Se prémunir de virus sur son site internet

Ces derniers temps, plusieurs de mes clients ont vu leur site internet pollué par des virus.

Le phénomène est assez souvent le même : quand on veut accéder à son site, au mieux il s’affiche de manière très dégradée (sans mise en forme), au pire il redirige vers un autre site.

Pour tester si votre site web est infecté, je vous conseille le scanner du site sucuri.net.

Pourquoi et comment attraper un virus ?

Tout d’abord, il faut comprendre qu’un virus, c’est un ensemble de fichiers qui contiennent du code malicieux. A cette différence près, il s’agit donc de fichiers « classiques » (des .html, des .js, par exemple) similaires à ceux de votre site web.

Cela signifie donc que ce code a été placé sur l’espace de stockage où est publié votre site web (votre « site FTP »). Donc que quelqu’un (ou un programme malveillant) a pu écrire dans ces répertoires à votre place !

Or pour accéder à cet espace et y apporter des modifications, il faut en avoir le droit, ce qui est normalement fait grâce à une authentification avec votre nom d’utilisateur et votre mot de passe.

Il n’est donc pas forcément nécessaire de naviguer sur  le site pour attraper un virus.

La plupart du temps, la cause principale du problème a un nom :  FileZilla. Ce programme est un « client FTP », c’est à dire un logiciel qui vous permet de vous connecter à votre espace FTP pour uploader ou downloader les fichiers constituant votre site web. Il est naturel d’utiliser un tel logiciel pour créer ou maintenir son site web.

FileZilla a pour particularité de ne pas crypter son fichier de configuration (celui qui contient les mots de passe des accès FTP).  Le mot de passe de votre accès FTP est donc en clair dans un fichier sur votre disque dur !

Cette particularité est depuis longtemps connue, et revendiquée par les créateurs de FileZilla, qui répondent en substance à cette question par « nous ne voulons pas qu’en cryptant ces mots de passe, l’utilisateur se croit définitivement dans un monde sécurisé ». Soit…

La conséquence de ceci est qu’un « simple » petit virus attrapé sur son ordinateur (via un soft gratuit qu’on a téléchargé ou une pièce jointe malveillante sur laquelle on a cliqué, par exemple) est capable d’aller lire votre mot de passe dans ce fichier, et de faire ce qu’il veut de votre site web !

Je ne peux donc que vous conseiller de ne pas enregistrer le mot de passe de votre site dans FileZilla. Certes, vous aurez à le ressaisir à chaque  fois que vous voudrez vous connecter à votre FTP, mais au moins on ne pourra pas vous le lire à votre insu !

J’avais à une époque cherché une alternative (même payante) à FilleZilla, mais je n’avais trouvé que des vieux softs plus maintenus. Pour ma part, j’utilise donc maintenant Dreamweaver (mais qui est beaucoup plus « lourd » (et cher !) que FileZilla, puisque c’est un environnement de développement web complet).

Comment se prémunir de la présence de virus sur son site web ?

  • Avoir un logiciel antivirus et un « anti-malware » efficaces et à jour (sinon, c’est un peu comme baiser avec une capote percée !). Pour ma part, j’utilise Microsoft Essential Security et Emsisoft Anti-Malware.
  • Utiliser des mots de passe assez complexe, avec des minuscules, des majuscules, des chiffres et des caractères spéciaux, comme par exemple « @lto-pirat!! »
  • Si vous utilisez WordPress, il existe des extensions qui vous avertiront par mail quand des fichiers ont été modifiés.

Et que faire si c’est trop tard ?

Tout d’abord, il faut changer son mot de passe FTP ! En effet, si le virus l’a envoyé par mail à son auteur, il peut revenir plus tard, même si vous avez fait le ménage.

Puis il faut aller regarder sur votre site FTP quels sont les fichiers impactés. Pour celà, il vous suffira le plus souvent de trier les fichiers par date (et oui, quand le virus modifie un fichier, il en change la date).

Mon expérience m’a montré que la plupart du temps, le virus consistait en deux types de code dans les fichiers :

  • des redirections de vos pages vers un autre site
  • l’appel à du code Javascript indésirable, dans des pages HTML ou dans des fichiers .js

 

Les redirections sont faites dans les fichiers .htaccess : il vous suffit donc de télécharger les fichiers .htaccess récemment modifiés, de les ouvrir, et de supprimer les lignes bizarres.

Pour les appels Javascript, on trouvera en général dans les fichiers vérolés une ligne de code contenant :

eval(gzinflate(base64_decode ...... suivi d'un charabia (crypté)

Il faut supprimer toutes ces lignes qui décryptent le code du virus.

Si Google a blacklisté votre site et qu’à la place de votre page d’accueil apparait un avertissement signalant la présence d’un virus sur votre site, vous devez :

  • Vous connecter à votre compte Google (outils webmaster)
  • Aller sur la page d’avertissement
  • Demander le ré-examen de votre site et le dé-blacklistage. Cette opération se fait rapidement

 

Bien évidemment, vous devez également scanner votre ordinateur avec votre antivirus afin d’éradiquer le virus qui aura exploité la faille de FileZilla.

6 commentaires

  1. Merci beaucoup pour cet article très utile….

  2. Hello,
    je ne connais pas cette marque de préservatifs:  » sinon, c’est un peu comme baiser avec une capote percée. Pour ma part, j’utilise Microsoft Essential Security et Emsisoft Anti-Malware. »
    Cordialement
    @+
    robin

  3. Article intéressant à poster dans le forum prestashop dans la rubrique sécurité apparemment il y a pas mal de problème en ce moment. ( peut être la nouvelle version contient certaines failles )

  4. Enfin un article clair sur les raisons de ce problème agaçant que sont les virus malveillants. Merci de ton aide précieuse !!
    @+

  5. Juste quelques question ou je m’interroge …

    A propos de Filezilla…
    Est ce que c’est tjrs d’actualité cette faille ??
    Faut t’il vraiment n’enregistrer aucun passe ??

    En tout les cas bonne information que je savais pas … Même si il faut retaper le mot de passe je préfère quand même que de me faire pirate …

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.