Nettoyer votre site et en assurer la maintenance

Pour préserver l'intégrité de votre site et empêcher tout piratage à l'avenir, vous aurez besoin des éléments suivants:

  • Accès administrateur de l'interface système ou du terminal aux serveurs de votre site: Web, base de données et fichiers
  • Vous connaissez les commandes de l'interface système ou du terminal.
  • d'une bonne compréhension des codes (tels que PHP ou JavaScript) ;
  • Espace de stockage permettant de créer des sauvegardes de votre site, y compris les fichiers, la base de données et les images

Actions suivantes

Nous aborderons les points suivants lors de cette étape :

  • Où trouver des ressources supplémentaires si vous pensez que le pirate informatique souhaitait obtenir des informations personnelles sur les utilisateurs (par exemple, avec des pages d'hameçonnage) ?
  • Vous pouvez utiliser l'option Supprimer des URL de la Search Console pour accélérer la suppression des nouvelles URL indésirables, visibles par les utilisateurs, créées par le pirate informatique et que vous ne souhaitez pas voir s'afficher dans les résultats de recherche Google.
  • L'option Demander à Google d'explorer de nouveau vos URL dans la Search Console afin d'accélérer le traitement par Google des pages non infectées, c'est-à-dire des pages nouvelles ou récemment mises à jour, que vous souhaitez voir figurer dans les résultats de recherche Google
  • l'installation de la version la plus récente et la plus sécurisée du logiciel ;
  • Suppression des applications ou des plug-ins inutiles ou inutilisés qui pourraient rendre votre site plus vulnérable à l'avenir.
  • Restauration du contenu non infecté et suppression du contenu injecté par le pirate informatique
  • Corriger la cause première de la faille exploitée par le pirate informatique.
  • Modification de tous les mots de passe...
  • Vous prévoyez d'assurer la sécurité de votre site.

1. Localiser les ressources d'assistance

Si des informations confidentielles d'utilisateurs ont été obtenues à partir de votre site (par exemple, parce qu'il faisait partie d'une attaque d'hameçonnage), vous devriez envisager toutes les responsabilités juridiques, réglementaires ou commerciales que cela implique avant de commencer à nettoyer votre site ou à supprimer des fichiers. Dans les cas d'hameçonnage, le site antiphishing.org comprend des ressources utiles telles que le document What to do if you your site has been hacked by phishers (Comment faire si votre site a été piraté par des hameçonneurs).

2. Envisager d'accélérer la suppression des URL créées par le pirate informatique

Si le pirate informatique a créé de nouvelles URL visibles par les utilisateurs, vous pouvez supprimer ces pages plus rapidement des résultats de recherche Google à l'aide de la fonctionnalité URL à supprimer de la Search Console. Cette étape est facultative. Si vous vous contentez de supprimer les pages, puis de configurer votre serveur pour qu'il renvoie un code d'état 404, les pages disparaîtront naturellement de l'index Google avec le temps.

  • La décision d'utiliser la fonctionnalité "Supprimer des URL" dépendra probablement du nombre de nouvelles pages indésirables créées (il peut être fastidieux d'inclure trop de pages dans la section "URL à supprimer"), ainsi que des dommages que ces pages pourraient causer aux internautes. Pour éviter que les pages soumises via la fonctionnalité "Suppression d'URL" n'apparaissent dans les résultats de recherche, assurez-vous qu'elles sont également configurées pour renvoyer une réponse 404 "Fichier introuvable" pour les URL indésirables et supprimées.
  • N'utilisez pas cet outil pour demander la suppression de pages dont l'intégrité a été précédemment endommagée par le pirate informatique. Vous voudrez que ces pages apparaissent dans les résultats de recherche après qu'elles ont été nettoyées. L'outil "Supprimer des URL" ne convient qu'aux pages que vous ne souhaitez jamais voir apparaître dans les résultats.

3. Envisager d'accélérer le traitement par nos services de vos pages non infectées

Si vous avez de nouvelles pages saines ou des pages saines mises à jour, vous pouvez demander à Google d'explorer de nouveau vos URL dans la Search Console pour envoyer ces pages à l'index Google. Cette étape est facultative. Si vous ignorez cette étape, vos pages nouvelles ou modifiées seront probablement explorées et traitées petit à petit.

