Supprimer un cheval de troie sur un wordpress

Bonjour,
Les de mes sites a été piratés. Avast a détecté plusieurs cochonneries :
PHP:BackDoor-FN [Trj]
ELF:Effusion-M [Trj]
PHP:Decode-DH [Trj]
PHP:Effusion-A [Trj]
HTML:Iframe-BTS [Trj]
Je n'ai pas de sauvegarde antérieur à l'attaque.
Je dispose de Wordfence, mais il rame et ne me donne pas d'information, je pense qu'il est lui même infecté.
Avez vous une procédure, un logiciel... à me conseiller ?
Merci par avance.
Modifié par Pakouta (18 Mar 2015 - 23:59)

Il faut regarder sur ton serveur ftp les dates où les répertoires/ fichiers ont étés modifiés récemment et ensuite soit remplacer les fichiers correspondants soit faire un rechercher remplacer avec un éditeur de code sur tout le site si il y a trop de modifs à faire. C'est souvent des chaînes en md5(eziuzkjdksz); et pas compliqué à supprimer.

Puis tout mettre à jour pour éviter les soucis, sécuriser les répertoires, changer de mot de passe.

Réinstaller un nouveau wordpress c'est faisable aussi.
Modifié par bzh (19 Mar 2015 - 00:45)

Bonjour,

Pas de sauvegarde ? Même pas chez ton hébergeur ? Alors là tu as clairement déconné plein tube.
Franchement, c'est pas sérieux. Je suppose que pour avoir été piraté, tu ne faisais pas non plus beaucoup de maintenance.

Je suppose que tu retiendras la leçon car tu vas t'amuser pour recoller les pots cassés :
Fais un export de ta base de données via PHPMyAdmin ou équivalent.
Récupère la liste de tes plugins (pour pouvoir les réinstaller plus tard) et les fichiers de ton thème et ton répertoire /upload
Supprime tout le reste de ton serveur.
De ces fichiers et répertoire que tu as récupéré (le dossier du thème et le répertoire /uploads), tu inspecte la moindre ligne de code. De A à Z. S'il reste la moindre ligne malicieuse, tu sera bon pour tout refaire à zéro.
Ensuite tu réinstalle ton WP + les plugins (tous neufs) + ton thème (tout nettoyé) + ton répertoire /uploads (tout nettoyé).
Maintenant, faut nettoyer ta BDD à partir de ton export. Tout ce qui est encodé en MD5, en base64, etc, tu vire. Bon courage c'est la partie qui sera certainement la plus chiante, surtout si tu avais beaucoup de contenus sur ton site.

Si c'est trop compliqué et que tu estime que ton site vaut d'investir plusieurs centaines d'euros, tu contacte le spécialiste français de la sécurité sur WP, le père Julio, qui sera peut-être dispo avec un peu de chance…

Mauvaise pub cachée pour Julio el Bléro comme on l'appelle chez nous...

Pourquoi "mauvaise" ?

edit : j'ajouterais aussi pourquoi "cachée" ?
Modifié par audrasjb (19 Mar 2015 - 14:19)

audrasjb a écrit :
Pourquoi "mauvaise" ?

Je voulais dire "néfaste".

Mais encore ? Excuse ma curiosité mais pourquoi donc ?
Modifié par audrasjb (19 Mar 2015 - 14:20)