Nettoyer votre site et en assurer la maintenance

Pour que votre site reste toujours sécurisé et éviter le piratage à l'avenir, vous devez disposer des éléments suivants:

  • Un accès administrateur shell ou de terminal aux serveurs de votre site: Web, base de données, fichiers
  • Vous connaissez les commandes du shell ou du terminal.
  • d'une bonne compréhension des codes (tels que PHP ou JavaScript) ;
  • pour créer des sauvegardes de votre site, y compris les fichiers, la base de données, et des images

Actions suivantes

Nous aborderons les points suivants lors de cette étape :

  • Où trouver des ressources supplémentaires si vous pensez que le pirate informatique souhaitait obtenir les données informations personnelles (par exemple, sur des pages d'hameçonnage).
  • La possibilité d'utiliser l'option Supprimer des URL dans la Search Console afin d'accélérer la suppression URL visibles par l'utilisateur créées par le pirate informatique et que vous ne souhaitez pas voir apparaître dans les résultats de recherche Google.
  • La possibilité de Demander à Google d'explorer de nouveau vos URL dans la Search Console afin d'accélérer le traitement par Google des pages non infectées. c'est-à-dire les pages nouvelles ou récemment mises à jour, dans les résultats de recherche Google.
  • L'installation de la version la plus récente et la plus sécurisée du logiciel
  • la suppression des applications ou des plug-ins inutiles ou inutilisés qui pourraient votre site sera plus vulnérable à l'avenir.
  • Restauration du contenu correct et suppression du contenu du pirate informatique.
  • Corriger la cause fondamentale de la faille exploitée par le pirate informatique.
  • Modifier tous les mots de passe.
  • Planifier la sécurité de votre site.

1. Trouver des ressources d'assistance

Si des informations confidentielles sur les utilisateurs ont été obtenues à partir de votre site (par exemple, parce qu'elle faisait partie d'une attaque de phishing), vous pouvez envisager vos responsabilités commerciales, réglementaires ou juridiques avant de commencer à nettoyer votre site ni supprimer des fichiers. Dans les cas d'hameçonnage, Le site antiphishing.org contient des ressources utiles telles que son document Que faire si votre site a été piraté par les hameçonneurs.

2. Envisager d'accélérer la suppression des URL créées par le pirate informatique

Si le pirate a créé de nouvelles URL visibles par l'utilisateur, vous pouvez pages supprimées plus rapidement des résultats de recherche Google grâce au URL à supprimer de la Search Console. Cette étape est facultative. Si vous supprimez uniquement les pages puis configurez votre serveur pour qu'il renvoie un code d'état 404 du code, les pages disparaîtront naturellement progressivement de l'index Google.

  • La décision d'utiliser l'outil "Suppression d'URL" dépendra probablement du nombre des pages indésirables créées (trop de pages peuvent être fastidieuses à inclure dans supprimer des URL), ainsi que les dommages que ces pages pourraient causer aux internautes. Pour éviter que les pages envoyées via l'outil "Suppression d'URL" n'apparaissent dans dans les résultats de recherche, assurez-vous que les pages sont également configurées pour renvoyer une erreur 404 Réponse "Fichier introuvable" pour les URL indésirables et supprimées.
  • N'utilisez pas cet outil pour demander la suppression de pages non conformes n'ont été endommagés que par le pirate. Vous voudrez que ces pages apparaissent dans dans les résultats de recherche après avoir été nettoyés. L'outil de suppression d'URL ne concerne que les pages vous ne souhaitez jamais apparaître dans les résultats.

3. Envisager d'accélérer le traitement par nos services de vos pages non infectées

Si vous avez de nouvelles pages saines ou des pages vierges mises à jour, vous pouvez Demander à Google d'explorer de nouveau vos URL dans la Search Console pour soumettre ces pages à l'index Google. C'est facultatif ; Si vous ignorez cette étape, vos nouvelles pages ou vos pages modifiées explorées et traitées au fil du temps.

4. Commencer le nettoyage de votre/vos serveur(s)

Il est maintenant temps de commencer à nettoyer votre site sur la base des notes que vous avez prises à la section Évaluer les dommages et Identifiez la faille. La chemin à effectuer lors de cette étape dépend du type de sauvegarde à votre disposition:

  • Sauvegarde non infectée et actualisée
  • Sauvegarde non infectée, mais obsolète
  • Pas de sauvegarde disponible

Tout d'abord, vérifiez que votre sauvegarde a été créée avant le piratage de votre site.

Sauvegarde non infectée et actualisée

  1. Restaurez votre sauvegarde.
  2. Installez toutes les mises à jour et tous les correctifs logiciels disponibles. Cela inclut des logiciels pour l'OS si vous avez le contrôle du serveur et de toutes les applications, comme le système de gestion de contenu, la plate-forme d'e-commerce, les plug-ins ou les modèles.
  3. Pensez à supprimer de votre serveur les logiciels que le site n'utilise plus (tels que widgets, plug-ins ou applications) .
  4. Corrigez la faille.
  5. Vérifiez tous les problèmes détectés au cours de l'étape Évaluer les dommages sont prises en compte.
  6. Modifiez à nouveau les mots de passe de tous les comptes associés au site. (par exemple, identifiants pour accéder au serveur FTP, accès aux bases de données, administrateurs système et comptes CMS). Pour les systèmes d'exploitation Unix :
passwd admin1

Sauvegarde non infectée, mais obsolète

  1. Créez une image disque de votre site actuel, même s'il est toujours infecté. Il ne s'agit que d'une copie de sûreté. Marquez la copie comme infectée pour le différencier des autres. Sur un système d'exploitation Unix, la création d'une image disque peut se faire de la manière suivante :
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. Créez une copie de sauvegarde du système de fichiers de votre serveur, y compris les images et les contenus multimédias . Si vous possédez une base de données, sauvegardez-la également.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. Restaurez la sauvegarde non infectée, mais obsolète sur votre serveur.
  2. Demandez-vous si vous pouvez éliminer les logiciels présents sur votre serveur (par exemple, les widgets, plug-ins ou applications) que le site n'utilise plus.
  3. Mettre à niveau tous les logiciels, y compris le système d’exploitation si vous avez le contrôle du serveur, et toutes les applications logicielles, comme le système de gestion de contenu, une plate-forme d'e-commerce, des plug-ins et des modèles. N'oubliez pas de vérifier et d'installer les mises à jour et les correctifs de sécurité disponibles.
  4. Corrigez la faille.
  5. Effectuez une diff de site manuellement ou de manière automatisée -- entre la sauvegarde non infectée et la copie infectée actuelle.
diff -qr www/ backups/full-backup-20120124/
  1. Importez tout nouveau contenu non infecté que vous souhaitez conserver à partir du une copie infectée sur le serveur mis à niveau.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. Vérifiez que chaque URL indiquée dans l'étape Évaluer les dommages a été corrigée.
  2. Modifiez à nouveau les mots de passe de tous les comptes associés au site. (par exemple, identifiants pour accéder au FTP, à la base de données, au système et les comptes CMS). Pour les systèmes d'exploitation Unix :
$passwd admin1

Pas de sauvegarde disponible

Créez deux sauvegardes de votre site, même s'il est toujours infecté. Avoir un bonus permet de récupérer un contenu supprimé par erreur, ou de rétablir à nouveau en cas de problème. Ajoutez un libellé "infecté" à chaque sauvegarde pour vous en rappeler.

L'une de vos sauvegardes doit être une image disque ou une "version clonée" de votre site. Ce rend la restauration du contenu encore plus simple. Vous pouvez laisser l'image disque de côté en cas d'urgence. Sur un système basé sur Unix, utilisez le code suivant pour créer un disque image:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

L'autre sauvegarde sera une copie du système de fichiers de votre serveur, y compris les images et des fichiers multimédias. Si vous avez une base de données, sauvegardez également la base de données.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

Si vous n'avez pas d'image disque, effectuez deux sauvegardes de la base de données et deux sauvegardes du système de fichiers.

Pour nettoyer le contenu du site sur la nouvelle copie du système de fichiers de sauvegarde (et non sur le serveur) lui-même), procédez comme suit:

  1. Si lors de votre examen antérieur, vous aviez trouvé des autorisations de fichiers trop permissives, continuez et les corriger. Veillez à effectuer cette opération sur la copie de sauvegarde, et non sur le serveur. lui-même.
  2. Vous pouvez également nettoyer sur la copie de sauvegarde tous les fichiers correspondant aux URL détectées comme compromis au cours de l'étape Évaluer les dommages. Ces peuvent être des fichiers de configuration du serveur, JavaScript, HTML ou PHP.
  3. Veillez également à supprimer (afficher une réponse 404) pour les nouveaux fichiers créés par que vous avez peut-être signalées à l'aide de l'outil de demande de suppression d'URL dans la Search Console.
  4. Si la faille réside dans votre code ou dans des mots de passe piratés, corrigez-la. Des bibliothèques de validation ou des audits de sécurité récupérés peuvent vous servir.
  5. Si votre site dispose d'une base de données, commencez par nettoyer les enregistrements modifiés par le pirate dans votre sauvegarde. Avant de terminer, vérifiez les points suivants : enregistrements pour vous assurer que la base de données semble propre.
  6. Modifiez une nouvelle fois les mots de passe de tous les comptes liés au site (par exemple, les connexions pour l’accès au FTP, l’accès à la base de données, les administrateurs système et comptes CMS). Sur les systèmes Unix, utilisez le code suivant:
$passwd admin1

À ce stade, la copie de sauvegarde auparavant infectée de votre site ne doit contenir que données propres. Mettez cette copie non infectée de côté et passez à l'action nº 5.

5. Supprimer les logiciels inutiles

Déterminez si vous pouvez supprimer des logiciels sur votre serveur, tels que des widgets, des plug-ins ou des applications que le site n'utilise plus. Cela peut augmenter et simplifier la maintenance future.

6. Nettoyer tous les serveurs

  1. Effectuez une installation non infectée et non une simple mise à jour. Les mises à niveau peuvent laisser des fichiers par rapport à une version précédente. Si un fichier infecté reste sur le serveur, votre site est plus susceptible d'être piraté à nouveau.
    • La nouvelle installation doit inclure le système d’exploitation si vous contrôlez le serveur, ainsi que toutes les applications logicielles, comme le contenu le système de gestion, la plate-forme d'e-commerce, les plug-ins et les modèles. Assurez-vous que pour rechercher les mises à jour et les correctifs de sécurité disponibles.
  2. Transférez le contenu non infecté depuis la copie de sauvegarde non infectée du système de fichiers vers le serveur(s) fraîchement installé. N'importez et ne restaurez que les éléments propres connus. ou une base de données. Veillez à conserver les autorisations de fichier appropriées et ne pas écraser les fichiers système fraîchement installés.
  3. Modifiez une dernière fois les mots de passe de tous les comptes liés à site (par exemple, identifiants pour accéder au FTP, accès à la base de données, administrateurs système, et les comptes CMS). Sur les systèmes Unix, utilisez le code suivant:
passwd admin1

7. Créer un plan de maintenance à long terme

Nous vous recommandons vivement de procéder comme suit:

  • Effectuez régulièrement des sauvegardes automatiques de votre site.
  • Assurez-vous que vos logiciels sont toujours à jour.
  • Comprendre les pratiques de sécurité de l'ensemble des applications, plug-ins et autres des logiciels tiers avant de les installer sur votre serveur. Un titre dans une application logicielle peut affecter la sécurité l'intégralité du site.
  • Appliquez des règles strictes de création de mots de passe.
  • Maintenir en sécurité tous les appareils utilisés pour se connecter à la machine (système d'exploitation mis à jour système et navigateur).

8. Vérifier à nouveau que le nettoyage est terminé

Vous devez pouvoir répondre "oui" aux questions suivantes :

  • Ai-je pris les mesures appropriées si le hacker a obtenu les informations personnel d'informations ?
  • Mon site utilise-t-il les versions les plus récentes et les plus sécurisées des logiciels ?
  • Ai-je supprimé toutes les applications ou tous les plug-ins inutiles ou inutilisés rendre mon site plus vulnérable à l'avenir ?
  • Ai-je restauré mon contenu et supprimé celui du pirate informatique ?
  • Ai-je corrigé la faille initiale qui a permis le piratage de mon site ?
  • Ai-je un plan pour assurer la sécurité de mon site ?

Vous pouvez à présent remettre votre site en ligne.