Site WordPress piraté et bloqué par OVH ça n'arrive pas qu'aux autres. J'ai vécu et surmonté le piratage de mon site. Je partage avec vous comment je m'en suis sortie. Avertie contre les risques de piratage, le site était équipé de la version premium des plugins officiels de WordPress en matière de détection des failles et des intrusions. Cependant puisque le risque zéro n'existe pas, j'avais contracté une prestation sous forme d'abonnement auprès d'une société spécialisée dans la remise en état de site WordPress piraté. Et voilà que cela est arrivé en pleine période du mois d'Août avec les délais allongés d'intervention qui s'en suivent par manque de personnel disponible. Ne pouvant pas attendre la disponibilité tardive du personnel, j'ai du me documenter et apprendre à prendre le taureau par les cornes. Cela m'a pris beaucoup de temps sans parler des pertes subies, mais j'ai réussis à remettre le site sur pied. Pour capitaliser cette expérience, je la partage avec vous dans ce billet.
More...
Avant de plonger dans le vif du sujet, je tiens à partager quelque chose avec vous. Si, comme moi, votre site WordPress piraté est hébergé chez OVH, sachez qu’il existe des alternatives. J’en ai découvert une qui est non seulement bien plus performante et rentable, mais qui offre également un service client exceptionnel !
Trouver une alternative à OVH me semblait totalement irréalisable
Avant de vous présenter comment j'ai pu m'en sortir seule, j'aimerai partager l'amertume totale de cette expérience. Je n'ai trouvé aucune possibilité d'aide chez OVH sauf des emails successifs m'alertant comme quoi ils ont bloqué mon site et que je n'avais pas la possibilité de restaurer mon site à une date antérieur. Désemparé, l'aide cherchée sur la communauté ne m'a fait que perdre du temps. L'idée de partir de chez OVH, restait dans un coin de ma tête. La migration de site wordpress me paraissait très compliquée.
J'ai enfin trouvé l'alternative à OVH, avec migration offerte
Cette section a été ajoutée trois ans après ma mésaventure. Il y a deux mois, en parcourant YouTube, je suis tombée par hasard sur une présentation de l’hébergeur de site web Hostinger. Curieuse j’ai suivi le lien et découvert qu’ils proposaient la migration de site Worpress gratuitement, avec des tarifs très compétitifs et une garantie de remboursement en cas d’insatisfaction. Je me suis dit : pourquoi ne pas essayer ? Je n’avais rien à perdre. J’ai décidé de conserver mon nom de domaine chez OVH dans un premier temps, le temps de m’assurer que la migration et l’installation du site chez Hostinger se passaient bien.
Et c’est exactement ce qui s’est passé. En un rien de temps, mon site était installé chez Hostinger, avec une surprise de taille : le support est disponible 24h/24, offrant des réponses instantanées et très pertinentes grâce à l’IA. Après avoir goûté à cette assistance instantanée, combinée à la possibilité de collaborer avec des humains si je le demandais ou si l’IA m’y orientait, je n’ai pas hésité une seconde. J’ai immédiatement fait le nécessaire pour transférer le nom de domaine du site chez Hostinger.
Code Hostinger rien que pour la qualité du service client
Je suis à mon 3ᵉ site migré chez Hostinger, et j’ai même commencé à migrer les sites de mes clients. J’ai également renouvelé l’expérience pour un site que je souhaitais créer sans utiliser les templates de Hostinger, en partant d’un WordPress vierge sans l’installer moi-même. Ne trouvant pas la solution par mes propres moyens, j’ai bénéficié d’un accompagnement personnalisé d’un collaborateur Hostinger, un dimanche, qui m’a guidé pas à pas. Je ne sais pas pour vous, mais pour moi, ce type d’assistance, surtout pour un offre considérée chez OVH comme bas de gamme et donc sans aucune aide, mérite d’être connu.
J'ai choisi l'offre l'hébergement Business chez Hostinger
Et c’est pour les raisons évoqué ci-dessus, je fais la promotion d'hébergement Hostinger et partage avec vous le code qui m'a fait économiser 73% sur le prix public. J'ai choisi l'offre Business sur 48 mois. Je vous laisse juger par vous-même.
Voir la suite sur le site
Voilà pour cette parenthèse sur l'alternative à OVH très performant et rentable.
Site WordPress piraté et bloqué par OVH Forbiden 403
Le 17 août j'ai reçu un email envoyé par OVH avec l'objet : "[OVH-WEB] Blocage de votre hébergement WordPress suite piratage". Le corps de l'email commençait par : "Notre système de surveillance a détecté une opération irrégulière au niveau de votre site. Ce message a pour but de vous alerter sur le fait que votre site et vos données peuvent encourir un risque. Par mesure de sécurité, nous venons de bloquer l'accès à votre site."
Cela signifie que le visiteur ne voyait plus que la page suivante au lieu de la page attendue du site.
