Il un sito web compromesso può essere una situazione estremamente frustrante e dannosa per la tua attività online. Fortunatamente, se il tuo sito è stato costruito con il CMS WordPress, ci sono alcune soluzioni pratiche che puoi adottare per risolvere questo problema e ripristinare la sicurezza del tuo sito. In questo articolo, esploreremo le cause più comuni di compromesso dei siti WordPress e ti forniremo le istruzioni dettagliate per riparare il tuo sito in modo efficace.
Se il tuo sito WordPress è stato violato, niente panico! Proprio come tutto ciò che riguarda l’IT, risolvere questo è semplicemente una questione di seguire i passi giusti. La seguente guida ti aiuterà a riparare il tuo sito Web WordPress compromesso. La sua manomissione potrebbe danneggiare anche pesantemente i guadagni del tuo blog, presta quindi attenzione allo stato di salute del tuo sito web per evitare queste problematiche.
Informazioni sugli hack di WordPress
È importante tenere presente che la maggior parte degli hack di WordPress non sono mirati: è altamente improbabile che tu sia stato preso di mira e attaccato in modo specifico.
Lo scenario più probabile è che qualche grande botnet (spesso migliaia di computer sotto il controllo di una persona o di un gruppo di hacker) disponga di uno strumento automatizzato che esegue la scansione delle vulnerabilità nei siti WordPress e tenta di sfruttarle in modo automatizzato.
Perché lo fanno? Alcuni possibili motivi:
- Per un’ulteriore replica (diffusione) utilizzando il tuo sito Web per infettare anche altri siti Web.
- Per inviare enormi quantità di spam dal server del tuo sito web
- Creare un sito di phishing, ad esempio un’imitazione del sito Web di una banca, per cercare di indurre le persone a fornire a questi hacker le credenziali di accesso della banca.
- Per ottenere un elenco di indirizzi e-mail da aggiungere ai loro database di spam (dai tuoi utenti WordPress, in particolare con abbonamenti o siti di e-commerce)
Sebbene sia possibile che stiano cercando i dati della carta di credito, è altamente improbabile poiché quasi tutte (se non tutte) le soluzioni di e-commerce che utilizzano WordPress tendono a utilizzare processori di carte di credito che non memorizzano i dettagli della carta di credito nel database di WordPress.
Gli hacker lo sanno e tendono a evitare di preoccuparsi di tentare di raccogliere automaticamente questo tipo di dati, oltretutto avere un sito web danneggiato compromette significativamente il posizionamento organico del vostro sito web, annullando tutti i lavori fatti sulla seo e sul suo posizionamento.
Disattivare il sito per proteggerne la reputazione
Se non sei in grado di occuparti immediatamente di questo problema, è assolutamente necessario disabilitare il tuo sito. Come indicato sopra, molti hack tentano attivamente di diffondere copie di se stessi o di attaccare altri, e vorrai chiuderlo immediatamente fino a quando non sarai in grado di riparare, questo per salvaguardare la tua reputazione davanti ai visitatori del tuo sito.
A volte può essere difficile stabilire se l’hack stia attaccando attivamente gli altri, nel 99% dei casi però si limita a servire pubblicità spam (molte volte rimandi a siti porno, siti illegali o siti di casino).
Nel caso però che il tuo sito possa infettare direttamente il pc del tuo visitatore, e non interrompi immediatamente tale comportamento, puoi danneggiare la reputazione del tuo sito Web per settimane o addirittura mesi.
I motori di ricerca (come Google) e i software antivirus come TrendMicro e McAfee bloccheranno quindi il tuo sito Web, causando un massiccio calo dei visitatori e potenzialmente anche un calo del posizionamento nei motori di ricerca.
Questo è molto brutto ed è esattamente il motivo per cui non dovresti consentire al tuo sito di continuare a funzionare fino a quando l’hack non viene ripulito.
Eseguire un backup
Inizia sempre eseguendo il backup del tuo sito Web utilizzando il tuo metodo preferito (Ftp, Plugin o Altro)
Perché vuoi eseguire il backup se includerà i file compromessi? Dal momento che dovrai modificare e rimuovere i file manualmente (e automaticamente utilizzando strumenti come WordFence), è importante disporre di un backup di tutto nel caso in cui sia necessario ripristinare un file o due.
Assicurati che quando crei il backup, lo etichetti chiaramente come “compromesso” in modo da non ripristinarlo in futuro, pensando che sia un punto di ripristino, quando avrai sistemato il tutto, potrai eliminare il tuo backup compromesso in tutta semplicità.
*In tutti i casi di siti Web compromessi che abbiamo visto, non devi preoccuparti che i file compromessi infettino il tuo computer. Questi file infetti devono quasi sempre essere eseguiti su un server Web per essere efficaci nel fare qualsiasi cosa. Detto questo, assicurati di non fare doppio clic / eseguirli per ogni evenienza!