4. Commencer le nettoyage de votre/vos serveur(s)

Il est maintenant temps de commencer à nettoyer votre site sur la base des notes que vous avez prises au cours des étapes Évaluer les dommages et Identifier la faille. La procédure à suivre au cours de cette étape dépend du type de sauvegarde dont vous disposez:

  • Sauvegarde non infectée et actualisée
  • Sauvegarde non infectée, mais obsolète
  • Pas de sauvegarde disponible

Tout d'abord, vérifiez que votre sauvegarde a été créée avant le piratage de votre site.

Sauvegarde non infectée et actualisée

  1. Restaurez votre sauvegarde.
  2. Installez toutes les mises à jour et tous les correctifs logiciels disponibles. Cela inclut les logiciels du système d'exploitation si vous avez le contrôle du serveur, ainsi que toutes les applications, telles que le système de gestion de contenu, la plate-forme d'e-commerce, les plug-ins ou les modèles.
  3. Envisagez de supprimer de votre serveur les logiciels que le site n'utilise plus (tels que les widgets, les plug-ins ou les applications) .
  4. Corrigez la faille.
  5. Assurez-vous que tous les problèmes rencontrés au cours de l'étape Évaluer les dommages sont résolus.
  6. Modifiez à nouveau les mots de passe pour tous les comptes liés au site (par exemple, les identifiants pour accéder au serveur FTP, à la base de données, pour les administrateurs système et pour les comptes CMS). Pour les systèmes d'exploitation Unix :
passwd admin1

Sauvegarde non infectée, mais obsolète

  1. Créez une image disque de votre site actuel, même s'il est toujours infecté. Il ne s'agit que d'une copie de sûreté. Marquez la copie comme infectée pour la distinguer des autres. Sur un système d'exploitation Unix, la création d'une image disque peut se faire de la manière suivante :
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. Créez une copie de sauvegarde du système de fichiers de votre serveur, y compris les images et les fichiers multimédias. Si vous possédez une base de données, sauvegardez-la également.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. Restaurez la sauvegarde non infectée, mais obsolète sur votre serveur.
  2. Déterminez si vous pouvez supprimer de votre serveur des logiciels (par exemple, des widgets, des plug-ins ou des applications) que le site n'utilise plus.
  3. Mettez à niveau tous les logiciels, y compris le système d'exploitation si vous avez le contrôle du serveur, et toutes les applications logicielles, telles que le système de gestion de contenu, la plate-forme d'e-commerce, les plug-ins et les modèles. Veillez à vérifier et installer les mises à jour de sécurité et les correctifs disponibles.
  4. Corrigez la faille.
  5. Effectuez un diff de site manuellement ou de manière automatisée, entre la sauvegarde non infectée et la copie actuellement infectée.
diff -qr www/ backups/full-backup-20120124/
  1. Importez tout nouveau contenu non infecté que vous souhaitez conserver de la copie infectée sur le serveur mis à niveau.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. Vérifiez que chaque URL listée au cours de l'étape Évaluer les dommages a été corrigée.
  2. Modifiez à nouveau les mots de passe de tous les comptes liés au site (par exemple, les identifiants pour accéder au serveur FTP, à la base de données, pour les administrateurs système et pour les comptes CMS). Pour les systèmes d'exploitation Unix :
$passwd admin1

Pas de sauvegarde disponible

Créez deux sauvegardes de votre site, même s'il est toujours infecté. Une sauvegarde supplémentaire vous aidera à récupérer le contenu supprimé accidentellement, ou vous permettra de revenir en arrière et de réessayer en cas de problème. Ajoutez un libellé "infecté" à chaque sauvegarde pour vous en rappeler.

L'une de vos sauvegardes doit être une image disque ou une "version clonée" de votre site. Ce format rend la restauration du contenu encore plus simple. Vous pouvez laisser l'image disque de côté pour une urgence. Sur un système d'exploitation Unix, utilisez le code suivant pour créer une image disque:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

L'autre sauvegarde doit être une copie du système de fichiers de votre serveur, qui comprend les fichiers image et multimédias. Si vous possédez une base de données, sauvegardez-la également.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

Si vous n'avez pas d'image disque, créez deux sauvegardes de la base de données et deux sauvegardes du système de fichiers.

Pour nettoyer le contenu du site sur la nouvelle copie de sauvegarde du système de fichiers (et non sur le serveur lui-même), procédez comme suit:

  1. Si, lors de votre examen préalable, vous avez trouvé des autorisations de fichiers trop permissives, corrigez-les. Assurez-vous de le faire sur la copie de sauvegarde, et non sur le serveur lui-même.
  2. Toujours sur la copie de sauvegarde, nettoyez tous les fichiers correspondant aux URL détectées comme compromises à l'étape Évaluer les dommages. Il peut s'agir de fichiers de configuration du serveur, de JavaScript, de HTML ou de PHP.
  3. Assurez-vous également de supprimer (en envoyant une réponse 404) les nouveaux fichiers créés par le pirate informatique, que vous avez peut-être envoyés ou non à l'aide de l'outil de suppression d'URL de la Search Console.
  4. Si la faille réside dans votre code ou dans des mots de passe piratés, corrigez-la. Des bibliothèques de validation ou des audits de sécurité récupérés peuvent vous servir.
  5. Si votre site possède une base de données, commencez à nettoyer les enregistrements modifiés par le pirate informatique dans votre sauvegarde. Avant de terminer, vérifiez d'autres enregistrements pour vous assurer que la base de données semble propre.
  6. Modifiez à nouveau les mots de passe de tous les comptes liés au site (par exemple, les identifiants pour accéder au serveur FTP, à la base de données, pour les administrateurs système et pour les comptes CMS). Pour les systèmes d'exploitation Unix, utilisez le code suivant:
$passwd admin1

À ce stade, la copie de sauvegarde autrefois infectée de votre site ne doit contenir que des données propres. Mettez cette copie non infectée de côté et passez à l'action nº 5.

5. Supprimer les logiciels inutiles

Déterminez si vous pouvez supprimer des logiciels de votre serveur, tels que des widgets, des plug-ins ou des applications, que le site n'utilise plus. Cela peut renforcer la sécurité et simplifier la maintenance future.

6. Nettoyer tous les serveurs

  1. Effectuez une installation non infectée et non une simple mise à jour. Les mises à niveau peuvent conserver des fichiers issus d'une version précédente. Si un fichier infecté reste sur le serveur, votre site risque davantage d'être piraté à nouveau.
    • La nouvelle installation doit inclure le système d'exploitation si vous avez le contrôle du serveur et de toutes les applications logicielles, telles que le système de gestion de contenu, la plate-forme d'e-commerce, les plug-ins et les modèles. Veillez à vérifier si des mises à jour de sécurité et des correctifs sont disponibles.
  2. Transférez le contenu non infecté de la copie de sauvegarde propre du système de fichiers vers le ou les serveurs récemment installés. Importez et restaurez uniquement les fichiers ou la base de données propres connus. Veillez à conserver les autorisations de fichier appropriées et à ne pas écraser les fichiers système nouvellement installés.
  3. Modifiez une dernière fois les mots de passe de tous les comptes liés au site (par exemple, identifiants pour accéder au serveur FTP, à la base de données, pour les administrateurs système et pour les comptes CMS). Pour les systèmes d'exploitation Unix, utilisez le code suivant:
passwd admin1

7. Créer un plan de maintenance à long terme

Nous vous recommandons vivement de procéder comme suit:

  • Effectuez régulièrement des sauvegardes automatiques de votre site.
  • Assurez-vous que vos logiciels sont toujours à jour.
  • Familiarisez-vous avec les pratiques de sécurité de l'ensemble des applications, plug-ins et autres logiciels tiers avant de les installer sur votre serveur. Une faille de sécurité dans une application logicielle peut affecter la sécurité de l'ensemble de votre site.
  • Appliquez des règles strictes de création de mots de passe.
  • Assurez la sécurité de tous les appareils utilisés pour se connecter à la machine (système d'exploitation et navigateur mis à jour).

8. Vérifier à nouveau que le nettoyage est terminé

Vous devez pouvoir répondre "oui" aux questions suivantes :

  • Ai-je pris les mesures appropriées si le pirate informatique a obtenu les informations personnelles des utilisateurs ?
  • Mon site utilise-t-il les versions les plus récentes et les plus sécurisées des logiciels ?
  • Ai-je supprimé toutes les applications ou tous les plug-ins inutiles ou inutilisés qui pourraient rendre mon site plus vulnérable à l'avenir ?
  • Ai-je restauré mon contenu et supprimé le contenu du pirate informatique ?
  • Ai-je corrigé la faille initiale qui a permis le piratage de mon site ?
  • Ai-je un plan pour assurer la sécurité de mon site ?

Vous pouvez maintenant remettre votre site en ligne.