Site hacké ? Comment “bien” réagir.
Pour éviter que votre site ou votre CMS ne soit un jour hacké, le plus simple est bien-entendu de le mettre à jour régulièrement 
Beau discours, certes, mais prenons l’exemple du blog de Celeonet propulsé jusqu’à très récemment par Wordpress 2.5.
Ce moteur de blogs connait de nombreuses attaques depuis juin 2008 et nécessite impérativement une mise à jour vers la version 2.6.2. Nous ne sommes pas passés au travers et certains d’entre vous auront pu constater la disparition régulière du dernier article posté ou l’apparition dans son corps de liens vers des sites de Viagra etc…
Il est alors nécessaire de se poser les bonnes questions et de réagir de façon à rétablir le site dans son état de fonctionnement normal.
1°) Les choses à ne pas faire si votre site a été hacké.
a) Rétablir son site depuis la dernière sauvegarde : Si votre site a été hacké c’est qu’il présente une faille, le rétablir dans sa configuration initiale ne sert à rien, la faille sera toujours présente.
b) Supprimer la manifestation du hack : Comme pour le point a) il ne suffit pas de supprimer les méfaits du hackeur pour combler la faille.
c) Ecraser son site avec la dernière version du CMS utilisé : Mauvaise idée, rien ne vous garanti que le hackeur ne s’est pas ouvert une porte sur votre site pour le modifier à sa guise.
d) Ne pas prendre pour parole d’évangile les solutions “miracles” de certains contributeurs. Ils sont tous biens intentionnés mais peuvent parfois manquer de compétences. Par précaution travaillez toujours sur un espace de test pour vos mises à jours.
1°) Les choses à faire si votre site a été hacké.
a) Avant même de tenter de comprendre ce qui s’est passé, faites un état des lieux de votre site et notez tous les points anormaux (qui sont anormaux pas qui vous semble anormaux).
- Une page a-t-elle était modifiée ?
- Ma base de données est-elle toujours intègre ?
- Des pages ou des fichiers ont-ils été ajoutés sur mon site ?
etc…
b) Activez dans votre panel client l’accès aux logs Apache si cela n’est pas déjà fait. Cette opération ne vous permettra pas d’avoir de l’information sur le hack mais vous permettra d’en obtenir s’il se reproduisait.
b-bis) Vos logs sont déjà actifs ? S’ils ne sont pas trop volumineux fouillez les à la recherche de requêtes webs anormales ou générant de nombreuses erreurs 404. Attention ceci peut être long et laborieux, c’est peut-être la dernière étape à réaliser.
c) Rendez-vous ensuite sur le site de la communauté éditant votre CMS, dans 99.9% des cas vous constaterez que vous n’êtes pas un cas isolé et que d’autres utilisateurs rencontrent le même problème. Une faille est en générale corrigée par une nouvelle version du CMS.
N’hésitez pas à réinstaller complètement la nouvelle version “vierge” sur un emplacement de test, Celeonet vous permet de créer des sous-domaines et des bases de données distinctes, c’est le moment de mettre à profit cette fonctionnalité.
Cette procédure est plus longue mais aussi plus sûre. Vous pourrez ensuite mettre en production cette nouvelle version en modifiant la cible de votre domaine depuis votre interface client.
d) Sauvegardez le site et vos bases de données hackés en local sur votre PC (il pourra toujours vous être utile pour récupérer vos thèmes personnalisés ou vos bibliothèques d’images).
e) Changez vos mots de passe en respectant les règles suivantes :
- longueur minimale de 8 caractères,
- 1 ou plusieurs caractères spéciaux,
- 1 ou plusieurs chiffres,
- mixez minuscules et majuscules.
(N’oubliez pas qu’il va vous falloir vous en souvenir, optez pour un moyen mémo-technique).
3°) Que faire quand tout se passe mal ?
Garder son calme C’est primordial.
Il se peut que rien ne se passe bien lors de votre mise à jour, nous l’avons vécu lors du passage de wordpress 2.5 à la version 2.6.0
Si les mises à jours sont majeures ce risque est une quasi-certitude. Changement de format de la base de données, perte d’éléments graphiques, plugins utilisés non compatibles avec la nouvelle version, modifications majeures dans le fonctionnement du CMS, perte du design etc…
Le pire étant lorsque la nouvelle version ne corrige pas la faille, ce qui était le cas de la version 2.6.0 de Wordpress, même chose en 2.6.1, pour arriver à une correction en version 2.6.2.
Il n’y a alors pas de solution miracle, du temps vous sera nécessaire pour que votre site soit à nouveau totalement fonctionnel.
Edit du 16/09/2008 : Misère, la version 2.6.2 ne corrige pas le bug 
23 octobre 2008 Ã 17:36
Merci d’avoir abordé le sujet. Je suis chez Celeonet et en début 2008, j’ai été hacké. Le pirate avait changé ma page d’accueil. Il m’a ensuite laissé tranquille mais en me prévenant qu’il avait eu accès à mes comptes MySQL, à mon FTP et à la gestion de mon CMS. Ma question à Celeonet : que se passe-t-il si le pirate s’emparait de mon compte Celeonet, si cela arrive comment reprendre l’accès ?
>> Il faut dans ce cas contacter Celeonet, via le formulaire de contact par exemple. Il est en général assez simple de vérifier que les mots de passe ont été changés. Nous pouvons alors les rétablir mais il vous sera alors impératif de les changer. En complément, comme indiqué dans l’article, supprimer le résultat du hack ne suffit pas. Il faut corriger la faille.
6 septembre 2009 Ã 11:53
BOnjour, je constate des choses bizarres sur mon blog depuis quelque temps. Et ce matin en tapant mon pseudonyme sur google ce matin, j’ai vu en deuxième ou troisième position, une partie de mon url (willykean.com entouré de plusieurs point d’interrogation comme ceci:
????????????willykean.com?????????
Puis je le retrouve aussi dans le technorati japonais
[willykean]
Pouvez vous vérifier ce qu’il en est?
J’aimerais savoir si j’ai été hackée et si quelqu’un peut m’aider à reparer le problème.
Merci d’avance.
>> Le blog de notre société n’est pas un forum d’entre-aide pour utilisateurs, contactez votre hébergeur il pourra peut-être vous renseigner
17 novembre 2009 Ã 19:27
Bonjour,
Je suis le webmaster du site http://www.xxxxx.fr qui est hébergé chez celeonet. Nous somme victime d’un piratage de notre compte celeonet. Le site a été effacé (comme vous pouvez le voir) et le mot de passe a été changé.
Quelle est la marche à suivre pour retrouver l’accès à notre site ??
Étant dans l’impossibilité de nous connecter à notre interface de support, les e-mail a celeonet sont notre seule issue… Si toute fois ils répondent!
Merci d’avance pour votre aide.
Cordialement
>> Vos mails ont tous reçus une réponse, hier à 18:22 et 18:26.