Ripristinare un sito wordpress hackerato

Hacked Site

Se il tuo sito in WordPress è stato hackerato vedi come effettuare un ripristino in modo sicuro ed efficace in pochi passi

Perché il tuo sito è stato vittima di hacking o di un malware? Perche accade spesso a WordPress?

WordPress è una piattaforma molto famosa ed utilizzata per molteplici scopi, la sua grande versatilità e modularità infatti gli permette di adattarsi a diverse situazioni di sviluppo come ad esempio :

  • ecommerce,
  • piattaforme LMS
  • siti di membership e molto altro

Per fare ciò però wordpress utilizza dei cosìdetti PLUGINS o ADDONS, che vanno ad espanderne ed ampliarne le funzionalità. Questi componenti aggiuntivi sono sviluppati da software house e sviluppatori indipendenti.

Per questo motivo i siti di wordpress hanno al loro interno qualcosa come 30-50 o anche 100 di questi PLUGINS che vengono spesso aggiunti appunto da chi crea il sito per renderlo più idoneo per l’utilizzo che se ne deve fare.

Oltre a ciò, per modificare la grafica di un sito in WordPress si fa ricorso ai cosidetti TEMI, che altro non sono che dei modelli con funzioni e design che vanno a cambiare la base di wordpress rendendo il sito molto più accattivante e completo dal punto di vista grafico.

Sia i plugin che i temi si aggiornano con molta frequenza, a volte anche giornaliera o settimanale!!

Questi aggiornamenti spesso causano o possono causare anche incompatibilità tra i vari plugin installati, e quello che capita è magari trovare il sito in una condizioni per cui non funziona più bene o ad esempio un “plugin” non va più. Inoltre molti temi installano un notevole numero di modifiche appesantendo il sito (BLOATWARE) e spesso rendendolo meno sicuro.

Accade quindi che, quando il sito wordpress funziona perfettamente, molte agenzie preferiscono non aggiornare i plugin per evitare problemi. Come dire : se funziona, è meglio non cambiare nulla.

Questo comportamento non è possibile quando si ha a che fare con la tecnologia, oppure è possibile almeno in parte.

Mi spiego meglio : se non aggiorniamo un software della nostra fotocamera digitale potremmo non beneficiare di un qualche fix, ma in linea di massima la fotocamera funzionerà e continuerà a scattare. Un sito non aggiornato ed al passo coi tempi invece potrebbe diventare instabile qualora il server sul quale ospitato ad esempio aggiorni le versioni software PHP o altri componenti. E se vengono risolte con delle patch vulnerability, prima o poi è probabile che qualche bot le scopra ed il vostro sito verrà hackerato.

Perché i Siti WordPress Vengono Hackerati, perche proprio il mio?

Gran parte dei siti hackerati sui quali ho lavorato posso raggrupparli in queste casistiche:

-Malware dovuto a plugin non aggiornati che sono stati penetrati

-Plugin vecchi o non ben programmati che quindi erano facilmente “bucabili”

-Temi non aggiornati

-Best practice di sicurezza non impostate (password deboli ed altri fix)

Posso già dirti che se questi punto sono a posto per te, allora sei già al sicuro per un buon 90%!

Il restante 10% può derivare dal tuo server, ci sono ad esempio hosting con ambiente condiviso dove se un sito viene infettato, automaticamente replica il codice all’interno di tutto lo spazio assegnato e va ad infettare tutti i siti presenti. E’ per questo buona norma avere un hosting totalmente isolato.

Inoltre non pensare che il tuo sito sia hackerato perche qualcuno ce l’ha con te (potrebbe anche essere, non lo escluderei a priori), ma molto spesso i siti vengono scansionati da dei cosìdetti BOT, che altro non sono che dei computer con installati dei programmi che automaticamente testano milioni di siti in automatico e quando trovano una falla entrano e lo infettano. Per fugare ogni dubbio eseguiremo dei test, ma ti consiglio di usare anche dei software gratuiti per fare un rapido scan, tipo SUCURI SITE CHECK

Hacked Site

Hack di WordPress: Quali sono i Segnali Che vi indicano che il Vostro Sito WordPress È stato hackerato oppure è a rischio? Come viene hackerato wordpress?

Non Riuscite a Effettuare il Login?

Potrebbe essere che la vostra password è errata o il software di sicurezza blocca l’accesso? Oppure avete proprio un errore php? Provate a fare un reset della password e vedete cosa accade.

Il Vostro Sito È Cambiato?

Spesso i malware usano dei redirect a siti malevoli, quindi quando una vostra pagina carica si apre automaticamente un altra pagina o un popup che vi invita a cliccarvi sopra.

Oppure avete delle immagini o dei banner o dei contenuti che non avete mai visto nè impostato.

Questi sono segnali che nel vostro sito è installato del codice malevolo tramite un malware. Provate a navigare tramite una finestra in Incognito e da un altro dispositivo.

Se il problema si verifica allora siete stati infettati. Altrimenti a volte può anche capitare che il vostro browser sia compromesso tramite un virus sul pc, quindi potete tentare un reset alle impostazioni iniziali e riprovare, ma già vi dico che se avete provato da diverse postazioni, al 90% si tratta del vostro sito.

Il Vostro Sito viene reindirizzato verso altri url?

Cliccate sul vostro sito ma in automatico siete reindirizzati su un altro sito, del quale ignoravate, fino ad ora, l’esistenza. Siete stati hackerati!

Ricevete degli Avvisi e/o popup nel Browser

Popup, messaggi, inviti a scaricare un software o a giocare ad una estrazione a premi? Bene, siete stati infettati!

Ci sono degli Avvisi sui Motori di Ricerca

Google segnala il vostro sito come malevolo o non sicuro? Potrebbe dipendere da un certificato SSL scaduto, ma se il blocco avviene in fase di accesso e non è relativo solo alla barra degli indirizzi, allora dovete andare a fondo.

Vi consiglio di collegare sempre i vostri siti a google webmaster console, in questo modo avrete avvisi utili per poter monitorare lo stato di salute del vostro sito e, ove fosse infettato da un malware, avere istruzioni extra a riguardo.

Valuta la situazione: Ripristino via backup o Rimozione del malware?

Abbiamo verificato : il nostro sito è stato bucato ed ora ci troviamo di fronte ad una scelta: pagare uno specialista (sono qui per questo!) per rimuovere il malware dal sito, oppure procedere con un ripristino tramite backup. Vediamo i pro ed i contro di entrambe le soluzioni.

Vantaggi e Svantaggi di un ripristino da backup di wordpress

Questa è la soluzione migliore nell’immediato ove tu disponga di un backup recente (24 ore- 48 ore), meglio se effettuato lato server tramite il vostro pannello di controllo, in quanto il processo sarà praticamente immediato ed indolore.

Una volta ripristinato dovrete intanto verificare che il sito non sia infetto, e poi procedere ad aggiornare e mettere in sicurezza il server.

Punti a sfavore? Immaginate di avere un sito che lavora con ecommerce e in un giorno riceve centinaia di ordini, ripristinando un backup perdereste i dati di questi ultimi ordini e per recuperarli dovreste impazzire, e non sarebbe una cosa per nulla facile nè veloce.

Potreste lavorare con le mail degli ordini, ma gli account dei clienti che sono stati creati? Se volete però una soluzione a costo Zero in termini economici e rapida, questa è sicuramente quella che vi consiglio.

Cosa fare dopo aver effettuato il ripristino?

-Entra nel lato admin e verifica che non siano stati aggiunti altri utenti

-Rigenera le SALT KEYS loggando fuori eventuali accessi (non dovrebbe servire, avendo fatto un ripristino, ma nel dubbio meglio stare sicuri)

-Aggiorna temi, wordpress e plugin e disabilita o disinstalla i plugin che non sono più supportati trovandone altri analoghi

-Valuta l’Installazione di un Firewall come Malcare, GetAstra, Wordfence o Virusdie ad esempio.

PAGA UN PROFESSIONISTA PER LA RIMOZIONE DEL MALWARE E LA BONIFICA DEL SITO

Ci sono alcuni servizi “automatici ” di rimozione malware, ed alcuni funzionano anche decentemente bene. Ma il lavoro che un coder va a fare è molto delicato ed accurato. Personalmente quando lavoro su un sito impiego dalle 3 alle 6 ore a seconda del livello di severità del caso.

Come mai? Semplice, vado a lavorare file per file, analizzando il codice che ha infettato il sito e cercando di capire come si è replicato e dove ha messo le radici 🙂 Questo lavoro è tedioso, lungo, e richiede attenzione, spesso (ma fortunatamente non sempre) i siti vengono anche infettati a livello di DATABASE, e questo è un problema ancor più serio, in quanto non basterà pulire i files, ma bisognerà andare ad intervenire anche nelle varie tabelle del db.

I vantaggi sono sicuramente che un sito wordpress recuperato e messo in sicurezza non ha perso dati, ma dall’altro lato ci sono dei costi connessi e del tempo impiegato che è più lungo.

Non sempre inoltre (personalmente ad oggi non mi è mai capitato per fortuna) è possibile recuperare un sito ove il malware abbia ad esempio criptato le pagine in modo irrecuperabile tramite una chiave ad algoritmo proprietario. In questo caso è come se il vostro sito non fosse più leggibile e quindi bisognerà automaticamente andarlo a ripristinare tramite un backup.

VUOI TENTARE DI RISOLVERE DA TE IL PROBLEMA? SEGUI QUESTI PASSI PER INDIVIDUARE E RIMUOVERE IL MALWARE DAL TUO SITO

Sito Hackerato

Mi piacerebbe dirti che puoi farcela, ed infatti è così. Ma devi avere delle conoscenze di base di PHP e MYSQL, senza le quali non potrai procedere, inoltre un minimo di conoscenza dell’ambiente hosting è necessario.

Se vuoi avere un quadro ancora più chiaro con alcuni esempi allora ti consiglio la lettura di questo mio articolo dove troverai anche link a programmi che ti aiuteranno a procedere : Guida Operativa con esempi per ripristinare un sito Hackerato

  • Prima di iniziare scarica sempre ed effettua un backup del sito (anche hackerato), usa un software FTP gratuito se vuoi o scarica tramite il tuo pannello una copia del sito.
  • Scarica una copia del sito sul tuo computer e procedi con un’installazione in locale
  • Inizia ad analizzare le directory plugins e themes, in cerca di directory anomale o ambigue. Se non hai molta familiarità con wordpress ti consiglio di installarlo localmente sul tuo Pc e, partendo da un’installazione pulita, potrai confrontare le directories ed i files
  • Fai lo stesso all’interno di tutte le dir principali di WordPress
  • Al momento in cui scovi un file sospetto aprilo con un editor di testo o con il tuo programma preferito per programmare (sublime text, vscode etc.)
  • Se trovi del codice malevole te ne accorgerai, spesso inizia con un econding base_64 ed ha dei caratteri strani o delle sequenze che non riconosci allora sei sulla buona strada. Usando questo sito potrete inoltre “tradurre” il codice malevolo e capire come si comporta : BASE64DECODE ed anche MALWARE DECODER
  • Salva lo snippets di codice in un altro file di testo
  • Ora dovrai analizzare con un editor multiplo di files i documenti del sito che hai scaricato sul tuo pc cercando le righe di codice malevolo, in questo modo avrai un quadro chiaro dei files coinvolti e potrai andare a ripulirli uno ad uno. Ti consiglio di usare anche programmi comparativi come ad esempio WINMERGE per mettere a confronto i files sospetti con quelli originali a caccia di eventuali modifiche
  • NOTA IMPORTANTE – non basterà rimuovere il codice, spesso infatti questo si integra con le funzioni del sito o del javascript ad esempio, quindi prima di cancellarlo vedete in che modo è andato ad integrarsi o a modificare appunto le funzioni del vostro sito
  • Passa al Database, analizza e controlla la presenza di tabelle non conosciute o di righe anomale, questa è un’operazione lunga ma cmq necessaria per evitare problemi successivamente
  • Ora sei pronto a ripartire, ti consiglio di provare ad accedere al sito IN LOCALE, e verificare che tutto sia sistemato o meno. Ti consiglio inoltre di fare un ripristino dei permessi delle cartelle che possono essere stati alterati per consentire la penetrazioni del codice dal malware ed chiedere un reboot della macchina o del sito.
  • Accedi al sito tramite FTP e fai l’upload dei files puliti e del DB ove questo sia stato compromesso
  • Una volta che il tuo sito ha ripreso a funzionare ed è stato messo in sicurezza verifica se è stato segnlato come malevolo da google e, tramite il pannello di Google webmaster tools, chiedi una revisione per poterlo Sbloccare al più preso (di solito impiegano circa 24 ore)

