Blog

Attacco hacker su WordPress: come risolvere

DI    ,

Niente panico e vediamo come risolvere un attacco hacker su WordPress

Wordpress è una delle piattaforme CMS più diffuse nel web. Per questa sua grossa distribuzione potreste subire un attacco hacker su WordPress in cui sono andati a modificare i file del vostro sito o a caricarne di nuovi, per poter inviare email spam di massa, reindirizzare le vostre pagine a pagine di pubblicità (spesso annunci erotici, vendita di farmarci, ecc).

Se vi siete accorti di aver subito un attacco hacker su WordPress e non sapete come fare per risolvere, non impanicate!

Esistono vari modi per affrontare questo momento di crisi.

Premessa

Gli hacker non irrompono nel vostro sito solo per passatempo, a meno che non siate un’organizzazione importante e allora bucare i vostri server sarebbe una bella dimostrazione di capacità da parte dell’hacker. Loro entrano e modificano il vostro sito per opere appoggiarsi al vostro hosting per inviare migliaia di email  pubblicitarie (ebbene sì vengono pagati da aziende per questo lavoro) oppure utilizzano stratagemmi per creare dei reindirizzamenti delle vostro pagine a siti pornografici o pubblicitari di famarci vari ed illegali solitamente.

I modi in cui riescono ad entrare possono essere molteplici, ma possiamo racchiuderli in alcuni punti:

  • Brute force della vostra pagina amministrativa (la classica wp-admin). Cioè tentano con degli script di indovinare il vostro nickname e password.
  • Utilizzano falle e bug del vostro tema o plugins.
  • Entrano nel vostro FTP a cause dei permessi di file e cartelle errati.
  • Alle volte non è colpa vostra ma dell’hosting che non mantiene sicuri i server.

Facciamo pulizia

Bene inziamo a vedere insieme come fare affrontare un attacco hacker su WordPress.

1° Passo

Fate una copia completa di tutti i vostri file, giusto per sicurezza.

Presumendo che sappiate quale versione di WordPress stiate usando, andate al seguente indirizzo https://wordpress.org/download/release-archive/ e scricate la vostra versione.

L’idea è quella di andare ad eliminare le vecchie cartelle e file di WordPress per ripristinarle con una versiona completamente pulita, stando certi che non vi siano più file malevoli o modificati. Quindi tramite FTP andate ad eliminare le attuali cartelle /wp-admin e /wp-includes e subito dopo andiamo a caricare le corrispettive appena scaricate.

Dopo andiamo a sovrascrivere nella root il resto dei file. Non abbiate paura in quanto i file wp-config  ed eventuali htaccess non verranno sostituiti, lasciando integro il funzionamento di WordPress.
Questa è la lista dei file nella root necessari a WordPress:

  • /wp-admin
  • /wp-content
  • /wp-includes
  • license.txt
  • readme.html
  • index.php
  • wp-activate.php
  • wp-blog-header.php
  • wp-comments-post.php
  • wp-config-sample.php
  • wp-config.php
  • wp-cron.php
  • wp-links-opml.php
  • wp-load.php
  • wp-login.php
  • wp-mail.php
  • wp-settings.php
  • wp-signup.php
  • wp-trackback.php
  • xmlrpc.php
Attacco hacker su Wordpress, lista file puliti

P.s. questi sono i file riferiti all’ultima versione di WordPress, se utilizzare un versiona più vecchia, i nomi dei file possono differire.

Se notate dei file nella root che non sono stati sostituiti e non sono nella lista indicata, al 90% dei casi sono file caricati nell’attacco hacker su WordPress. Li noterete per nomi particolari come: “help”, “phpinfo”, “user” e così via. La certezza l’avrete se aprendo il file in un editor html noterete una stringa infinita di codice incomprensibile. In questo caso eliminateli senza problemi (vi ricordo che per ogni emergenza hai comunque appena fatto una copia di tutti file).

Se il vostro tema e plugin sono compatibili con l’ultima versione di WordPress, il mio consiglio e di andare già in questo step a caricare i file dell’ultima versione in modo di avere un sito aggiornato e senza falle. MI RACCOMANDO, verificate che tutto sia compatibile con l’ultima versione.

Durante questa procedura il sito andrà offline, ma è un passo necessario per andare a pulire il vostro sito.

2° Passo

Ora procediamo con ripristinare i plugin. Il concetto è lo stesso di quando abbiamo ripristinato WordPress.

Mi auguro vivamente che la lista dei vostri plugin non sia lunghissima, in quanto meno plugin usate e più performante sarà il vostro sito web.

Ad ogni modo dovrete scaricare il plugin pulito da WordPress oppure da dove lo avete comprato. Scaricatelo manualmente e non tramite il pannello amministratore del vostro sito.

Andate a cancellare la cartelle del plugin e ricaricate quello nuovo.

Provvedete nella stessa maniera per tutti i plugin che avete installato.

Come ultimo passaggio aprite il file index.php e verificate che non siano presenti stringhe di codice sospetto. In toeria di logica dovrebbe essere presente solamente:

o perlomeno molto simile.

Nota importante: Se avete fatto modifiche ai file dei vostri plugin ricordatevi di ripristinarle dopo aver ricaricato il plugin, in quanto con questa operazione il plugin sarà ripristinato all’originale. Scaricate sempre l’ultima versione del plugin, in quanto alcuni di essi hanno falle che sono state successivamente sistemati.

3° Passo

Ora procediamo con l’ultima sostituzione e cioè quella della cartella del tema.

Spero vivamente che, se avete apportato modifiche al tema, l’abbiate fatto tramite la versione child dello stesso oppure vi siate fatti una lista di tutte le modifiche che avete apportato.

Se avete fatto ciò allora procedete con cancellare e ricaricare il tema nuovamente scaricato.

Nel caso invece non abbiate una lista delle modifiche o un back precedente l’attacco, quindi sicuri sia pulito, purtroppo dovrete visionare tutti i file del vostro tema e controllare che non vi siano stringhe di codice malevole o sospetto. In quel caso cancellate le righe interessate.

Se dentro la cartella themes avete più temi, ad esempio quelli di default di WordPress, cancellateli e tenenete solamente il tema attivo ed eventualmente la sua versione child.

4° Passo

Come ultimo passaggio andiamo a scansionare la cartella uploads, upgrade e language.

In uploads ed upgrade non devono essere presenti file .php. Se ne vedete alcuni, cancellateli in quanto in queste cartelle non servono file .php e quasi sicuramente sono virus.

Nella cartella language invece possono esistere file .php necessari per alcune lingue, come ad esempio russo e ungherese. Spesso un attacco hacker su WordPress iterviene su questi file. Se non utilizzate le lingue interessate nei file .php allora cancellatele senza problemi, altrimenti apritele e verificate sempre eventuale codice malevolo.

Fine

Ora controllate che il vostro sito funzioni correttamente e che non sia saltato nessun funzionamento o pagina. Appena loggherete la prima volta nella parte amministrativa dopo il caricamento di WordPress vi verrà chiesto di aggiornare il database (solo nel caso abbiato usato una versione diversa di WordPress).

Se qualcosa non funziona e non riuscite a capirne il motivo, nemmeno abilitando il debug mode per visualizzare gli errori, potete sempre ripristinare il tutto ricaricando il backup che avete fatto prima di queste procedure. Può accadere infatti che una serie di plugin o temi non siano compatibili con una versione differente di WordPress. Quindi se non avete ripristinato le stesse identiche versioni del sito hackerato, può esserci questa eventualità.

Se tutto è andato bene allora avrete il vostro sito pulito da file di hacker. Attenzione a non saltare nessun passaggio oppure a non assicurarvi di aver controllato per bene. Basta anche un solo file rimasto sul sito e l’hacker potrà tornare all’attacco rovinando il vostro lavoro fatto.

Il prossimo passaggio è quello di mettere in sicurezza il vostro sito, in quanto se l’hacker vi ha attaccato, significa che ha trovato un modo per entrare.

In questa guida vi spiegherò come farlo passo per passo. MA NON ASPETTATE giorni per fare questo lavoro, in quanto l’hacker potrebbe tornare a “visitare” il vostro sito riutilizzando le vulnerabilità presenti per entrare e rendere vano tutto il lavoro fatto fin’ora.



Seguici su Facebook

logo footer wolftrick