Identifier la faille

Étant donné que plusieurs piratages indépendants peuvent avoir lieu en même temps, même si vous parvenez à trouver et à réparer une faille, nous vous recommandons de continuer à en chercher d'autres. Commencez par consulter les principales méthodes de piratage des sites Web par les spammeurs.

Vous aurez besoin :

  • d'un accès aux serveurs de votre site (Web, base de données, fichiers) en tant qu'administrateur de l'interface et du terminal ;
  • d'une bonne connaissance des commandes de l'interface et du terminal ;
  • d'une bonne compréhension des codes (tels que PHP ou JavaScript) ;
  • de la possibilité d'exécuter deux antivirus.

Actions suivantes :

Nous évoquerons plusieurs manières courantes de pirater un site. L'une de ces failles s'applique peut-être à votre site ou vous permettra éventuellement de découvrir d'autres possibilités.

Sachez que les détecteurs de failles diffèrent des détecteurs de virus. Les détecteurs de failles peuvent être beaucoup plus invasifs et ont plus de chance de causer des dommages indésirables sur votre site. Veuillez suivre toutes les instructions, telles que celles concernant la sauvegarde de votre site, avant de lancer le détecteur.

Les éventuelles failles à rechercher comprennent :

1. L'infection par un virus de l'ordinateur de l'administrateur

Le pirate informatique peut avoir installé des logiciels espions pour enregistrer les frappes de l'administrateur du site.

  • Recherchez les virus sur les systèmes de l'administrateur. Nous vous recommandons d'utiliser plusieurs logiciels antivirus fiables sur tous les ordinateurs utilisés par un administrateur pour se connecter au site. Étant donné que les logiciels malveillants sont revus en permanence pour échapper aux détecteurs, cette action ne constitue pas une méthode infaillible de détection de virus. Les logiciels antivirus peuvent afficher des faux positifs. En utilisant plusieurs logiciels de ce type, vous obtiendrez des points de données supplémentaires pour déterminer l'existence d'une faille. Pour plus de sûreté, vous devriez également envisager de scanner votre serveur Web ainsi que tous les appareils utilisés pour effectuer des mises à jour ou publier des contenus sur le site.
    • Si le logiciel antivirus détecte un logiciel espion, un virus, un cheval de Troie ou tout autre programme suspect, examinez les journaux du serveur du site à la recherche d'activités effectuées par l'administrateur qui possède l'ordinateur infecté.
    • Les fichiers journaux peuvent avoir été modifiés par le pirate informatique. Si ce n'est pas le cas, établir un lien entre le nom d'administrateur et des commandes suspectes dans le fichier journal apporte également une preuve que la présence d'un virus dans le système d'un administrateur a pu rendre le site vulnérable.

2. Mots de passe faibles ou réutilisés

Pirater un mot de passe faible peut être relativement facile pour des pirates informatiques, et leur donne un accès direct à votre serveur. Les mots de passe efficaces présentent une combinaison de lettres et de chiffres, de ponctuation et une absence de mots ou de termes familiers qui peuvent se retrouver dans un dictionnaire. Les mots de passe ne doivent être utilisés que pour une seule application et non réutilisés sur le Web. Lorsque les mots de passe sont réutilisés, il suffit d'une seule faille de sécurité sur une seule application pour qu'un pirate informatique puisse trouver l'identifiant et le mot de passe, puis tenter de les utiliser ailleurs.

  • Dans le journal du serveur, vérifiez la présence d'activités indésirables, telles que plusieurs tentatives de connexion de la part d'un administrateur ou un administrateur exécutant plusieurs commandes inattendues. Prenez note du moment où l'activité suspecte est survenue. Savoir à quel moment s'est produit le premier piratage peut vous aider à déterminer quelles sont les sauvegardes saines.

3. Logiciel obsolète

Vérifiez que vos serveurs utilisent les dernières versions du système d'exploitation, du système de gestion de contenu, de la plate-forme de blog, des applications, des plug-ins, etc.

  • Passez en revue (éventuellement via une recherche sur le Web) tous les logiciels installés pour déterminer si votre version contient un avertissement de sécurité. Si c'est le cas, il est fort possible que la présence de logiciels obsolètes ait rendu votre site vulnérable.
  • La bonne pratique consiste à faire en sorte que les logiciels présents sur vos serveurs soient toujours à jour, que des logiciels obsolètes aient rendu votre site vulnérable ou non cette fois-ci.

4. Pratiques de codage permissives, telles que des URL de redirection ouvertes et des injections SQL

  • URL de redirections ouvertes
  • Les URL de redirection ouvertes sont codées pour permettre d'ajouter une autre URL à la structure. Les internautes peuvent ainsi accéder à un fichier ou à une page Web utiles sur le site. Par exemple :

    http://example.com/page.php?url=http://example.com/good-file.pdf
    Les pirates informatiques peuvent détourner les URL de redirection ouvertes d'un site en y ajoutant leur page contenant du spam ou un logiciel malveillant. En voici un exemple :
    http://example.com/page.php?url=<malware-attack-site>

    • Si votre site est détourné par l'utilisation d'URL de redirection ouvertes, vous avez probablement constaté que le message de la Search Console fournit des exemples d'URL comportant des URL de redirection ouvertes vers un emplacement indésirable.
    • Pour éviter les URL de redirection ouvertes à l'avenir, vérifiez que la case "Autoriser les URL de redirection ouvertes" est cochée par défaut dans votre logiciel, que votre code interdit les URL de redirection hors domaine ou que vous pouvez signer l'URL de redirection, afin que seules celles contenant des URL hachées correctement et comportant la signature cryptographique puissent être redirigées.
  • Injections SQL
  • Les injections SQL se produisent lorsqu'un pirate informatique est en mesure d'ajouter des commandes malveillantes aux champs de saisie de l'internaute exécutés par votre base de données. Les injections SQL mettent à jour les enregistrements de votre base de données avec du contenu de type spam ou des logiciels malveillants indésirables, ou divulguent des données importantes au pirate informatique. Si votre site utilise une base de données, et en particulier si vous avez été infecté par le type de logiciel malveillant Injection SQL, il est possible que votre site ait été piraté par une injection SQL.

    • Connectez-vous au serveur de la base de données et recherchez du contenu suspect dans la base de données, comme des champs de texte auparavant ordinaires, pour lesquels s'affichent désormais des iFrame ou des scripts.
    • Pour les valeurs suspectes, vérifiez que la saisie de l'internaute est validée, correctement échappée ou même fortement typée, de sorte qu'elle ne puisse pas être exécutée en tant que code. Si la saisie de l'internaute n'est pas vérifiée avant d'être traitée par la base de données, il se peut que votre site ait été rendu vulnérable par une injection SQL.

Étape suivante

L'étape suivante du processus consiste à nettoyer votre site et à en assurer la maintenance.