Comment savoir si mon site a été touché ?

Vous n’avez pas à le savoir. Nous listons chaque fichier ressemblant à un favicon et vérifions les en-têtes — un vrai favicon est une image, tout le reste est candidat à la suppression. S’ils sont propres, on vous le dit.

Les backdoors « favicon » sont-elles vraiment dangereuses ?

Oui. Un fichier PHP déguisé en favicon peut exécuter n’importe quoi sur votre serveur dès que l’attaquant l’appelle correctement. C’est un point d’appui qui survit aux mises à jour et à la plupart des scans automatiques.

Cela peut-il affecter le SEO ou le classement Google ?

Seulement de manière indirecte — la backdoor sert généralement à déposer d’autres malwares (redirections, spam SEO, skimmers) qui, eux, affectent le classement. On les vérifie pendant le nettoyage.

Comment cela s’est-il produit ?

Nous identifions le plugin ou l'identifiant qui a laissé entrer l'attaquant et fermons cette porte avant de clôturer.

// PHARMA HACK · WORDPRESS · NETTOYÉ

WordPress favicon malware removal.

Les attaquants déguisent des backdoors PHP en favicons parce que personne ne les regarde. On trouve les faux, on supprime la backdoor qui les a déposés et on vous explique par où elle est entrée. Forfait 279 $.

Démarrer un nettoyage → Comment l'infection fonctionne

§ 01 — MÉCANISME

Un fichier favicon n’est qu’une image. Sauf quand ce n’en est pas une.

L’astuce est simple : l’attaquant dépose un fichier nommé favicon.ico_bak, favicon_baddc6.ico ou wp-favicon.php dans vos dossiers WordPress. La plupart ressemblent à des sauvegardes normales. Certains sont en réalité du PHP que le serveur exécute quand on l’appelle correctement.

Les hébergeurs et les extensions de sécurité ignorent les fichiers qui ressemblent à des images, et c’est précisément pour ça que l’attaquant choisit ce déguisement. On liste chaque fichier ressemblant à un favicon, on compare à un WordPress propre, et on confirme ce que c’est vraiment.

// find — fichiers favicon qui n’en sont pas

01 find . -type f \( -name 'favicon*.ico*' \\
02     -o -name 'favicon*.php' \\
03     -o -name '*-favicon*' \)
04
05 // Anything outside the theme root, or any PHP file
06 // in the list, is a candidate for a backdoor.

§ 02 — CE QUE NOUS SUPPRIMONS

Chaque endroit où cette infection se cache.

[ TRIAGE DES PLUGINS ]

Chaque fichier au nom de type favicon est listé et inspecté — en-têtes d’image, taille, date de dernière modification.
[ FICHIERS ]

Faux fichiers favicon supprimés. Le PHP déguisé en image est extrait avant suppression pour savoir ce qu’il faisait.
[ BACKDOORS ]

La backdoor qui les a déposés — généralement dans wp-content/uploads ou mu-plugins — est trouvée et supprimée.
[ BASE DE DONNÉES ]

wp_options et widgets actifs vérifiés pour toute persistance liée. Tâches planifiées auditées.
[ DURCISSEMENT ]

Exécution PHP désactivée dans les dossiers uploads. Permissions resserrées pour que l’astuce ne soit plus rejouable.
[ RAPPORT ]

Rapport médico-légal en langage clair, vecteur d’entrée nommé, ce qu’il faut changer avant la remise des clés.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →