Comment des pages de phishing se sont-elles retrouvées sur mon site ?

Presque toujours une extension vulnérable, un formulaire d’upload non protégé ou des identifiants volés. Les attaquants scannent le web en continu à la recherche de WordPress vulnérables à utiliser comme hébergement jetable.

Suis-je en difficulté avec Google ou mon hébergeur ?

Possible. Google Safe Browsing marque les domaines hébergeant des kits de phishing, et la plupart des hébergeurs suspendent un compte sur signalement. Nous soumettons une demande de réexamen et fournissons une explication écrite à votre hébergeur.

Mes visiteurs s’en rendront-ils compte ?

Non — le kit est sur des sous-pages, pas sur votre page d’accueil. Les vrais visiteurs de votre vrai site ne le voient pas. Les services anti-phishing peuvent ajouter un avertissement sur les URL concernées, que nous faisons retirer dans le cadre du nettoyage.

Comment éviter que cela se reproduise ?

The report names the exact vector and lists the specific changes you need to make. I can also handle them for you.

// PHARMA HACK · WORDPRESS · NETTOYÉ

WordPress phishing page removal.

Votre domaine sert à héberger de fausses pages de connexion Microsoft, Google ou bancaires. On retire le kit de phishing, on referme l’entrée et on dépose les signalements. Forfait 279 $.

Démarrer un nettoyage → Comment des pages de phishing arrivent sur votre site

§ 01 — MÉCANISME

Votre domaine semble légitime. C’est pour ça qu’ils vous ont choisi.

Un WordPress compromis avec un vrai certificat SSL et un domaine ancien est la plate-forme idéale pour une page de phishing. L’attaquant dépose un kit de faux login — souvent dans wp-content/uploads/ — et envoie les liens à des milliers de victimes. Vos visiteurs ne voient l’URL inhabituelle qu’après avoir tapé leur mot de passe.

Retirer le kit, c’est la partie facile. La partie difficile, c’est de trouver la backdoor qui l’a déposé, parce que la même en déposera un autre dans deux jours. On fait les deux.

// find — fichiers suspects récemment téléversés

01 find wp-content/uploads/ \\
02     -type f \( -name '*.html' -o -name '*.php' \) \\
03     -mtime -30
04
05 // HTML or PHP files in /uploads/ created in the last
06 // 30 days are almost always either kits or backdoors.

§ 02 — CE QUE NOUS SUPPRIMONS

Kit de phishing retiré. Backdoor refermée.

[ TRIAGE DES PLUGINS ]

Système de fichiers scanné à la recherche de fichiers qui n’ont rien à y faire : HTML et PHP dans uploads, fichiers imitant des pages de connexion connues, sous-dossiers inconnus.
[ KIT DE PHISHING ]

Chaque fichier du kit supprimé. Ressources statiques, faux formulaires, endpoints d’exfiltration — partis.
[ BACKDOORS ]

La backdoor PHP qui a déposé le kit est trouvée et supprimée, pour que la prochaine fournée ne puisse pas être déposée.
[ DURCISSEMENT ]

Exécution PHP désactivée dans uploads. Contrôles d’upload audités. Permissions resserrées.
[ RAPPORT ]

Signalements envoyés à l’hébergeur de l’endpoint d’exfiltration et aux registrars des marques imitées.
[ RAPPORT ]

Rapport médico-légal en langage clair, liste des marques visées, ce que le kit collectait, ce que nous avons fait pour y remédier.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →