WordPress hackerato, come ripristinarlo?

Pubblicato in data 20 Luglio 2019 Categoria Sicurezza WordPress

WordPress hackerato

Ritrovarsi con un sito WordPress hackerato è indiscutibilmente una delle peggiori cose che possano capitare. È estremamente stressante e influisce sulla tua attività, sulla tua reputazione, sui risultati di ricerca, sul traffico e molto altro ancora.

Tempo fa abbiamo parlato di come proteggere WordPress ed aumentare la sicurezza ma cosa succede se è ormai troppo tardi? Come si recupera un sito web WordPress hackerato?

Nel seguente articolo esamineremo come recuperare con successo un sito WordPress compromesso.

 

Una nota sulla sicurezza e sul mantenimento di WordPress e dei suoi plugin

Negli ultimi mesi è aumentato i numero di siti di WordPress violati. Non che WordPress sia meno sicuro degli altri CMS (Drupal, Joomla), i problemi principali sono causati dagli stessi proprietari dei siti che non mantengono aggiornato il CMS e i plugin o che utilizzano credenziali di amministrazione semplici o facilmente intuibili (es. admin/password).

Uno dei principali problemi in cui ci imbattiamo ogni giorno come agenzia web sono i siti realizzati con WordPress che eseguono versioni obsolete o utilizzano plug-in vecchi o incompatibili. Molti proprietari di siti web non si rendono conto che, come tutti gli altri software, WordPress ed i relativi plug-in devono essere aggiornati per evitare che un sito web venga violato.

WordPress rilascia aggiornamenti non appena vengono rilevati problemi di sicurezza alle versioni ufficiali, pertanto tenere aggiornato il core del CMS è la prima cosa che deve essere fatta in ottica sicurezza.

 

Il mio sito WordPress è stato hackerato, cosa devo fare?

Ci sono un certo numero di cose che puoi fare immediatamente:

Stai calmo

Non affrettarti a fare cambiamenti in quanto ciò può causare più danni che benefici. Mantenere la calma ti permetterà di prendere più efficacemente il controllo della situazione.

Documenta quello che è successo

Prenditi un momento per documentare cosa è successo. Scrivi:

    • – Cosa puoi vedere? Quali prove ci sono che sei stato hackerato, ad esempio la home page è stata sostituita con una nuova pagina, sono comparsi nuovi collegamenti o le tue pagine vengono reindirizzate?
      – Quale versione di WordPress e dei plugins stai usando? Sono le ultime versioni disponibili?
      – Quali azioni hai intrapreso di recente? È stato installato un nuovo plug-in? Hai apportato una modifica a un tema?

In questo modo è possibile creare un “rapporto sull’ incidente” che potrebbe rivelarsi prezioso per te o una società professionale per identificare ciò che è accaduto e come ripulire il sito.

Crea un backup

Potrebbe sembrare una strana idea, perché eseguire il backup di un sito compromesso? Perchè anche una copia compromessa del tuo sito probabilmente conterrà contenuti e file che non vorrai perdere se qualcosa va storto quando tenti di ripulire il tuo sito o se decidi di iniziare un’installazione pulita da zero. Anche la copia della cartella di caricamento delle immagini è utile perchè non dovrai cercare nuovamente le immagini che hai utilizzato sul tuo sito se dovessero essere necessarie dopo la pulizia.

Identifica l’Hack

È importante identificare quali dei tuoi file sono stati compromessi. Per fare questo è possibile utilizzare una varietà di plug-in, ad es. Sucuri Security Installa il plugin quindi:

    • – Usalo per scansionare il tuo sito per trovare malware dannosi.
      – Verifica la presenza di problemi di integrità dei file di base nelle cartelle wp-admin, wp-include e root.
      – Identifica i file compromessi vedendo se sono stati modificati di recente.
      – Controlla l’elenco degli accessi recenti degli utenti per verificare se le password sono state rubate o se sono stati creati nuovi utenti a tua insaputa.

Rimuovi l’Hack

Ora che disponi di informazioni su utenti potenzialmente compromessi e la presenza di eventuale malware, puoi rimuovere il malware da WordPress e ripristinare il tuo sito web.

File WordPress

Molto raramente alle directory wp-admin e wp-include vengono aggiunti nuovi file. Quindi se trovi qualcosa di nuovo in quelle directory c’è un’alta probabilità che sia codice malevolo.

Gli hacker di solito lasciano delle “porte” per ritornare successivamente nel tuo sito. Per nasconderle, molto spesso li incorporano in file con nomi simili ai file core di WordPress e li posizionano in directory diverse. Gli attaccanti possono anche iniettare backdoor nei file come wp-config.php e directory come / themi / plugins e / uploads.

Controlla le vecchie installazioni di WordPress ed i backup

Se l’infezione si trova nei tuoi file principali del CMS o dei plug-in, puoi risolvere il problema ripristinando eventuali file sospetti con copie dal repository ufficiale di WordPress.

Per qualsiasi file personalizzato o premium (non nel repository ufficiale) aprilo con un editor di testo e rimuovi qualsiasi codice sospetto.

Database

Per rimuovere un’infezione da malware dal database del tuo sito web, utilizza il pannello di amministrazione del database per collegarti. Cerca contenuti sospetti. Cerca le comuni funzioni PHP dannose, come eval , base64_decode , gzinflate , preg_replace , str_replace ecc. e rimuovile manualmente, ma fai attenzione poiché queste funzioni sono utilizzate anche dai plugin per motivi legittimi, quindi assicurati di testare le modifiche.

Ogni volta che fai una delle modifiche sopra indicate, dovresti controllare che il tuo sito sia ancora operativo.

Profili utente

Se noti utenti WordPress non familiari, rimuovili in modo che gli hacker non abbiano più accesso. Cambia le password per tutti i tuoi account utente, assicurandoti che vengano scelte password sicure. Diversamente dal passato, le nuove versioni di WordPress forniscono password sicure.

Controlli finali al sito web

Assicurati che il core di WordPress e tutti i plug-in siano completamente aggiornati.
Genera nuove chiavi segrete – cambia le chiavi segrete nel file wp-config.php per invalidare i cookie di sessione nel caso in cui l’hacker avesse quelle attuali memorizzate nel suo sistema.
“Blinda” WordPress : adotta misure per ridurre la superficie di attacco o punti di ingresso per gli hacker, ad esempio limitare l’accesso alle cartelle wp-content e wp-include.
Imposta backup : i backup fungono da rete di sicurezza. Ora che hai pulito il tuo sito, fai un backup!

Rimozione di avvisi malware

Se il sito WordPress hackerato è stato inserito nella blacklist di Google, richiedi una revisione dopo aver risolto il problema.

Controlla anche eventuali altri motori di ricerca e siti di società di sicurezza per conoscere lo stato della blacklist del tuo sito, ad esempio:

McAfee (Siteadvisor)
Norton Safe Browsing
Phish Tank
ESET
Sucuri Malware Labs
SpamHaus DBL
Yandex (via Sophos)

 

Non riesci più ad entrare nella Dashboard con il tuo account amministratore?

A volte un hack può compromettere i tuoi account di amministratore. Se ciò accade, ci sono alcune cose che puoi fare per riprendere il controllo del tuo account:

Accedi al tuo database direttamente tramite phpMyAdmin e reimposta il tuo utente nella tabella utenti wp_users .

Oppure puoi semplicemente aggiornare la tua email di amministratore nel database, poi andare alla schermata di accesso di WordPress, fare clic su password dimenticata e quando arriva l’email resettare la password per ottenere nuovamente l’accesso alla dashboard di amministrazione.

Speriamo che questa panoramica ti sia stata d’aiuto ma se preferisci che qualcun altro si impegni a pulire il tuo sito WordPress hackerato, contattaci per usufruire del nostro servizio di rimozione manuale di malware e virus da siti WordPress.