Depuis une semaine environ, soit à compter du 8 juin, une vague de problèmes ont affecté des sites WordPress de certains de nos clients. Travaillant également en relation avec d’autres agences, nous avons également eu retour de cas similaires. Pas d’inquiétude à avoir, la solution est assez simple et rapide.

Qui peut être touché ?

Les sites dont les mises à jour ne sont pas effectuées. Tout le monde le dit, on en parle régulièrement, les mises à jour ne devraient pas être une option. Soit il faut les faire vous même, soit les confier à votre webmaster / agence.

Notez aussi que même avec Wordfence, le htaccess injecté autorise le code suspect à être executé. 

Si Google l’a detecté et vous en a avertit par le biais de la Search Console, alors il vous faudra retourner dans la console et faire une demande de ré-examen.

Le mode opératoire est toujours le même. Insertion d’un fichier .htaccess en remplacement de l’existant, avec quelques autorisations supplémentaires. Insertion d’un .htaccess dans le wp-admin. Résultat, en cas de tentative de connexion il apparait l’erreur :

Forbidden You don’t have permission to access / on this server

donc en premier on supprime les deux .htaccess, puis on en remet un propre à la racine. Et on fait bien ses mises à jour ! Vous n’avez pas de .htaccess sous la main ? Je vous donne plus bas le code neutre lié à un WordPress.

Si vous avez bien la dernière version de WordPress et que tous vos thèmes (il ne devrait pas y en avoir plus d’un avec son thème enfant) et extensions sont à jour, vous ne risquerez plus rien (ou alors WordPress peut fermer ses portes).

Fin de l’article “Sécurisation WordPress Juin 2020” – Home

.htaccess neutre :
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress