Pour mémoire, l’ancien design ressemblait à celui ci-dessus. Vous noterez que cette version 2 reprend globalement le style du précédent (fond gris, 2 colonnes…), on remarquera juste l’apparition d’un « carrousel » en page d’accueil.

Si nous avons accéléré cette refonte (inéluctable de toute manière), c’est que le blog était piraté (du fait d’une trop grande lenteur à mettre à jour WordPress).

Ce hack était plutôt discret, car c’est seulement sans Javascript qu’on pouvait apercevoir en haut de page des dizaines de liens vers des sites Viagra/Porn. On notera que ce hack a duré sans doute plusieurs mois et que Google n’a pas pénalisé le site.

Par ailleurs, ce hack plutôt bien fait était persistant, c’est à dire que les liens supprimés revenaient systématiquement.

Dans ce type de cas, la difficulté est de savoir quels fichiers ont été infecté. Pour éviter, de chercher une refonte complète a été décidé, avec changement d’hébergement (d’un mutualisé à un autre), changement de mots de passe et la récupération à minima de l’ancienne version (uniquement: BDD et dossier /uploads/).

C’est dans ce dernier dossier que nous avons découvert deux fichiers PHP, ce qui était d’autant plus étrange, qu’un se nommait wp-pass.php. Nous avions découverts  les fichiers pirates .

Il faut espérer maintenant, que cela ne se reproduise plus…

> En savoir plus sur ce hack sur cette discussion sur le forum WordPress