Comment savoir si mon site WordPress est piraté ?

Un .htaccess WordPress propre est court — environ dix lignes de règles de réécriture pour les permaliens. Si le vôtre contient des directives de redirection, des overrides de gestionnaire PHP, des règles conditionnelles pour Googlebot, ou des fichiers .htaccess dans des dossiers qui ne devraient pas en avoir, quelque chose ne va pas.

WordPress ne régénère-t-il pas .htaccess tout seul ?

Seulement le bloc de permaliens standard. Tout ce qu’un attaquant a ajouté en dehors de ce bloc reste en place sauf suppression explicite.

Et si je n’ai pas d’accès shell ?

I can work over SFTP and the WordPress admin if needed. Shell access makes things faster, but it’s not a requirement.

Comment l’attaquant a-t-il atteint .htaccess ?

Soit via une extension vulnérable qui y a écrit, soit avec des identifiants FTP/SFTP volés. Le rapport précise lequel.

// PHARMA HACK · WORDPRESS · NETTOYÉ

.htaccess malware removal.

Quelques lignes en plus dans .htaccess peuvent rediriger tous les visiteurs mobiles, exécuter du PHP depuis le dossier uploads, ou cacher des pages de spam que Google voit. On nettoie, puis on durcit. Forfait 279 $.

Démarrer un nettoyage → Que faisaient les attaquants avec la SQLi ?

§ 01 — MÉCANISME

.htaccess est petit, puissant et facile à manquer.

WordPress n’utilise .htaccess que pour les permaliens — quelques lignes bien connues. Les attaquants y ajoutent des règles de réécriture, des gestionnaires d’ErrorDocument et des overrides d’exécution PHP qui détournent le trafic et exécutent du code là où ils ne devraient pas.

Il peut y avoir plusieurs .htaccess dans votre installation. Nous listons chaque copie sur le système de fichiers, comparons à la version WordPress standard, puis nettoyons ou supprimons celles qui n’ont rien à y faire.

// .htaccess — ajout typique d’un attaquant

01 
02   RewriteCond %{HTTP_USER_AGENT} mobile [NC]
03   RewriteCond %{HTTP_REFERER} google\.com [NC]
04   RewriteRule .* https://evil.example/ [R=302,L]
05 
06
07 // A 302 conditioned on mobile + Google referrer
08 // is the signature of a cloaked redirect hack.

§ 02 — CE QUE NOUS SUPPRIMONS

Chaque .htaccess de l’installation, audité.

[ TRIAGE DES PLUGINS ]

Chaque .htaccess sur le système de fichiers est trouvé et lu — racine, wp-admin, wp-content, uploads, parfois quelques-uns dont vous ignoriez l’existence.
[ RÈGLES DE RÉÉCRITURE ]

Règles de réécriture malveillantes et directives de redirection supprimées. Le bloc WordPress standard est restauré.
[ GESTIONNAIRES PHP ]

Directives AddHandler et AddType qui laissent PHP s’exécuter depuis uploads ou des dossiers de thèmes — supprimées.
[ DURCISSEMENT ]

Règles de protection ajoutées : accès direct à wp-config.php interdit, exécution PHP bloquée dans uploads, xmlrpc.php restreint.
[ RECHERCHE GOOGLE ]

Réexamen Google Safe Browsing soumis. Indexation demandée dans Search Console pour les URL affectées.
[ RAPPORT ]

Rapport médico-légal en langage clair, vecteur d’entrée identifié, avant/après de chaque .htaccess inclus.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →