Quand on installe un plugin de sécurité, on s’attends qu’il sache bloquer les attaques, les pirates, les mauvaises requêtes, les brute force, empêche les vols de comptes utilisateurs, tout ce genre de chose.
Mais parfois, ils font un peu de zèle et vous vous retrouvez alors bloqué, en dehors de votre propre site web, sans moyen d’entrer de nouveau.
Voici alors quelques solutions pour vous en sortir :
SecuPress
D’abord, parlons de ce qui peut arriver avec SecuPress. Vous avez fait trop de tentatives de connexion, ou vous avez mal orthographié votre login, votre IP est alors bannie. Un formulaire vous permets de vous décoincer, c’est à dire qu’en temps qu’administrateur, vous avez le droit de demander de supprimer le blocage.
FTP
En navigant dans votre site via un logiciel FTP comme FileZilla ou Transmit vous avez la possibilité de désactiver un plugin qui pose problème.
- Trouvez le chemin des plugins, il se trouve habituellement dans
/wp-content/plugins/
, - Renommez le dossier du plugin qui pose problème, ajoutez par exemple “.old” en fin de nom,
- Retournez dans votre administration, page des plugins.
Vous devriez pouvoir y accéder et y lire une notification indiquant que le plugin en question a été désactivé car introuvable.
.htaccess
Il est aussi probable que le plugin ai modifié des fichiers afin de vous bloquer en amont. Si vous êtes dans un environnement Apache vous trouverez à la racine de votre site un fichier .htaccess
, sinon passez à la suite.
Ce fichier peut contenir des lignes interdisant la visite du site pour certaines adresses IP. Donc si le blocage persiste :
- Faites une sauvegarde de ce fichier !
- Cherchez dans ce fichier quelque chose du genre :
deny from 127.0.0.1
sans oublier de chercher votre IP à la place de celle-ci. - Effacez cette ligne et sauvez le fichier,
- Retournez dans votre administration, vous devriez avoir accès.
Votre IP peut être facilement trouvée en 1 clic sur monip.org.
mu-plugin
Toujours pas le cas ? D’accord, continuons de chercher. Il est aussi possible pour un plugin désactivé de continuer à fonctionner via des mu-plugins (Must Use Plugins) qu’il aurait créé.
Ce mu-plugin va par exemple, charger le plugin en question, ou aller lire en base de données des adresses IP à interdire, et vous êtes donc encore dedans.
Rouvrons le FTP, vous avez la possibilité de désactiver ces mu-plugins qui posent problème.
- Trouvez le chemin des mu-plugins, habituellement
/wp-content/mu-plugins/
, - Si vous n’en avez pas, passez à l’étape suivante, sinon
- Renommez le dossier des mu-plugins ou renommez juste le fichier qui pose problème si vous le connaissez, ajoutez par exemple “.old” en fin de nom,
- Retournez dans votre administration, vous devriez avoir accès.
loader
Et bien, celui-ci nous résiste ! Mais nous n’avons pas encore tout donné. Il est encore possible de faire charger du contenu PHP sans que WordPress n’intervienne.
De nouveau dans le FTP, vous trouverez à la racine un fichier php.ini
ou .user.ini
qui contient des règles de configuration PHP.
Si vous n’en avez pas, passez à l’étape suivante, sinon
- Faietes une sauvegarde de ce fichier !
- Editez le fichier et cherchez
auto_prepend_file [path/to/the/filename].php
, où filename est le nom d’un fichier. - Supprimez cette ligne et sauvez le fichier.
- Retournez dans votre administration, vous devriez enfin avoir accès.
Wordfence
Wordfence utilise ce système avec le nom de fichier wordfence-waf.php
vous pouvez aussi le supprimer seulement vous avez bien édité le fichier précédent ! Au pire, videz-le.
Reactivation du plugin
En tout début d’étape, nous avons renommé le dossier du plugin qui pose problème, il faut maintenant le remettre avec le nom correct, faites donc la manipulation inverse.
Ceci va nous permettre de réactiver le plugin, sauf que … il risque de nous bloquer de nouveau pour plusieurs raisons :
- Pourquoi nous a t-il bloqué à l’origine ? Il faut réussir à comprendre la raison de ce blocage afin d’éviter de se refaire bloquer et recommencer en boucle la lecture de cet article,
- Il peut avoir aussi inséré notre adresse IP en base de données, et lors de sa réactivation, il ira de nouveau lire cette donnée, et nous bloquera.
Il nous faut alors aller en base de données pour supprimer notre adresse IP, sans savoir où elle peut se trouver précisément.
Base de données
Il vous faut maintenant vous connecter à un gestionnaire de base de données, cela peut être un logiciel comme Sequel Pro, ou une application online comme PhpMyAdmin.
Ensuite, trouvez votre base de données et votre préfixe. Ces informations sont lisibles en clair dans le fichier wp-config.php
` de votre installation. Exemple :
Une fois dans votre gestionnaire de base de données :
- Ouvrez la table
wp_options
(avec le préfixe qui vous correspond), - Cherchez alors dans la
option_value
la valeur de votre adresse IP avec la comparaisonLIKE %…%
ouLIKE
si vous ajoutez vous même les%
autour de l’IP, une image valant 1000 mots : - Supprimez cette entrée.
iThemes Security
iThemes crée une table nommée wp_itsec_lockouts
(toujours avec votre préfixe) qui contient aussi des blocages, puis trouvez votre ip dans lockout_host
et supprimez cette entrée !
Perte du mot de passe
Dernier cas possible. Le plugin ne vous a pas bloqué, votre adresse IP n’est pas en liste noire, mais votre mémoire vous fait défaut sur ce fameux mot de passe, et impossible de récupérer via la récupération du mot de passe (le service email est tombé, l’email est ancienne, vous n’avez plus non plus son pass, etc).
Si vous avez accès au FTP, alors vous avez la possibilité de vous connecter à un compte administrateur sans même avoir à connaitre le mot de passe, vous pouvez aussi créer un compte administrateur sur le site.
Pour cela, utilisez notre script gratuit SecuPress Backdoor User, il vous suffit de le renommer puis de le placer dans votre installation pour ensuite y accéder et y trouver ce panneau :
J’espère que vous avez retrouvé l’accès à votre site et que vous pouvez reprendre vos activités normales !