Que faire en cas de hacking de votre site
Les causes fréquentes
La première étape en cas de hacking de votre site est de déterminer la cause : par quel moyen le hackeur a-t-il pu utiliser votre site à votre insu. Il y a principalement 2 méthodes utilisées :
- En utilisant votre mot de passe
- Par le biais d'une faille de sécurité dans les scripts de votre site
Utilisation abusive de votre mot de passe
Les hackeurs peuvent dans certains cas parvenir à vous subtiliser les mots de passe d'accès de votre site / boîte email. Le plus souvent, cela arrive lorsque votre ordinateur a été infecté par un virus / cheval de troie. Ce cheval de troie peut alors envoyer vers des réseaux de hackeurs des données sensibles se trouvant sur votre ordinateur : mots de passe stockés dans votre logiciel FTP, dans votre client de messagerie, numéros de cartes de crédit utilisées (et ce même si vous les avez utilisées sur des sites sécurisés),...
Dans certains cas, les informations subtilisées ne sont pas utilisées immédiatement, vous pouvez entre-temps avoir nettoyé votre ordinateur, les codes qui ont été transmis restent stockés par le hackeur avant d'être utilisés.
Si votre ordinateur est infecté par un virus / cheval de troie, il est donc vivement conseillé de nettoyer votre ordinateur, mais également de modifier l'ensemble de vos mots de passe et de faire opposition à l'ensemble des cartes de paiement que vous auriez utilisé sur cet ordinateur.
Si votre site / votre boîte email a été compromise en utilisant vos codes d'accès, il vous faut donc faire vérifier tous les ordinateurs utilisant ces codes afin de vérifier si l'un d'eux ne serait pas infecté, puis modifier l'ensemble de vos codes d'accès, en respectant les règles de sécurité en la matière (minimum 8 caractères, pas de mot tiré du dictionnaire,...)
Faille de sécurité dans l'un des scripts de votre site
Ceci est la cause la plus fréquente de hacking. Lorsque vous utilisez des scripts (php,...) pour concevoir votre site (cms, crm, forum, formulaire d'envoi d'email,...) il est important de savoir que ces scripts peuvent contenir des failles de sécurité que les hackeurs peuvent exploiter.
Dans le cas de scripts connus / publics / open source (exemples : Joomla, phpBB, WordPress,...), lorsque ces failles sont découvertes, elles font généralement l'objet de correctifs, mais aussi d'annonces publiques. Il est donc important que vous suiviez de façon régulière le site des développeurs des scripts que vous utilisez et que vous appliquiez le plus rapidement possible sur votre site les correctifs de sécurité publiés. Les failles étant publiques, il est en effet très facile aux hackeurs de rechercher les sites vulnérables et de les exploiter.
Tout ceci vaut bien évidemment pour l'ensemble des scripts : non seulement les scripts principaux, mais également les extensions éventuelles que vous pourriez utiliser.
Que faire une fois que le site a été compromis
Une fois que votre site a été compromis, il y a un risque que le hackeur ait caché au sein du site une porte dérobée, lui donnant accès au site même après correction de l'origine de son intrusion. Il est donc conseillé d'effacer complètement le contenu du site et de réuploader une version saine (et corrigée des failles éventuelles) à laquelle le hackeur n'a pas pu avoir accès (votre propre copie provenant d'un backup fiable par exemple).
Avant de remettre le site en ligne, il est important d'avoir clairement identifié l'origine de l'intrusion et de l'avoir corrigée. Pour cela l'analyse approfondie des logs d'accès (disponibles via ftp dans le dossier /logs) est cruciale.
Dans tous les cas, il est vivement recommandé de réinitialiser l'ensemble des mots de passe que vous utilisez. Vous pouvez modifier vos codes d'accès principaux par le biais de votre espace client, puis les codes des boîtes email individuelles par le biais de votre interface mailadmin.