Nettoyer votre site et en assurer la maintenance

Pour garder votre site propre et éviter tout piratage à l'avenir, vous avez besoin des éléments suivants:

  • Accès administrateur de l'interface système ou du terminal aux serveurs de votre site: Web, base de données, fichiers
  • Connaissance des commandes de shell ou de terminal
  • d'une bonne compréhension des codes (tels que PHP ou JavaScript) ;
  • Stockage pour créer des sauvegardes de votre site, y compris les fichiers, la base de données et les images

Étapes suivantes

Nous aborderons les points suivants lors de cette étape :

  • Où trouver des ressources supplémentaires si vous pensez que le pirate informatique avait l'intention d'obtenir des informations personnelles des utilisateurs (par exemple, avec des pages d'hameçonnage)
  • La possibilité d'utiliser l'option Supprimer des URL dans la Search Console pour accélérer la suppression des nouvelles URL indésirables et visibles par les internautes créées par le pirate informatique et que vous ne souhaitez pas voir s'afficher dans les résultats de recherche Google.
  • L'option Demander à Google d'explorer à nouveau vos URL dans la Search Console permet d'accélérer le traitement par Google des pages propres (c'est-à-dire les pages nouvelles ou récemment mises à jour) que vous souhaitez afficher dans les résultats de recherche Google.
  • Installation de la dernière version la plus sécurisée du logiciel.
  • Suppression des applications ou des plug-ins inutiles ou inutilisés qui pourraient rendre votre site plus vulnérable à l'avenir.
  • Restauration du contenu correct et suppression du contenu du pirate informatique.
  • Corriger la cause fondamentale de la faille exploitée par le pirate informatique.
  • Modifier tous les mots de passe.
  • Planifier la sécurité de votre site.

1. Trouver des ressources d'assistance

Si des informations utilisateur confidentielles ont été obtenues sur votre site (par exemple, dans le cadre d'une attaque par hameçonnage), vous pouvez envisager de prendre en compte les responsabilités commerciales, réglementaires ou légales avant de commencer à nettoyer votre site ou à supprimer des fichiers. En cas d'hameçonnage, antiphishing.org propose des ressources utiles, comme le document Que faire si votre site a été piraté par des pirates informatiques.

2. Envisager d'accélérer la suppression des URL créées par le pirate informatique

Si le pirate informatique a créé des URL entièrement nouvelles visibles par les utilisateurs, vous pouvez les supprimer plus rapidement des résultats de recherche Google à l'aide de la fonctionnalité Supprimer des URL de la Search Console. Cette étape est facultative. Si vous vous contentez de supprimer les pages, puis de configurer votre serveur pour qu'il renvoie un code d'état 404, les pages disparaîtront naturellement petit à petit de l'index Google.

  • La décision d'utiliser la suppression d'URL dépendra probablement du nombre de nouvelles pages indésirables créées (un trop grand nombre de pages peut être difficile à inclure dans la suppression d'URL), ainsi que des dommages potentiels que ces pages pourraient causer aux utilisateurs. Pour que les pages envoyées via la suppression d'URL ne s'affichent jamais dans les résultats de recherche, assurez-vous qu'elles sont également configurées pour renvoyer une réponse 404 "Fichier introuvable" pour les URL indésirables et supprimées.
  • N'utilisez pas cet outil pour demander la suppression de pages qui étaient auparavant correctes, mais qui ont été endommagées par le pirate informatique. Vous souhaitez que ces pages apparaissent dans les résultats de recherche une fois nettoyées. La suppression d'URL ne concerne que les pages que vous ne souhaitez jamais voir apparaître dans les résultats.

3. Envisager d'accélérer le traitement par nos services de vos pages non infectées

Si vous avez des pages propres nouvelles ou mises à jour, vous pouvez demander à Google d'explorer de nouveau vos URL dans la Search Console afin de les envoyer à l'index de Google. Cette étape est facultative. Si vous l'ignorez, vos pages nouvelles ou modifiées seront probablement explorées et traitées avec le temps.

