Contamination et Contact Form 7

Contamination et Contact Form 7

On a tous vu une page rouge en allant sur un site avec le logo de Google en nous indiquant que ce site peut être dangereux. Et bien c’était peut-être un de mes sites !

blocage-google[1]

Le jour ou cette page s’affiche

Un jour comme un autre, veille d’un jour férié, je tombe sur un mail de Google m’informant qu’un de mes sites est contaminé par un code malicieux. Tout de suite, je me rends sur la page des Outils de Webmaster de Google pour en savoir plus. Plus particulièrement dans la rubrique ” Etat de Santé > logiciels malveillants ” et là c’est le drame ! Une trentaine de pages contaminées par un morceau de code malicieux.
mail-google-search[1]
Une tasse de café en faisant les cents pas pour comprendre d’où vient cette menace. Je me remets devant l’écran et je suis la démarche de Google proposée en cas d’infection par un malware, changement des mots de passe du serveur dédié, des comptes FTP et des WordPress installés. J’active le mode maintenance du site contaminé pour protéger les internautes voulant venir visiter le site.
verifier-etat[1]
Je commence à chercher la faille, autant dire je me creuse les méninges pour comprendre pourquoi cette infection a pu arriver sachant qu’on ne peux pas déposer de commentaires sur ce site, j’écarte la possibilité d’un commentaire indésirable. Je regarde les logs de la contamination dans les Outils de Webmaster et il m’indique que depuis une dizaine de jours, quand un internaute fait appel à cette page, celle-ci lui renvoie un lien malicieux. Comme je note toutes les modifications des pages que j’effectue sur papier, je regarde à cette date et la stupeur : configuration et intégration de Contact Form 7. Oui surprit car c’est un plugin qui est beaucoup utilisé et même recommandé par la communauté WordPress.

Décontamination

J’ouvre mon client FTP favori, direction mon dossier plugins (wp-content/plugins) et je supprime le dossier Contact Form 7, sans hésitation. Ensuite il faut retourner dans les Outils pour les Webmasters et faire une demande de réexamen du site contaminé dans la rubrique ” Etat de santé > Logiciels malveillants “. Sur le moment, je commençais à me dire que ça allait prendre plusieurs jours voir plusieurs semaines et ben non !! En même pas 12 heures mon site à été réexaminé et validé. Google est très réceptif sur les contaminations. Super content que ce soit si vite réglé ce litige surtout un jour férié, je regarde mes mails et là c’est encore le drame ! 3 autres sites contaminé par un code malicieux, rebelote je refais la même marche à suivre pour la décontamination et je passe l’examen avec succès tout en supprimant le dossier “contact form 7” sur ces 3 sites. Pour éviter qu’il se propage partout j’ai carrément supprimé ce dossier sur tous les autres sites où je l’avais installé.

iframe[1]

examen-en-cours[1]

Examen réussi et pourtant j’ai toujours un problème avec mes homepages, elles me renvoient sur une page blanche. Il faut attaquer le code source pour vraiment savoir ce qu’il se passe. Direct j’ai trouvé la cause, Google avait modifié toutes les pages à la racine du site pour sécuriser les visites des internautes. Rien de plus simple, j’ai uploadé les pages à la racine de WordPress dans la racine du site. Et miracle tout est revenu à la normale.

La cause ?

La cause, je n’ai pas pu véritablement la vérifier puisque j’ai supprimé directement le dossier CF7 pour m’en débarrasser mais après plusieurs recherches sur internet, cela peut provenir de l’activation du captcha et encore plus surprenant le fichier README.txt. Une URL dans le fichier texte que Google a détecté et l’aurait prise comme une menace.

Petits conseils

Petits conseils qui peut vous aidez:
– Supprimez les fichiers README.txt quand vous installez WordPress ou un plugin.
– Rien ne sert de remplacer la page ou de refaire une installation WordPress pour corriger une erreur pour gagner du temps. La preuve, je peux être toujours menacé si je réinstalle ce plugin par contre j’ai gagner du temps en faisant un upload des pages de la racine WP à la racine du site.
– Téléchargez toujours les extensions à partir du site WordPress.org. C’est une source de vulnérabilité si on reprend le même plugin pour d’autres sites.
Exemple : On télécharge CF7 sur le site A, on le récupère pour le site B et le site C, par contre si la mise n’a pas été effectué, vous avez 3 sites en danger.

Conclusion

Je ne suis pas déçu de cette vulnérabilité causé par un plugin, tout au contraire cela m’a permis d’en savoir plus sur la sécurité de WordPress et d’avoir une expérience à partager si quelqu’un d’entre vous devenez victime.

Je fini cet article par une phrase que certains devront prendre conscience en particulier pour ceux qui remplace pour corriger: Il faut toujours comprendre d’ou vient la menace et savoir comment la vaincre.

Vous aimez ? Partagez !


Réagir à cet article

220 caractères maximum