identifiez et colmatez les brèches, moins votre blog sera endommagé. Nous vous proposons un aperçu rapide des principales actions à mettre en œuvre sans tarder dès que vous constatez des anomalies dans le fonctionnement de votre blog 1. Dès que vous constatez que quelque chose ne tourne pas rond sur votre blog, suspendez sa mise en ligne pour éviter à vos lecteurs d’être exposés à de potentiels malwares. Cette action doit également permettre d’arrêter l’indexation de votre site par les moteurs de recherche cela vous évitera bien des complications par la suite. Si ces derniers identifient que votre blog héberge des malwares ou redirige les internautes vers des pages suspectes, il sera tagué comme dangereux et donc déréférencé dans les résultats de recherche. 2. Vous pouvez empêcher l’accès à votre blog en plaçant un fichier .htaccess d’une ligne à la racine de votre blog. Ce fichier doit contenir la ligne « deny from all ». Si vous faites fonctionner votre blog sur une autre plateforme serveur qu’Apache, ou si vous n’avez pas accès au fichier .htaccess, vous pouvez couper votre blog en renommant le fichier index.php. en mettant à la place une fausse page «dummy » / une page blanche. Attention, ne laissez pas votre dossier racine sans page d’index, vous risquez de mettre en péril d’autres fichiers sur votre compte ftp. L’étape suivante consiste à faire une sauvegarde complète de votre dossier principal en utilisant soit une application de transfert FTP soit l’option de sauvegarde cPanel intégrée, si elle est disponible. Pensez à créer un dump SQL pour la base de données du blog. Après avoir effectué la sauvegarde, il est recommandé d’analyser les différents fichiers à l’aide de votre antivirus préféré, puisque certains scripts malveillants injectés par des cybercriminels peuvent êtres reconnus par les scanners antivirus. 3. Téléchargez vos logs d’accès depuis votre serveur Web et stockez-les dans un espace sécurisé. Cette opération doit être faite dans les plus brefs délais puisque la plupart des hébergeurs n’en disposent que de 12 à 24 heures. L’analyse des logs va vous aider à comprendre comment votre blog a été attaqué et ce que les pirates ont fait précisément pendant qu’ils en avaient le contrôle. L’identification de la vulnérabilité vous aidera également à sécuriser la faille et vous permettra de ne plus être victime de pirates utilisant la même technique. 4. Retirez les fichiers essentiels de la sauvegarde téléchargée. Par « essentiels », comprenez ceux qui ne pourront pas être à nouveau téléchargés et qui seront nécessaires pour une réinstallation. Vérifiez que vous avez retiré les plug-ins personalisés, les thèmes et les autres fichiers uploadés en tant que contenus : documents, images, etc. 5. Vous pouvez débuter l’inspection de tous les fichiers que vous avez extraits. Soyez à l’affût des bouts de codes suspects comme “eval(base64_decode(suivi d’une série de chiffres et de lettres illisibles) et de tous les scripts qui appellent des domaines que vous ne connaissez pas (comme < script src = » http://[domaine inconnu] / scriptname.php » > Sachez que l’obfuscation en Base64 est l’une des techniques préférées des cybercriminels pour rendre invisible les codes malicieux. Toutefois, cette technique est aussi utilisée par les créateurs de thèmes pour protéger leur copyright. Donc si vous trouvez des scripts cryptées en Base64, il ne s’agit pas forcément de code malveillant. Pour en être sûr, comparez l’original de votre thème à celui qui a été modifié, s’il n’y pas de code en Base64 dans la première version vous devriez les supprimer du fichier modifié. 6. Analysez toutes les tables de votre base de données et soyez attentif aux comptes Administrateur qui auraient pu être ajoutés directement dans la base de données. Si trouvez des comptes que vous n’avez pas crées, supprimez-les immédiatement. Passez également en revue les redirections javascript qui pourraient être infectées dans les posts du blog. Habituellement, les éditeurs WYSIWYG ne retirent pas le code JavaScript des articles, ce qui pourrait considérablement faciliter votre recherche. 7. Nettoyez complètement votre compte d’hébergement. Supprimer entièrement l’installation de votre blog et vérifiez que vous n’avez laissé aucun fichier inutile. Moins de fichier vous laisserez, plus sûr sera votre nettoyage. Assurez-vous que vous avez bien nettoyé votre base de données et restaurez la copie que vous avez vérifiée manuellement. 