Perso du thème qui saute tous les 8 jours

Bonjour,

Je suis confrontée à un problème qui me laisse perplexe sur mon site.
La personnalisation de mon thème saute tous les 8 jours pile... (plus de CSS et autres réglages)

J'ai d'abord pensé à un virus donc par 2 fois j'ai supprimé tous mes fichiers via FTP, vidé totalement ma base de données, je l'ai renommée, j'ai changé tous mes mots de passe (hébergement OVH mutualisé). Et ça recommence...

Je refais mes contenus à la main pour éviter l'import XML et ça recommence. J'ai Ithemes Security, je développe des sites donc je suis sensible au fait de limiter les plugins et de n'utiliser que les plus reconnus.

Mon thème est Avada depuis que j'ai tout refait mais avant c'était Dante et ça se produisait déjà donc j'exclus le thème qui est premium et super utilisé.

Je ne sais pas lire les logs pour voir ce qui a pu se passer ce matin.
J'ai essayé de contacter qq freelances pour avoir une assistance plus pointue sur la sécu, en vain... C'est pénible car j'aimerais bien comprendre ce qui se passe ! Est-ce que ça tente qqn de m'aider à fermer les pistes, trouver la cause ?

Bonne journée !
Marine

Salut,

les logs d'ovh se trouvent par ici : https://logs.ovh.net/nomdevotredomaine
C'est intéressant de regarder si tu situes a peu près l'heure à laquelle tu perds les réglages du site. Tu peux voir si quelqu'un était connecté au back office à ce moment là par exemple.

Généralement quand c'est du hack c'est pas fait de manière visible. A part en activant un autre thème, je ne vois pas trop comment les réglages peuvent sauter.

Tu devrais essayer de contacter les développeurs d'avada, ils ont peut être déjà eu une situation similaire.

Si ça arrive exactement à la même heure regarde si il n'y a pas un cron wordpress / ovh qui pourrait provoquer cela.

C'est assez mystérieux ton souci en tout cas.

Merci pour ta réponse.

Je sais exactement à quelle heure ça a sauté car j'étais en train de créer un article mais je ne sais pas lire les logs . Il faut que j'attende demain pour voir de toutes façons. Je vous les posterai

Dans la mesure où ça m'arrivait aussi en janvier avec un autre thème, j'excluerais le thème. Sauf qu'en janvier, le rythme était tous les 2 jours, ce qui me faisait penser à un virus, d'où mes 2 refontes de 0. Je miserai sur ce fameux fichier qui regroupe toutes les personnalisations, quelque soit le thème... mais je ne sais pas où il est. Je vais qd même écrire à Avada au cas où...

J'ai pensé à qq chose du côté d'OVH puisqu'ils sont en pleine migration d'infrastructures, je les ai appelé mais ils ne savent pas.

Quand tu as fait ta refonte, tu es repartie d'un nouveau wordpress ? Si ton site a effectivement été hacké tu peux avoir des fichiers un peu partout qui permettent aux hackers d'accéder a ton serveur. Maintenant si tu es repartie d'une nouvelle installation de wordpress il ne doit plus y avoir de souci.

Si tu as plusieurs site sur ton mutualisé, les problèmes de hacking peuvent aussi venir d'autres sites.

Tu peux regarder les logs du jour au niveau de "Visualiser les logs bruts en temps-réel". Dans le fichier 'web' tu vas trouver les différentes requêtes http effectuées vers ton site.

Les personnalisations du thème sont quelque part dans la base. Donc à part en déplaçant la base ou en changeant de thème il n'y a pas de raison que ça saute.

Oui je suis repartie d'un WP tout neuf, téléchargé sur le site officiel.
Pour le mutualisé, j'ai demandé à OVH si y'avait un risque que ça vienne d'une contagion, ils m'ont dit que c'était impossible... mais ma confiance est limitée.

Ah oui j'ai vu les logs en temps réel... Mais je n'y comprends rien, y'a vachement de lignes. Tout est également noté quand un internaute classique consulte mon blog c'est ça ?

J'ai fait une extraction autour de 9h11 si jamais tu veux jeter un oeil en MP...

J'ai aussi vu une URL bizarre dans mes stats en temps réel GA : la visite de cette page, qui n'existe pas du tout... /h/9398569.html

a écrit :

Oui je suis repartie d'un WP tout neuf, téléchargé sur le site officiel.
Pour le mutualisé, j'ai demandé à OVH si y'avait un risque que ça vienne d'une contagion, ils m'ont dit que c'était impossible... mais ma confiance est limitée.

Venant d'autres sites de ton instance chez eux, ça m'étonnerai aussi. Mais si tu as plusieurs sites sur ton mutualisé c'est très faisable, chez 1and1 cela m'est déjà arrivé. En effet rien ne t'empêche avec php d'aller include un fichier qui se trouve dans un autre répertoire donc si il y a un shell quelque part sur ton serveur rien n'empêche ensuite d'aller modifier l'ensemble des sites.

a écrit :

Ah oui j'ai vu les logs en temps réel... Mais je n'y comprends rien, y'a vachement de lignes. Tout est également noté quand un internaute classique consulte mon blog c'est ça ?

Dans les logs tu as en effet une ligne par requête http donc pour une seule page tu peux avoir 20 ou 30 requêtes avec les images et autre fichiers, c'est pour ça qu'il faut savoir où chercher.
Dans wordpress tu sais que toutes les requêtes passent pas index.php pour le front, les images se trouvent dans wp-content/uploads (et éventuellement quelques une dans le thème), les urls de l'admin ont la forme /wp-admin/. Tout le reste est potentiellement suspect. Si tu as des requêtes qui vont vers des fichiers .php dans des sous dossier de wordpress c'est qu'il y a sûrement un problème.
Modifié par Depassage (12 Mar 2019 - 14:17)

Je veux bien regarder tes logs mais j'ai pas reçu ton MP.

Sur ma base de données j'avais 2 sites différents mais je les ai refais les 2...

J'attendais ta permission pour t'envoyer le fichier . Je t'envoie un extrait autour de l'heure où ça a sauté. Tu verras mon IP 78.193... avec des accès php mais j'étais en train de créer des articles quand ça s'est produit.

Merci !!!!!!!