4. Commencer le nettoyage de votre/vos serveur(s)

Il est maintenant temps de commencer à nettoyer votre site en vous appuyant sur les notes que vous avez prises lors des étapes Évaluer les dégâts et Identifier la faille. La procédure à suivre à cette étape dépend du type de sauvegarde dont vous disposez:

  • Sauvegarde non infectée et actualisée
  • Sauvegarde non infectée, mais obsolète
  • Pas de sauvegarde disponible

Tout d'abord, vérifiez que votre sauvegarde a été créée avant le piratage de votre site.

Sauvegarde non infectée et actualisée

  1. Restaurez votre sauvegarde.
  2. Installez toutes les mises à jour et tous les correctifs logiciels disponibles. Cela inclut les logiciels pour l'OS si vous contrôlez le serveur, ainsi que toutes les applications, telles que le système de gestion de contenu, la plate-forme d'e-commerce, les plug-ins ou les modèles.
  3. Envisagez de supprimer de votre serveur les logiciels que le site n'utilise plus (widgets, plug-ins ou applications, par exemple) .
  4. Corrigez la faille.
  5. Assurez-vous que tous les problèmes détectés lors de l'étape Évaluer les dommages sont résolus.
  6. Modifiez les mots de passe une nouvelle fois pour tous les comptes liés au site (par exemple, les identifiants pour l'accès FTP, l'accès à la base de données, les administrateurs système et les comptes CMS). Pour les systèmes d'exploitation Unix :
passwd admin1

Sauvegarde non infectée, mais obsolète

  1. Créez une image disque de votre site actuel, même s'il est toujours infecté. Il ne s'agit que d'une copie de sûreté. Marquez la copie comme infectée pour la distinguer des autres. Sur un système d'exploitation Unix, la création d'une image disque peut se faire de la manière suivante :
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. Créez une copie du système de fichiers de sauvegarde de votre serveur, y compris des images et des fichiers multimédias. Si vous possédez une base de données, sauvegardez-la également.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. Restaurez la sauvegarde non infectée, mais obsolète sur votre serveur.
  2. Demandez-vous si vous pouvez supprimer des logiciels de votre serveur (widgets, plug-ins ou applications, par exemple) que le site n'utilise plus.
  3. Mettez à niveau tous les logiciels, y compris le système d'exploitation si vous contrôlez le serveur, et toutes les applications logicielles, telles que le système de gestion de contenu, la plate-forme d'e-commerce, les plug-ins et les modèles. Vérifiez et installez les mises à jour de sécurité et les correctifs disponibles.
  4. Corrigez la faille.
  5. Effectuez une diff de site manuellement ou de manière automatisée entre la sauvegarde propre et la copie infectée actuelle.
diff -qr www/ backups/full-backup-20120124/
  1. Importez tout nouveau contenu propre que vous souhaitez conserver à partir de la copie infectée sur le serveur mis à niveau.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. Vérifiez que chaque URL listée dans la section Évaluer les dommages a été corrigée.
  2. Modifiez à nouveau les mots de passe de tous les comptes liés au site (par exemple, les identifiants pour l'accès au FTP, l'accès à la base de données, les administrateurs système et les comptes CMS). Pour les systèmes d'exploitation Unix :
$passwd admin1

Pas de sauvegarde disponible

Créez deux sauvegardes de votre site, même s'il est toujours infecté. Une sauvegarde supplémentaire vous aidera à récupérer du contenu supprimé par accident ou à revenir en arrière et à réessayer si les choses tournent mal. Ajoutez un libellé "infecté" à chaque sauvegarde pour vous en rappeler.

L'une de vos sauvegardes doit être une image disque ou une "version clonée" de votre site. Ce format facilite encore plus la restauration des contenus. Vous pouvez laisser l'image de disque de côté en cas d'urgence. Sur un système Unix, utilisez le code suivant pour créer une image de disque:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

L'autre sauvegarde sera une copie du système de fichiers de votre serveur, y compris des images et des fichiers multimédias. Si vous disposez d'une base de données, sauvegardez-la également.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

Si vous ne disposez pas d'image de disque, effectuez deux sauvegardes de la base de données et deux sauvegardes du système de fichiers.

Pour nettoyer le contenu du site sur la nouvelle copie du système de fichiers de sauvegarde (et non sur le serveur lui-même), procédez comme suit:

  1. Si votre examen précédent a révélé des autorisations de fichier trop laxistes, corrigez-les. Veillez à le faire sur la copie de sauvegarde, et non sur le serveur lui-même.
  2. Sur la copie de sauvegarde, nettoyez également tous les fichiers correspondant aux URL identifiées comme compromises dans Évaluer les dégâts. Il peut s'agir de fichiers de configuration du serveur, de JavaScript, de HTML ou de PHP.
  3. Veillez également à supprimer (afficher une réponse 404) pour les nouveaux fichiers créés par le pirate informatique, que vous avez peut-être envoyés à l'aide de l'outil de suppression d'URL de la Search Console.
  4. Si la faille réside dans votre code ou dans des mots de passe piratés, corrigez-la. Des bibliothèques de validation ou des audits de sécurité récupérés peuvent vous servir.
  5. Si votre site dispose d'une base de données, commencez par nettoyer les enregistrements modifiés par le pirate informatique dans votre sauvegarde. Juste avant de penser que vous avez terminé, vérifiez un plus grand nombre d'enregistrements pour vous assurer que la base de données est propre.
  6. Modifiez à nouveau les mots de passe de tous les comptes associés au site (par exemple, les identifiants pour l'accès FTP, l'accès à la base de données, les administrateurs système et les comptes CMS). Sur les systèmes Unix, utilisez le code suivant:
$passwd admin1

À ce stade, la copie de sauvegarde de votre site, qui était infectée, ne doit contenir que des données propres. Mettez cette copie non infectée de côté et passez à l'action nº 5.

5. Supprimer les logiciels inutiles

Demandez-vous si vous pouvez supprimer des logiciels de votre serveur, tels que des widgets, des plug-ins ou des applications, que le site n'utilise plus. Cela peut renforcer la sécurité et simplifier la maintenance future.

6. Nettoyer tous les serveurs

  1. Effectuez une installation non infectée et non une simple mise à jour. Les mises à niveau peuvent laisser des fichiers d'une version précédente. Si un fichier infecté reste sur le serveur, votre site risque d'être à nouveau piraté.
    • La nouvelle installation doit inclure le système d'exploitation si vous contrôlez le serveur, ainsi que toutes les applications logicielles, telles que le système de gestion de contenu, la plate-forme d'e-commerce, les plug-ins et les modèles. Veillez à rechercher les mises à jour et correctifs de sécurité disponibles.
  2. Transférez le contenu valide de la copie du système de fichiers de sauvegarde propre vers le ou les serveurs nouvellement installés. Importez et restaurez uniquement les fichiers ou la base de données propres connus. Veillez à conserver les autorisations de fichier appropriées et à ne pas écraser les fichiers système fraîchement installés.
  3. Modifiez une dernière fois les mots de passe de tous les comptes associés au site (par exemple, les identifiants pour l'accès FTP, l'accès à la base de données, les administrateurs système et les comptes CMS). Sur les systèmes Unix, utilisez le code suivant:
passwd admin1

7. Créer un plan de maintenance à long terme

Nous vous recommandons vivement de procéder comme suit:

  • Effectuez régulièrement des sauvegardes automatiques de votre site.
  • Assurez-vous que vos logiciels sont toujours à jour.
  • Familiarisez-vous avec les pratiques de sécurité de toutes les applications, plug-ins et autres logiciels tiers avant de les installer sur votre serveur. Une faille de sécurité dans une application logicielle peut affecter la sécurité de l'ensemble de votre site.
  • Appliquez des règles strictes de création de mots de passe.
  • Assurez la sécurité de tous les appareils utilisés pour se connecter à la machine (système d'exploitation et navigateur mis à jour).

8. Vérifier à nouveau que le nettoyage est terminé

Vous devez pouvoir répondre "oui" aux questions suivantes :

  • Ai-je pris les mesures appropriées si le pirate informatique a obtenu des informations personnelles des utilisateurs ?
  • Mon site utilise-t-il les versions les plus récentes et les plus sécurisées des logiciels ?
  • Ai-je supprimé toutes les applications ou tous les plug-ins inutiles ou inutilisés qui pourraient rendre mon site plus vulnérable à l'avenir ?
  • Ai-je restauré mon contenu et éliminé celui du pirate informatique ?
  • Ai-je corrigé la faille initiale qui a permis le piratage de mon site ?
  • Ai-je un plan pour assurer la sécurité de mon site ?

Vous pouvez à présent remettre votre site en ligne.