Conséquences immédiates du blockage du site
Vous imaginez la perte que cela peut causer en terme de trafic, de conversion, mais aussi de déclassement des pages du site dans les résultats de recherche. Et pour cause, le site en question était classé sur la première page de recherche Google pour au moins une vingtaine de mots-clés stratégiques, les plus recherchés.
Société chargée de sécurité en sous effectif
Outre l'inconvénient de l'indisponibilité du site pour les clients et les habitués, le site ne pouvait donc plus accueillir de nouveaux visiteurs qui le découvraient sur la première page de la recherche. Le délai de remise en ligne du site représentait de toute évidence, un enjeu commercial. La société chargée d'intervenir en cas de contamination et du piratage du site n'a pas su se rendre disponible immédiatement cause de sous effectif en mois d'août. Le pirate avait décidément bien choisi la période pour mettre le site hors jeu.
Réparer un site wordpress bloqué par OVH
L'intervention du fournisseur spécialiste de la réparation du site piraté et bloqué par OVH faisant défaut, j'ai du me charger personnellement de la remise en ligne du site piraté.
La démarche, méthodes et outils que j'ai utilisés pour récupérer le site piraté peuvent être utiles pour toute personne chargée de la gestion du contenus de site WordPress de l'entreprise via l'interface admin en ligne.
En 20 ans d'activité et avoir au moins 2 principaux site à gérer, j'ai du faire face au piratage de site malgré avoir pris toutes les précautions. Il paraît évident que le risque zéro n'existe pas. Le récit de cette expérience peut toujours servir me dis-je. Le partage du déroulement des actions entreprises du début à la fin pour la remise en état d'un site piraté, me permet aussi de les enregistrer et conserver par écrit pour l'avoir sous la main au cas où.
Déroulement des actions pour récupérer un site WordPresse piraté
Etape 1 : Restorer le site piraté à une date antérieur en allant sur OVH
Pas de bol ! OVH a aussi bloqué les liens de restoration
La première opération que vous vient à l'idée avant toute chose, c'est de restorer le site à une date antérieure sur l'interface de l'hébergement du site piraté sur votre compte OVH. Mais vous constatez que OVH a aussi bloqué la restoration du site.
J'ai donc ouvert un ticket d'assistance chez OVH, puis je les ai appelé. Réponse : Non, vous ne pouvez pas restorer le site à partir de la fonctionnalités mise à disposition sur OVH. Vous devez utiliser des backups que vous avez en dehors d'OVH.
Etape 2 : Restorer le site à partir de sauvegardes disponibles sur l'interface admin du site
Pas de bol ! OVH a bloqué l'accès à l'interface admin même à moi la propriétaire du site. La réponse d'OVH : par mesure de sécurité nous avons bloqué l'accès à l'interface admin de votre site. Vous avez accès par FTP à l'espace de stockage de votre site. Mais vous ne serez autorisée à vous servir de FTP pour l'ouvrir que lorsque le site sera nettoyé. J'explique plus loin de quel fonctionnalité d'ouverture via FTP sagit-il.
Me voilà privé d'accès à mon site et de ses sauvegardes sur OVH
Etape 3 : Faire le point sur les sauvegardes disponibles en dehors d'OVH
Je disposais heureusement des sauvegardes du site réalisés par la version premium de UpdraftPlus. J'avais également des sauvegardes faits par le plugin SecuPress. Mais dans la pratique c'est UpdraftPlus qui sais révélé efficace.
Là j'aimerai faire un aparté pour vous recommander de n'utiliser que des extensions présentés sur le site officiel de WordPress. L'outil de recherche du site vous permet de trouver par thème le plugin dont vous avez besoin. De préférence optez pour la version premium des extensions (plugins) que vous installez sur votre site WordPress.
Je reprends la suite du sujet principal : J'avais donc des sauvegardes enregistrés en dehors des dossiers distants du site. Ils étaient donc disponibles sur Google Drive. En utilisant UpdraftPlus, vous pouvez automatiser la fréquence et l'enregistrement des sauvegardes sur un espace en ligne, ceci en plus des sauvegardes récupérables via FTP (j'utilise le logiciel Filezilla. ) dans le dossier wp-content/updraft.
Etape 4 : Choisir une méthode pour utiliser les sauvegardes
J'ai choisi la méthode suivante :
Attention : Ne SUPPRIMEZ RIEN tant que vous n'aurez pas fait les 2 premières étapes ci-dessus pour mettre de côté le site existant.
Vous pouvez éventuellement utiliser l'interface de l'hébergement de votre site sur OVH pour supprimer le module de WordPress et puis réinstaller une nouvelle version. Pour ce faire, suivez alors l'étape 4 bis ci-après.
Etape 4 bis : installer WordPress à partir de l'interface d'OVH
Si vous êtes plus à l'aise avec l'installation de WordPress via l'interface de OVH, procédez de la manière suivante :
Attention : Ne SUPPRIMEZ RIEN tant que vous n'aurez pas fait les 2 étapes qui précèdent pour mettre de côté le site existant.
Vous aurez besoin de créer une base de données après avoir supprimé WorPress à partir d'OVH. Pour le faire, vous devez cliquer sur l'onglet "Base de données" sur la barre et puis juste créer la base de donnée que vous allez sélectionné lors de l'installation de WordPress. Voir la capture d'écran.
Etape 5 : Ouvrez votre site dont l'accès en ligne est toujours bloqué
Une fois WordPress installé via FTP ou à partir de Modules en 1 clic d'OVH, voici ce qui reste à faire pour ouvrir le site bloqué par OVH. La démarche expliquée par OVH.
- Ouvrez le logiciel FTP (j'utilise FileZilla) puis connectez-vous à l'espace stockage de votre site. Cliquez ensuite sur Serveur dans la barre de menu, puis sur Entrer une commande FTP :
2. Dans la fenêtre qui s’affiche, renseignez la commande ci-dessous puis validez-la :
Voir la procédure d'ouverture d'un site Forbidden 403 expliqué par OVH
Et voilà, le nouveau site WordPress que vous avez installé est maintenant accessible en ligne via https://votresite.com/wp-admin
Etape 6 : Connectez-vous à l'admin de votre site
- Ca y est, vous voilà de nouveau sur la partie admin du site WordPress.
- Téléchargez et Installez le plugin (extension) UpdraftPlus L'avantage de Updraft c'est qu'en plus de restaurer ses propres fichiers de sauvegarde, UpdraftPlus Premium vous permet également de restaurer les sauvegardes d'autres plugins de sauvegarde WordPress.
- Vous pourrez alors restaurer votre site piraté à une date antérieure. Pour ce faire, passez à l'étape 4. ci-après :
- Téléversez l'une des backups de votre site que vous avez sur votre système informatique online ou offline. Voir le lien de la capture d'écran suivant
Vous verrez apparaitre dans l'interface de UpdraftPlus, les sauvegardes avec un bouton "Restore". Il n'y a plus qu'à cliquer sur le bouton Resto et suivre les étapes.
Et voilà votre site est de nouveau en ligne 🙂 https://votresite.com/
Et vous pouvez imaginez qu'elle fut ma joie de voir mon site sur pied de nouveau. Ca m'a pris du temps de mettre toute la procédure de bout en bout. Si jamais votre site vie la même situation que la mienne, que je ne vous le souhaite évidemment pas, vous n'avez qu'à suivre la trace de mes pas pour faire revivre votre site en un temps record .
Etape 7 : Sécurisez votre site dès aujourd'hui. Faites des backups
Le pirate ne prévient pas. Mais une fois qu'il s'est introduit dans votre site WordPress, il génère des effets secondaires du genre le bloquage d'accès à votre site non seulement pour vos visiteurs mais aussi pour vous, le propriétaire du site. Si lui il ne le fait pas directement, l'hébergeur du site, ici OVH s'en charge.
Il vous prive de l'accès à l'interface admin de votre site mais aussi de l'accès aux sauvegardes sur l'interface OVH d'hébergement de votre site, sur lesquels vous aviez comptés.
Je suis alors très contente d'avoir été prudente et avoir fait sauvegardé mon site via le plugin (extension) UpdraftPlus. Mais comme je l'ai mentionné plus haut, les backups faits par d'autres plugin WordPress auraient pu marcher avec UpdraftPlus premium.
Sans ces backups, mon business aurez pris des coups sans rattrapage possible. Et si vous êtes le (la) seul.e à bord, vous comprenez que chaque minute est compté dans le temps dont nous disposons pour conduire notre activité.
Sans tarder commencez à sécuriser et sauvegarder votre site. Voici
Pour ne plus entendre parler de site WordPress piraté
Les sites WordPress sont des cibles préférées des pirates. A nous de faire le maximum pour les barrer la route mais aussi de pouvoir réagir rapidement et remettre sur pied le site qui a fait l'objet de piratage. Voici quelques ressources en guise de boîte de secours.
Générateur de mot de pass
Remplacer les Clés De Sécurité d'un site WordPress
L’utilisation des clés de sécurité WordPress est une étape importante de la sécurisation de votre site WordPress. Ces clés sont utilisées par WordPress pour assurer un meilleure cryptage des informations stockées dans les cookies des utilisateurs lorsqu’ils sont connecté à un site WordPress, ainsi qu’une meilleure sécurisation lors de la visite du tableau de bord WordPress avec le protocole SSL. Leur installation est expliqué clairement sur le site https://bloginfos.com/cles-securite-wordpress/
Plugin (extension) pour faire des sauvegardes
Comme je l'ai mentionné dans le billet, j'utilise la version prémium de UpDraftPlus pour réaliser des backups. Vous en trouverez d'autres dans la liste des plugin officiels de backup sur le site WordPress.
Plugin (extension) pour sécuriser votre site WordPress
En visitant le site officiel de WordPress vous trouverez des plugins pour sécuriser votre site contre le piratage.