Uno sguardo al futuro: Come Evitare Che il Vostro Sito WordPress Venga Hackerato

Assicuratevi Che Tutte le Password Siano Sicure

Vi prego, non impostate le password con leggerezza, ad oggi è questo uno dei motivi per il quale molti siti vengono hackerati, ma anche terminali e cellulari, account e molto altro. Esistono anche programmi dedicato come Bitwarden che vi permetteranno di creare password sicure e mantenerle senza sforzo!

Mantenere il Vostro Sito Aggiornato

Se avete deciso di avere un sito su WordPress con un server allora entrate nell’ordine delle idee che il sito non si manterrà da solo: pagate un developer che ve lo tenga in ordine oppure aggiornatelo costantemente e, ove vi siano dei problemi, cercate di sistemarli al più presto. Altrimenti scegliete una soluzione HOSTED, sicuramente più limitata, ma che vi pone al riparo di imcombenze legate a tutte queste dinamiche.

Non Installate Plugin o Temi Insicuri

Anche qui, non fatevi prendere la mano : LESS IS MORE Meno plugin = meno possibilità di hackerarvi il sito. Inoltre molti plugin sono ridondanti con altri o inutili. Faccio un esempio : installare SSL è qualcosa che tramite il vostro pannello server dovrebbe essere semplice e quasi automatico. Ciò nonostante molti utenti continuano ad usare dei plugin per questo!

Controllate l’Installazione di WordPress tramite FTP

Ogni tanto controllato il vostro sito, entrate nell’FTP, e verificate che non ci siano anomalie, essere prudenti è sempre una buona regola!

Installate le SSL sul Vostro Sito

Questa mi sembra abbastanza chiara 🙂

Evitate Hosting a Buon Mercato

Altro punto, spesso si pensa che avere un sito sia una cosa super semplice ed economica perche vedete prezzi per un hosting condiviso di tipo 5 dollari/mese. Bè, quello che pagate spesso è quello che otterrete, quindi cercate un buon compromesso in termini di prestazioni/assistenza/caratteristiche.

Per questo vi rimando ad un altro mio post che potrete leggere cliccando qui : GUIDA PER SCEGLIERE IL TUO HOSTING

CONTROLLATE IN MODO GRANULARE LE AZIONI CHE AVVENGONO SUL VOSTRO SITO

Questo è il caso in cui mi sento davvero di consigliare il plugin WP ACTIVITY LOG – Si tratta di un plugin che monitora il sito e permette di seguire le azioni sia degli utenti registrati, sia degli script installati che dei plugin, con un dettaglio eccellente. In questo modo potrete ad esempio sapere se e quale utente cerca di testare o hackerare il sito, seguendone le “mosse”.

Configurare e valutare l’installazione di un Firewall software

Esistono diverse soluzioni focalizzate per la sicurezza che permettono di filtrare BOT malevoli e di anticipare eventuali attacchi hacker.

Valuta l’acquisto di una soluzione di questo tipo , con un costo ragionevole annuale avrai il sito protetto da un ulteriore livello di protezione che ti farà stare al sicuro.

Alcuni di questi che ho provato e che utilizzo sono :

WP ASTRA SECURITY

MALCARE

VIRUSDIE

WORDFENCE

Valutate l’installazione di un software di backup automatico

Fermo restando che dovrebbe essere il vostro hosting ad avere questa soluzione, personalmente utilizzo software dedicati che offrono un ripristino rapido dall’ultimo punto di installazione di plugin, temi ed aggiornamenti. Mi trovo bene con WPVIVID e con WP TIME CAPSULE