vous avez été piraté ? obtenir de l'aide
Benjamin Bueno CEO Textone & WordPress Pirate
Benjamin Bueno

Expert Cybersécurité

17 octobre, 2022
Augmentation du nombre de site piraté sur les sites hébergés chez GoDaddy
En mars dernier, Wordfence a constaté une augmentation des piratages sur les sites WordPress hébergés chez GoDaddy, un service d’hébergement web américain. Tous les sites piratés avaient un point commun : une porte dérobée (backdoor) installée sur le fichier wp-config.php, presque identique d’un site à l’autre. Cette porte dérobée n’a pas été installée que sur des sites hébergés par GoDaddy mais près de 95 % des sites concernés étaient hébergés chez GoDaddy au moment du rapport de Wordfence.

95 % des sites piratés en mars dernier étaient hébergés chez GoDaddy

En mars dernier, Wordfence a constaté une augmentation des piratages sur les sites WordPress hébergés chez GoDaddy, un service d’hébergement web américain. Tous les sites piratés avaient un point commun : une porte dérobée (backdoor) installée sur le fichier wp-config.php, presque identique d’un site à l’autre. Cette porte dérobée n’a pas été installée que sur des sites hébergés par GoDaddy mais près de 95 % des sites concernés étaient hébergés chez GoDaddy au moment du rapport de Wordfence.

go daddy piratage

Piratage sur les sites hébergés GoDaddy : comment ça marche ?

Cette porte dérobée, ajoutée au début du fichier wp-config.php, n’est pas une nouveauté : les pirates informatiques l’utilisent depuis 2015. L’objectif de cette backdoor, qui consiste en plusieurs lignes de code, est notamment de générer du spam dans les résultats Google. Son fonctionnement est le suivant :
1. Une requête est envoyée au site avec un cookie réglé sur une certaine valeur ;
2. La porte dérobée va télécharger un modèle de lien de spam à partir du domaine de commande et de contrôle (domaine C2) t-fish-ka[.]ru ;
3. Le modèle de lien de spam est enregistré dans un fichier codé dont le nom correspond au MD5 du domaine (par exemple : monsite.com) du site infecté. Pour rappel, le MD5 est un algorithme de hachage cryptographique permettant le chiffrement et l’authentification des données ;
4. Le domaine va alors afficher une page web vierge (tout dépend, car en 2019, la même backdoor permettait aux pirates d’afficher sur le site piraté du contenu adulte) ;
5. Le fichier encodé téléchargé contient un modèle qui est basé sur le code source du site infecté mais avec des liens de spam pharmaceutique. Il est configuré pour que le spam s’affiche à chaque fois que le site est consulté.

WordPress est sécurisé… si vous suivez les mesures de sécurité !

Votre site web redirige vers des pages malveillantes, comme des sites de rencontre ou des publicités pour de faux produits ? 
La page d’accueil a été modifiée ou a été remplacée par une autre page, comme une page à caractère islamique avec message de rançon ? 

Un code erreur apparait à la place de votre page d’accueil ? 

Les pages de votre site internet sont anormalement lentes ? 

Votre site web mine des crypto monnaies à votre insu ?

Suis-je concerné par le piratage des sites hébergés GoDaddy ?

L’année dernière, un attaquant inconnu avait obtenu un accès non autorisé au système utilisé par GoDaddy pour approvisionner ses sites WordPress. Ce piratage avait impacté près de 1,2 million de sites WordPress.
Comment savoir si vous êtes potentiellement concerné par cette porte dérobée ? Si votre site WordPress est géré par MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet ou Host Europe, cela signifie qu’il est hébergé par GoDaddy. Nous vous conseillons dans ce cas de vérifier manuellement le fichier wp-config.php de votre site WordPress ou d’utiliser un plugin de sécurité comme Wordfence pour analyser votre site et éventuellement détecter un logiciel malveillant.

Réagir en cas de piratage sur un site hébergé GoDaddy !

Si votre site est infecté par la porte dérobée, il est important de réagir immédiatement ! Nos experts WordPress peuvent prendre en charge rapidement le nettoyage de votre site web piraté et vous donner des conseils pour mieux vous protéger de ce type de piratage à l’avenir. Vous pouvez également souscrire à notre offre d’assurance qui vous protégera toute l’année des risques de piratage.

Benjamin Bueno CEO Textone & WordPress Pirate
Benjamin Bueno

03 janvier 2023

Si vous souhaitez en savoir plus sur le rôle de l’hébergement dans la sécurisation de votre site, lisez notre article sur l’incendie OVH et découvrez en quoi l’hébergement mutualisé n’est pas forcément mauvais pour la sécurité de votre site.

Nos experts français assurent un support et une prestation de qualité.

je demande de l’AIDE

Recevoir un devis
Demander un devis pour réparer un site

inscrivez vous a la newsletter

Nous vous enverrons des informations utiles et de qualité pour apprendre ainsi à mieux protéger votre site.
newsletter pour actualité WorPress

Partager cet article