Pourquoi wp-vcd revient-il sans cesse après que je l’ai supprimé ?

Parce qu’il vit dans chaque thème à la fois. Dès qu’une copie est chargée par WordPress, elle recrée les autres. La seule solution est de retirer toutes les copies d’un seul coup et de casser le loader.

Dois-je réinstaller WordPress pour m’en débarrasser ?

Généralement non. Le cœur de WordPress est rarement modifié par wp-vcd. Le malware vit dans les thèmes, parfois dans des extensions, et dans quelques lignes en base. Un nettoyage ciblé est plus rapide et plus sûr qu’une réinstallation complète.

Mon site restera-t-il hors ligne pendant le nettoyage ?

Oui. On retire le loader injecté en haut de functions.php et on laisse le reste du fichier intact. Vos personnalisations sont préservées.

Comment éviter une réinfection ?

Cessez d’utiliser des extensions et thèmes nulled. Le rapport nomme la source exacte de votre infection pour que vous puissiez la supprimer définitivement.

// PHARMA HACK · WORDPRESS · NETTOYÉ

wp-vcd malware removal.

La famille wp-vcd se copie dans chaque thème de l’installation, c’est pour ça qu’elle revient après suppression. On nettoie chaque thème, chaque functions.php et le loader qui la réinstalle. Forfait 279 $.

Démarrer un nettoyage → Comment wp-vcd se propage

§ 01 — MÉCANISME

Il arrive avec une extension nulled et reste pendant des mois.

wp-vcd est une famille de malwares WordPress présente depuis longtemps. Il arrive presque toujours avec un thème ou une extension piratés téléchargés depuis un site de free-download. Une fois sur le serveur, il se copie dans chaque thème et modifie chaque functions.php pour être chargé à chaque requête.

Supprimer une copie ne sert à rien — les autres la restaurent au chargement suivant. Un vrai nettoyage consiste à trouver toutes les copies en une fois, à les retirer ensemble et à casser le loader qui les réinstalle.

// grep — signatures du loader wp-vcd

01 grep -rn 'wp-vcd\|class.plugin.php\|tmpcontentx' \\
02     wp-content/themes/
03
04 // Loader is usually a base64-encoded blob at the top
05 // of functions.php in every theme on the install.

§ 02 — CE QUE NOUS SUPPRIMONS

Chaque copie, chaque thème.

[ TRIAGE DES PLUGINS ]

Chaque thème de l’installation est listé. Chaque functions.php est comparé à l’original du fournisseur du thème.
[ FICHIERS ]

wp-vcd.php et class.plugin.php supprimés en une seule passe de chaque dossier de thème, pour qu’ils ne se restaurent pas mutuellement.
[ FUNCTIONS.PHP ]

Le loader injecté en haut de chaque functions.php est retiré ; le reste du fichier est préservé.
[ BACKDOORS ]

Comptes wp_user créés par le malware supprimés. Utilisateurs admin cachés — signature de wp-vcd — purgés.
[ DURCISSEMENT ]

Thèmes installés depuis des sources inconnues signalés. Nous recommandons des remplaçants quand l’original est introuvable.
[ RAPPORT ]

Rapport forensique en clair, adapté aux clients, assureurs ou archives.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →