Dans cet article, nous allons parler de l’importance de maintenir votre site WordPress exempt de tout malware. Cela est essentiel pour garantir une expérience utilisateur agréable et pour éviter tout ralentissement de votre site. Bien que de nombreux utilisateurs utilisent des plugins WordPress pour rechercher des malwares, cela n’est souvent pas suffisant (et la plupart du temps ces extensions sont payantes…).
Tout d’abord, nous allons voir ensemble comment installer et utiliser Linux Malware Detect, un logiciel open source de détection et suppression de malwares qui est disponible sur Github.
Ensuite, nous verrons comment l’intégrer avec ClamAV pour accélérer la détection et effectuer une analyse automatisée quotidienne.
Sommaire
Installation de ClamAV
On commence par installer ClamAV, ce qui permettra d’accélérer les analyses de Linux Malware Detect.
sudo apt-get install clamav -y
Rien de plus à faire… L’installation de ClamAV est terminée (c’était l’étape la plus facile).
Installation de Linux Malware Detect
Maintenant nous allons installer Linux Malware Detect. Pour ce faire, veuillez taper ces lignes dans votre terminal :
cd /tmp wget https://www.rfxn.com/downloads/maldetect-current.tar.gz tar -xf maldetect-current.tar.gz rm -rf maldetect-current.tar.gz cd maldetect* sudo bash install.sh
Comme vous pouvez le constater, nous nous mettons dans le répertoire temporaire du système, nous téléchargeons et décompressons l’archive. Enfin, nous supprimons l’archive et nous rendons dans le dossier décompressé pour démarrer l’installation.
Mettre à jour la base de donnée de Malware Detect
Il est essentiel de maintenir à jour les signatures de détection des logiciels malveillants.
Notez que le cronjob quotidien le fera automatiquement. Mais pour lancer la première analyse, nous allons mettre à jour la base de donnée manuellement : sudo maldet --update-sigs
Configuration de Malware Detect
De base, Linux Malware Detect exécute un cronjob quotidien pour analyser vos dossiers. Je vais vous montrer comment vérifier que le programme scanne les bons dossiers contenant vos sites WordPress. Dans cette section, nous allons configurer les alertes par e-mail si une infection a été trouvée.
Attention: Vous devez avoir postfix, sendmail ou un autre daemon configuré pour envoyer des e-mails depuis votre VPS ou dédié.
Il vous faudra éditer le fichier suivant :
sudo nano /usr/local/maldetect/conf.maldet
Activez les alertes par e-mail en définissant email_alert="1".
Définissez l’adresse e-mail qui recevra les notifications dans la variable email_addr.
Vérifiez que Linux Malware Detect nettoie les infections si possible en définissant quarantine_clean="1"
Assurez-vous que ClamAV est utilisé pour accélérer l’analyse en définissant scan_clamscan="1".
Si vous souhaitez recevoir des alertes par email uniquement en cas de détection d’un malware WordPress, laissez email_ignore_clean comme valeur par défaut.
Si vous voulez toujours recevoir des alertes par email, mettez email_ignore_clean="0".
Maintenant, appuyez sur Ctrl+X, Y et Enter pour enregistrer et quitter l’éditeur de fichier.
Configurer le cronjob
Par défaut, le programme effectue des analyses très gourmandes en ressources. Nous allons voir comment cibler uniquement les répertoires ayant des installations WordPress.
Personnalisez les dossiers que Linux Malware Detect analyse en modifiant les paramètres par défaut. Ouvrez son fichier cronjob. sudo nano /etc/cron.daily/maldet
Trouvez la ligne concernée en utilisant Ctrl+W et en collant /usr/local/apache.
$inspath/maldet -b -r /home?/?/public_html/,/var/www/html/,/usr/local/apache/htdocs/ $scan_days >> /dev/null 2>&1
Nous allons la remplacer par votre dossier (souvent « /var/www ») :
$inspath/maldet -b -r /var/www/ $scan_days >> /dev/null 2>&1
Maintenant, appuyez sur Ctrl+X, Y et Enter pour enregistrer et quitter l’éditeur de fichier.
Nous allons lancer le scan manuellement pour effectuer notre première analyse (la durée peut varier en fonction de la quantité de fichiers à analyser dans votre répertoire www).
sudo bash /etc/cron.daily/maldet
Attendez que la commande se termine et assurez vous que tout c’est bien passé en vérifiant les logs :
sudo maldet -l
Vers la fin, vous devriez avoir : {scan} scan completed on /var/www/: files 11, malware hits 0, cleaned hits 0, time 21s
Conclusion
Félicitations ! Vous avez normalement réussi à mettre en place Linux Malware Detect et votre serveur est prêt à détecter et mettre en quarantaine tout fichier infecté.
