Purification d’un site hacké

Pour débuter

Mettre le site hacké sur nos serveurs.
Lancer ImunifyAV pour trouver de potentiels fichiers inféctés.
Récupérer le dossier httpdocs sur son ordinateur.
Renommer le dossier httpdocs sur le serveur pour bloquer l’accès.
Ouvrir une fenêtre FTP.

Les actions

Télécharger une version de Wordpress équivalente à celle du site hacké.
Sur le site hacké, supprimer tous les fichiers et dossiers à l’exception du fichier wp-config.php et du dossier wp-content.
Analyser le fichier wp-config.php et rentrer de nouvelles clés de salage.
Renvoyer les fichiers supprimés depuis le WP sain.

Dans wp-content

Dans ce dossier, analyser le dossier languages si quelque chose semble étrange, puis le supprimer.

Le dossier plugins

Vérifier chaque plugin, ils doivent en globalité avoir un fichier php du même nom que le plugin.
En cas de fichier suspect : l’analyser.
En cas de besoin, il y à probablement une version saine du fichier sur GitHub.

Le dossier uploads

Sur l’explorateur Windows, effectuer une recherche comme ceci *.php pour trouver une trace d’un fichier hack dans le dossier.

Finalisation

Une fois les vérifications terminées, relancer ImmunifyAV.
Si il existe toujours une menace, répéter le process.
Sinon, faire une sauvegarde du site et renommer le dossier httpdocs.

Pour débuter​

Les actions​

Dans wp-content​

Le dossier plugins​

Le dossier uploads​