SOLUTION
Bonjour à tous,J’ai été hacké par Wertuslash, je viens ici expliquer ce que j’ai fais si ça peut aider.
Déjà : changer tous les mots de passe ftp, accès hébergeur, accès admin, bdd…
Personnellement, les plus anciennes sauvegardes de l’hébergeur étaient déjà infestées…. Évidemment si vous avez des sauvegardes non infestées, vider tout et recharger tout
Si pas de sauvegarde saine : Tout n’est pas foutu, télécharger vos sites via le ftp et vos bdd.
1/ Supprimer via le back du site ou via la table user : le compte admin : de wertuslash
2/Ensuite personnellement c’était dans mon premier dossier de site sur le serveur, supprimer le admin.php qui s’est glissé ici…( tu peux le faire analyser par chat GPT pour vérifier qu’il est malveillant.
3/Sur votre ftp contrôler tous les droits : Donc j’ai site, par site, remis des droits écriture, lecture, exécution correct ci-dessous la règle : Dossiers
• Permissions : 755
o Propriétaire : lecture, écriture, exécution
o Groupe : lecture, exécution
o Public : lecture, exécution
Ça permet au serveur web d’entrer dans le dossier, mais interdit aux autres d’écrire dedans.
Fichiers sensibles (ex. wp-config.php en WordPress)
• Permissions : 600 ou 640
o Propriétaire : lecture, écriture
o Groupe : lecture (optionnel)
o Public : aucun accès
Empêche que d’autres utilisateurs du serveur puissent lire tes identifiants de base de données.
Permissions recommandées pour WordPress
Dossiers (wp-admin, wp-content, wp-includes)
• 755
o Propriétaire : lecture + écriture + exécution
o Groupe : lecture + exécution
o Public : lecture + exécution
C’est la norme : toi seul peux écrire, le serveur web peut lire/exécuter.
Fichiers (tout ce qu’il y a dedans : .php, .css, .js…)
• 644
o Propriétaire : lecture + écriture
o Groupe/Public : lecture seule
Les fichiers restent accessibles pour l’affichage du site, mais ne sont pas modifiables par des tiers.
Cas particuliers
• uploads (dans wp-content)
o Le dossier wp-content/uploads doit aussi être 755
o Les fichiers uploadés → 644
4/ Dans tous vos fichiers wp-config : Enlever deux lignes rajoutés dans le fichier : wp-admin : ( qui empêche les mises à jours de WordPress et des plugging… )
Supprimer cela :
- DISALLOW_FILE_EDIT = empêche uniquement l’édition de code dans le back-office.
- DISALLOW_FILE_MODS = empêche en plus l’installation, suppression et mise à jour de plugins/thèmes/WordPress via l’interface.
et j’ai fait les mises à jour, et une dernière sauvegarde ( bdd et dossier ftp )
5/ Dans chacun de vos dossiers, supprimer le/ les dossiers qui n’ont rien à voir avec votre site, dans mon cas c’était un dossier : 625449 avec des fichiers dedans : .htacces, 1, about et radio, un fichier.txt…….
Il y avait aussi deux autres noms : queueet .trash
Ça se glisse partout wp-admin, wp-content et wp-includes.dans le plugin…
Supprimer tout cela, (il est également possible de charger une version wordpress et de remplacer les dossiers wp-admin et wp-includes ( surtout pas wp-content) au moins ces deux dossiers seront propres.)
Il y avait aussi sur certains sites des plugins inconnu aux nom bizarre : supprimer quand vous ne reconnaissez pas (si doute mettre _old à la fin le temps de voir de quoi il retourne)
Quand vous rechargez les dossiers sains dans le ftp, s’il reste des fichiers infestés, lors du chargement ils sont isolés dans transfert échoués, surtout ne pas les remettre en file d’attente , les retirer et ne pas les remettre.
Voilà j’espère que ça peut aider ! Bon courage !
Vanessa