8. Téléchargez une version du CMS de votre blog depuis un site officiel et commencez à charger les fichiers sur le serveur. Vous pouvez comparer l’archive du hash MD5 à la version du script du site officiel. Il est fondamental d’utiliser la dernière version du CMS. Modifiez le fichier de configuration pour soit adapté à votre environnement de serveur web (utilisateur SQL, bases de données, mots de passe, chemin d’accès et le reste de vos paramètres). Portez une attention particulière à aux clés uniques d’authentification et de tout type de ‘sel’ (création de bit aléatoire dans les clés) et vérifiez bien que vous n’utilisez pas les valeurs par défaut. Notez que beaucoup de CMS payants peuvent être téléchargés à partir de sites « warez » qui craquent leur protection commerciale. Veuillez noter qu’utiliser une version piratée est très dangereuse, car ces versions contiennent souvent du code « bombe » (des backdoors) mis en place par celui qui a piraté le code original pour lui permettre de prendre le contrôle du site de sa future victime. 9. Vérifiez que tous les fichiers chargés ont les bons niveaux d’autorisation. N’accordez pas d’autorisations plus élevées que celles nécessaires pour faire fonctionner le script. Le paramétrage des fichiers et dossiers en CHMOD 777 peut permettre à un pirate d’écrire dans ces fichiers et donc d’y injecter des codes malicieux. En cas de doute, vérifiez la documentation fournie avec le CMS et référez-vous aux préconisations formulées par la communauté. Il est également recommandé de changer les identifiants Administrateur du blog et de vos accès FTP. Si possible, modifiez le nom par défaut de l’administrateur (‘Admin’) proposé par défaut et choisissez un autre plus difficile à deviner. 10. Videz le cache de votre navigateur et dirigez-le vers l’adresse de votre site Internet. Si tout va bien, vous devriez avoir un blog sain et opérationnel. Dans le cas contraire, vérifiez que le fichier .htaccess décrit à l’étape 1 a bien été supprimé ou écrasé. Recherchez votre blog sur Google en faisant une requête par le nom ou le titre et vérifiez les résultats de ces recherches. Cette précaution supplémentaire vous permet d’être certain(e) que votre blog est sain et exempt de scripts malveillants peuvent rediriger les internautes qui font des requêtes dans les moteurs de recherche vers des sites piratés. Si votre blog a été attaqué bien que vous ayez pris toutes les précautions nécessaires pour sécuriser vos fichiers et identifiants, vérifiez que votre serveur répond bien aux pré requis des scripts du blog. D’autres éléments peuvent également être mis en cause comme la mauvaise configuration d’un serveur, des logiciels serveurs vulnérables, des installations mal faites ou des plug-ins fragiles. Pour vous prémunir contre tout problème de piratage de votre blog, des précautions simples mais efficaces peuvent être suivies :
- N’utilisez que les scripts provenant des dépositaires officielles. Si l’éditeur les propose gratuitement en direct, pourquoi les télécharger ailleurs ? Evitez également les scripts piratés proposés par les services warez. Non seulement cette pratique est illégale, mais en plus, vous exposez votre site à des intrusions indésirables via les backdoors mises en place par l’outil pirate et sans doute l’intégralité du serveur Web. ,
- Ne polluez pas votre compte FTP avec des fichiers dont vous n’auriez pas besoin. Cela inclut les thèmes ou plugins que vous n’utilisez pas, mais que vous avez chargés pour les tester. Certains plugins ou thèmes peuvent êtres vulnérables aux attaques, donc moins vous en avez sur votre serveur, plus minces sont vos chances qu’ils soient piratés. Sans parler du fait que blog se chargera plus rapidement.
- N’utilisez pas plusieurs scripts sur la même URL. Autrement, vous offrez au pirate la possibilité de tirer profit des caractéristiques, par exemple, d’un formulaire d’ upload et de placer un fichier d’exploit dans votre compte, puis d’en faire usage pour prendre possession de votre blog. Si vous tenez à tester différents scripts, faites-le sur un serveur installé localement.
- Faites régulièrement des sauvegardes de votre base de données SQL, ou installez un plugin de sauvegarde pour s’en occuper. Il est préférable que ces sauvegardes vous soient envoyées par email ou hébergées sur un serveur FTP secondaire. N’utilisez jamais le même compte FTP pour héberger vos sauvegardes et votre blog, autrement le piratage de votre blog compromettrait également vos sauvegardes.
- Choisissez des mots de passe forts pour vos comptes ftp et vos identifiants administrateur. Ne communiquez jamais vos mots de passe à d’autres personnes, même lorsque vous faites appel à l’aide de la communauté. Pensez également à installer une solution complète de protection contre les malwares : de nombreux piratages de blog passent par l’interception de mots de passe et d’identifiants rendus possibles grâce à des keyloggers ou des Trojans qui surveillent le cache.
- Choisissez toujours un hébergeur de très bonne qualité. Sachez que les options payantes sont souvent bien meilleures que les gratuites. Vérifiez tout de même que vous dépensez votre argent efficacement : préférez les hébergeurs recommandés par le fournisseur de votre CMS. Assurez-vous que votre hébergeur propose des sauvegardes automatiques quotidiennes et des accès sécurisés.
(Article tiré de MalwareCity)