Cet article est un guide pratique pour apprendre à déceler et à supprimer les codes base64 qui sont parfois cachés dans les thèmes gratuits pour WordPress.
Vous voulez installer un nouveau thème WordPress tout beau tout neuf que vous avez téléchargé gratuitement sur un site quelconque. Je vous conseille de vérifier ce thème avant toute installation dans votre base de données surtout si le site en question ne jouit pas d’une excellente réputation, Il y a alors environ 70% de chance (ou plutôt de malchance…) que votre thème gratuit comporte un code base64.
Qu’est-ce qu’un code base64
Les code Base64 sont des codes principalement utilisés pour la transmission de messages sur le net en codage MIME. Il est appelé base64 car ce codage est composé de 64 caractères.
La plupart des codes Base64 affichent un lien vers un site; c’est notamment le cas lorsqu’un créateur de thèmes intègre son lien dans le code pour obtenir un backlink de plus pour son site. Je comprend cette démarche car il est tout à fait normal qu’un auteur qui met son travail à disposition (gratuitement de surcroît…) puisse récolter un quelconque bénéfice se son travail mais la où je ne suis pas d’accord avec ce procédé c’est que je me dis qu’il n’y a pas besoin de cacher ce lien. J’aimerai d’ailleurs qu’on m’éclaire à ce sujet…
Ce code peut aussi être placé par quelqu’un d’autre que le créateur du thème (notamment si vous ne téléchargez pas le thème sur le site de l’auteur). Dans ce cas, ce code n’est plus seulement un code malicieux mais peut s’avérer être un code malveillant et qui peut entrainer beaucoup de dommages pour votre site ou votre serveur notamment au niveau de la sécurité.
Comment détecter un code Base64 ?
Pour détecter si un code malicieux est présent dans le thème que vous avez téléchargé. Rendez vous dans la partie functions.php du thème, c’est le principal endroit ou les codes 64 sont cachés et vérifiez si vous trouvez une base64.
Un code base64 est un code ressemblant à ces lignes:
eval(gzinflate(base64_decode('80jNyclXyFTPVUhJTc5PSU0BAA==')));
Le code eval(gzinflate) est le code caché le plus répandu. Ainsi, si vous cherchez un code base64 dans votre thème, cherchez en priorité des ligne commençant par eval(gzinflate).
Il se peut également que les codes bases64 soient de cette forme:
<?php $o="texte encrypté";eval(base64_decode('rubbish'));return;?>
<?php $_F=__FILE__;$_X='texte encrypté;eval(base64_decode('rubbish'));?>
Si vous n’en trouvez pas dans le fichier functions.php, essayez dans d’autres fichiers tels que header.php, footer.php etc…
Comment déchiffrer un code Base64 ?
Il existe des solutions simples pour déchiffrer un code64, il suffit de copier votre code base 64 sur l’un de ces sites et il vous le décodera automatiquement:
Tools4noobs.com
Tools4noobs est un outil simple et pratique: il suffit de coller votre code dans l’encadré du haut, de cliquer sur Base 64 Decode et de voir le résultat s’écrire automatiquement dans la cadre du bas.
Les autres outils
Il y a, comme nous l’avons vu plus haut, plusieurs sortes de codes base64; c’est pourquoi il existe également d’autres outils de déchiffrage de codes base64 très pratiques si vous n’arrivez pas à décoder les codes avec les outils cités ci-dessus. Ils sont à utiliser en fonction de la nature de votre code malicieux.
- Si votre code64 ressemble à <?php $o=, rendez vous sur ottodestruct.com.
- Pour les codes qui commencent par <?php $_F=__FILE__;$_X=, allez sur tareeinternet.com.
- Pour les codes qui ressemblent à eval(gzinflate(base64_decode(‘…’))); allez sur http://www.tareeinternet.com/scripts/decrypt.php.
<?php $o="Texte encrypté";eval(base64_decode('rubbish'));return;?>
<?php $_F=__FILE__;$_X='Texte encrypté';eval(base64_decode('rubbish'));?>
Si vous voulez en savoir d’avantage sur ces codes Base64, je vous conseille de lire cet article qui vous dit pourquoi il faut éviter de chercher votre thème gratuit via les moteurs de recherches.
Comment les supprimer ?
Pour supprimer un code 64, il suffit de copier le résultat obtenu après déchiffrement et de le coller dans le fichier où vous l’avez trouvé, à la place du code base64.
Sources: http://www.sanctius.net/wordpress/themes-gratuits-wordpress-code-crypte-footer.html http://fr.wikipedia.org/wiki/Base64
- Eddie dans Mettre Photoshop CS6/CC en français
- sylvia dans 100 slogans publicitaires qui ont eu un fort impact
- Baillif dans Mettre Photoshop CS6/CC en français
- sauna Lille dans Liste des applications Adobe pour tablettes et smartphones
- ALBIN Jean-Marc dans Un pdf Adobe de 814 pages pour découvrir et apprendre Photoshop CS6