Aller au contenu

Comment détecter si son site est compromis ?

Introduction

Les cyberattaques visant les sites WordPress se multiplient chaque année. Qu’il s’agisse de scripts automatisés ou d’attaques ciblées, un site compromis peut avoir des conséquences désastreuses : perte de données, baisse de référencement, et atteinte à votre réputation. Dans cet article, nous allons passer en revue les principaux signaux d’alerte pour repérer rapidement une intrusion ou une infection, et réagir avant qu’il ne soit trop tard.

1. Surveillez vos logs d’accès et d’erreurs

1.1. Connexions inhabituelles

  • Tentatives de connexion massives sur /wp-login.php ou /xmlrpc.php
  • Utilisateurs inconnus créés sans votre intervention
  • Connexions depuis des IP étrangères ou sur des plages d’adresses inhabituelles

Astuce : configurez un plugin de sécurité (comme Solid Security) pour qu’il vous notifie dès qu’un nombre anormal de tentatives de login est détecté.

1.2. Erreurs 500 répétées

Un grand nombre d’erreurs 500 peut indiquer la présence d’un script malveillant qui surcharge votre serveur ou un conflit de fichiers modifiés.

  • Consultez régulièrement le log error_log dans cPanel ou via SSH
  • Repérez les patterns (fichiers PHP inconnus, accès à des URLs louches)

2. Analyse des fichiers et timestamps

2.1. Fichiers modifiés sans explication

  • Changez régulièrement la permission de vos dossiers (755 pour les répertoires, 644 pour les fichiers)
  • Comparez les dates de modification (ls -l --time=modify) avec votre dernière mise à jour légitime

2.2. Fichiers suspects

  • Recherchez la présence de eval(), base64_decode() ou gzinflate() dans vos thèmes/plugins
  • Vérifiez l’intégrité de vos fichiers cœur WordPress via wp core verify-checksums (WP-CLI)

3. Détection de scripts et redirections malveillants

3.1. Injections dans le header ou le footer

Un script caché peut être injecté dans vos fichiers header.php ou footer.php pour rediriger vos visiteurs.

phpCopierModifier// Exemples d’injection courantes
<?php eval(base64_decode('...')); ?>
<script>window.location='http://malicious.com';</script>

3.2. Redirects basés sur l’agent utilisateur

Certains hackers créent des redirections uniquement pour les moteurs de recherche afin d’éviter la détection.

  • Testez votre site avec un user-agent Googlebot pour voir si vous êtes redirigé

4. Exploitez votre plugin de sécurité (Solid Security)

4.1. Configuration des alertes

  1. Activez la surveillance des fichiers système.
  2. Choisissez l’envoi de rapports par email ou Slack.
  3. Paramétrez les seuils de détection pour chaque type d’alerte (login, modification de fichier, activité réseau).

4.2. Exemples d’alertes concrètes

  • Modification de clé d’API : détection d’un changement dans wp-config.php
  • Activité brute-force : plus de 50 tentatives de login en 10 minutes
  • Chargement de script externe : appel à un domaine inconnu

5. Recours à un scanner externe

5.1. Outils en ligne gratuits

  • Sucuri SiteCheck pour un scan rapide des malwares connus
  • VirusTotal pour l’analyse de fichiers suspects
  • Quttera pour une détection d’URL malveillantes

5.2. Comment interpréter un rapport

  • Faux positifs : certains scripts légitimes (plugins) sont parfois marqués à tort
  • Niveaux de risque : privilégiez les éléments classés « High » ou « Critical »
  • Étapes correctives : supprimez ou mettez à jour les scripts compromis, puis relancez le scan

Conclusion

Détecter rapidement qu’un site est compromis est essentiel pour limiter l’impact d’une attaque sur votre visibilité et vos données. En combinant :

  1. La surveillance des logs
  2. L’analyse régulière des fichiers
  3. La configuration de votre plugin de sécurité
  4. L’usage d’outils externes

…vous disposerez d’un système d’alerte solide et réactif.

Prochaines étapes :

  • Envisagez un audit de sécurité annuel pour anticiper les vulnérabilités émergentes
  • Passez toujours par une préproduction pour tester vos correctifs avant de les appliquer en live

Pour en savoir plus, consultez mon article sur la préproduction :

  • Environnement isolé et sécurisé
  • Erreurs à éviter avant la mise en production
  • Guide pas à pas pour mettre en place votre workflow préprod

🔗 Pourquoi je passe toujours par une préproduction

Vous avez besoin d’aide pour mettre en place ces bonnes pratiques ? Contactez-moi pour une préproduction dédiée et une expertise personnalisée !

Contactez-moi
Tweetez
Partagez
Épingle
Partagez