Ripristina l’accesso amministratore del sito web
Il primo passo è vedere se riesci ad accedere al front-end del sito e all’amministratore di WordPress con le tue solite credenziali. In caso contrario, scopri cosa impedisce l’accesso.
Di seguito sono riportati un paio di potenziali scenari che potrebbero impedirti di accedere all’amministratore del tuo sito web. Se *puoi* accedere al tuo pannello amministratore, puoi saltare questo passaggio.
Hai una schermata bianca?
Questo è il nome di ciò che accade quando tenti di accedere al tuo sito Web o all’amministratore del sito Web e ottieni solo uno schermo bianco senza nulla sopra, piuttosto che la tua home page o la pagina di accesso dell’amministratore.
Lo schermo bianco si verifica quando si verifica effettivamente un errore sottostante, ma viene solo registrato, non mostrato sullo schermo. Questo è in realtà un buon comportamento, nonostante come potrebbe sembrare in questo momento, poiché molti plugin e temi registreranno avvisi e avvisi che non vuoi siano visibili ai tuoi utenti. Tuttavia, quando si tratta di un errore critico, non si ottiene nulla sullo schermo: da qui lo schermo bianco!
Un hack che abbiamo visto di recente, ha manomesso il file principale di WordPress index.php aggiungendo una riga “include” per includere un altro file.
Sfortunatamente (o fortunatamente) il file che stava cercando di includere mancava, causando un errore. Il registro degli errori indicava qualcosa sulla falsariga di “impossibile trovare il file”. Pertanto, la rimozione della riga “include” da index.php ha risolto il problema e riportato il sito Web online. Detto questo, non ha chiarito l’intero hack, quindi assicurati di non aggiustare questa cosa e dire “Ho finito!” – probabilmente c’è molto di più.
Una volta risolto il problema, prova a visitare il sito e/o ad accedere nuovamente all’amministratore. Se non riesci ancora ad accedere alla home page o alla pagina di login, dopo aver corretto l’errore riscontrato nei log, probabilmente hai semplicemente riscontrato un errore diverso. Spesso sarà necessario ripetere questo processo alcune volte, modificando file diversi ogni volta in base all’errore fornito nei registri, prima di poter riottenere l’accesso completo.
La password non funziona?
Se la password dell’amministratore non funziona, l’hacker (o più probabilmente lo strumento di hacking automatico) ha modificato la password dell’amministratore. Il prossimo passo è quindi reimpostare la tua password di amministratore! Ecco come reimpostare la password dell’amministratore di WordPress per riottenere l’accesso .
Misure amministrative di WordPress
- Scansioni malware di WordFence: installa WordFence ed esegui una scansione. WordFence potrebbe non essere sempre il migliore nel prevenire un attacco, ma può essere decente nell’aiutare a ripulirne uno.
- Password amministratore: cambia tutte le password utente “amministratore” di WordPress in valori sicuri . Ciò significa che sono preferiti almeno 20 caratteri e generati casualmente. Se stai chiedendo “come ricorderò mai quelli?” allora probabilmente non stai usando un gestore di password come LastPass e dovresti assolutamente esserlo.
- Aggiorna tutti i plugin e i temi: se disponi di plugin e temi commerciali che non si aggiornano utilizzando il programma di aggiornamento integrato di WordPress (non va bene), assicurati di aggiornarli manualmente, quindi imposta un’attività ricorrente per aggiornarli ogni mese e chiedi al sviluppatore per funzionalità di aggiornamento automatico! Se non desideri il lavoro extra dell’aggiornamento manuale, cambia il tema o il plug-in in uno che si aggiorna automaticamente.
- Ispezione visiva: esamina le pagine nell’amministratore di WordPress per vedere se trovi qualcosa che non va. Cerca temi e plug-in che potrebbero essere stati caricati in modo imprevisto. Cerca cose che non ricordi esistessero in precedenza; potrebbero darti un indizio su dove si trova la vulnerabilità o su cosa è stato modificato dall’hack. Se, ad esempio, vedi un comportamento strano da un particolare plug-in, sii aggressivo ed elimina completamente il plug-in, quindi reinstalla una nuova copia da Plugin> Aggiungi nuovo. Ciò garantisce che se anche i file del plug-in fossero infetti, verranno sostituiti da file puliti.
Ripristina i file principali
Innanzitutto, scarica una nuova copia di WordPress sul tuo computer ed estraila, se il tuo sistema non lo ha fatto automaticamente. Quindi collegati tramite ftp al tuo hosting dove potrai caricare e ripristinare i file nuovi.
Ispezione visiva / Trova la differenza
Confronta l’elenco dei file live tramite FTP o nel file manager Plesk con ciò che vedi dal set di file WordPress appena scaricato sul tuo computer. (Questi file saranno simili a wp-config.php, wp-settings.php, ecc.).
Non è necessario aprire i file; stiamo solo controllando per vedere se ci sono file extra che l’hack potrebbe aver messo in atto che non hanno bisogno di essere lì.
Se noti qualcosa di diverso, scaricalo sul tuo computer* (nel caso in cui non sia effettivamente dannoso, avrai una copia salvata che puoi ripristinare) ed eliminalo dal server. Ripeti l’operazione finché non sei sicuro che l’installazione di WordPress non contenga file estranei non essenziali.
Sostituzione file (più rapida)
Una tattica estremamente efficace consiste nell’eliminare semplicemente ogni file e cartella che inizia con “wp-” tranne wp-config.php e wp-content. Assicurati di non eliminare quei due in quanto contengono una buona parte di ciò che fa apparire il tuo sito così com’è. Dopo aver rimosso i file wp-*, carica le nuove copie dal set di file WordPress scaricato. Assicurati di caricarli tutti e di non sovrascrivere wp-content né wp-config.php!
In questo modo si garantisce che se i file principali di WordPress sono stati infettati, sicuramente non lo saranno più.
Si consiglia quindi di ripetere questo processo con ogni cartella di plugin trovata in wp-content/plugins/ e ogni cartella di temi trovata in wp-content/themes (nota: probabilmente non ne troverai una per *ogni* tema), solo assicurati di eseguire prima un backup, nel caso in cui sia necessario ripristinarli. Se il tuo sviluppatore ha svolto correttamente il proprio lavoro, qualsiasi personalizzazione che ha implementato si trova nei temi child e pertanto non sarà influenzata da un aggiornamento del tema principale o da un aggiornamento del plug-in.
Una volta che hai fatto questo con i file core di WordPress e ogni cartella di plugin e temi, le cose diventano un po’ più complicate. Non possiamo semplicemente sostituire il resto dei file con nuove copie in quanto non ci sono nuove copie: ciò che resta è il contenuto unico e gli elementi di design che compongono il tuo sito!
Il meglio che puoi fare da qui è esaminare manualmente il resto delle cartelle wp-content per vedere se trovi qualcosa che non dovrebbe essere lì. Ecco alcuni consigli:
- wp-content/uploads dovrebbe contenere solo cartelle, immagini e documenti. Non dovresti trovare file .php o file .js o altri tipi di file di codice, tranne forse HTML non elaborato.
- Se tu o il tuo sviluppatore avete utilizzato un tema figlio in wp-content/themes/<child_theme_name> durante la creazione del vostro sito, dovrete (o il vostro sviluppatore dovrà) ispezionare ciascuno dei file all’interno della cartella del tema figlio per vedere se c’è qualche codice dannoso inserito in essi.
Come versione non conclusiva, ma rapida di questo… la maggior parte degli hack tende a inserire codice all’inizio o alla fine dei file, quindi il 99% delle volte sarà sicuro controllare semplicemente all’inizio e alla fine di ogni file in il tema figlio.
Manutenzione finale
Ora che hai ripulito l’installazione di wordpress
- Modificare le chiavi di sicurezza in wp-config.php per forzare la chiusura di tutte le sessioni di accesso
- Reimposta la tua password FTP in Plesk, per ogni evenienza.
- Cambia la password del tuo database. Inizia modificandolo nel tuo pannello di controllo. Quindi, una volta ottenuta la nuova password del database, è necessario informare WordPress della modifica aggiornandola in wp-config.php.
- Elimina tutti i plug-in che consentono un facile accesso diretto ai file da WordPress, come il plug-in “wp-file-uploader” che consentono un facile accesso ai malintenzionati.
- Segui i passaggi qui per rafforzare la tua installazione di WordPress , che se rimani aggiornato su tutto ciò che è descritto in quell’articolo, impediranno che il tuo sito venga nuovamente violato.
- Chiedi al tuo hosting WordPress di eseguire una scansione malware per eventuali file infetti aggiuntivi che potresti aver perso.
- Assicurati di fare un backup del tuo sito appena pulito, e assicurati di attivare copie di backup periodiche per fare in modo che questo diventi solo un brutto ricordo.
In conclusione
Pulire un sito web infettato su WordPress richiede tempo, pazienza e conoscenza tecnica, ma è una operazione alla portata di tutti se seguiamo una guida che ci possa aiutare a seguire i primi passaggi se non siamo avvezzi alla pulizia del core.
Tuttavia, seguendo i passaggi descritti in questo articolo, sarai in grado di ripristinare il tuo sito in poco tempo. Ricorda che prevenire le infezioni è sempre meglio che curarle, quindi assicurati di mantenere il tuo sito aggiornato, di utilizzare una password sicura e di avere un buon piano di backup. Inoltre, considera l’utilizzo di un plugin di sicurezza affidabile per proteggere il tuo sito in futuro. Speriamo che queste informazioni ti siano state utili e che tu possa ora navigare con fiducia sul tuo sito web pulito.