Aiuto, il mio sito WordPress è stato compromesso!

Guida per ripulire un sito WordPress compromesso da un attacco hacker.

Quali sono i segnali che il proprio sito è stato compromesso?

Ci sono vari segnali che indicano che il sito è stato compromesso:

a) Sito inserito nella lista nera di Google (o altri motori di ricerca)

Se Google, durante le scansioni eseguite dai suoi programmi d’indicizzazione, rileva che il vostro sito contiene del malware, lo segnalerà tramite la famigerata pagina rossa “Sito ingannevole in vista” oppure “Il sito che stai per visitare contiene programmi dannosi” quando cercherete di collegarvi al vostro sito.

b) Messaggio nei risultati di ricerca tramite Google (Sito compromesso)

Se Google rileva che il vostro sito è stato compromesso, potrà segnarlo nei risultati di una ricerca con un messaggio “Questo sito potrebbe essere compromesso”

c) Google Search Console

Se avete inserito il vostro sito all’interno della Google Search Console, nella sezione “Traffico di ricerca” > “Analisi delle ricerche” troverete nell’elenco delle query di ricerca da parte degli utenti, termini che poco hanno a che fare con gli argomenti del vostro sito. Per esempio dei termini palesemente spam, come cialis, viagra, sesso, gioco online, e tanti altri.

d) Nuovi utenti nella bacheca di WordPress

Un segnale palese di compromissione, è trovare nuovi utenti magari con diritti di amministratore nella bacheca di WordPress.

e) Pagina con la scritta “hacked” quando vi collegate al vostro sito

Il “defacement” (sfregiare, deturpare) consiste nel cambiare la pagina principale del sito compromesso con una pagina che contiene solitamente un’immagine minacciosa insieme al nome del malintenzionato che ha manomesso il sito.

Procedura passo passo

1) Documentare dettagliatamente i fatti

In questa prima fase, cercate di raccogliere il più gran numero d’informazioni relative all’incidente

a) Data e ora in cui siete venuti a conoscenza del fatto

b) Qual’è l’elemento che vi ha fatto scoprire la compromissione del vostro sito (per esempio se la pagina principale del vostro sito è stata sostituita da un’altra, in quel caso fate uno “screenshot” della pagina e salvatela dentro una cartella con tutta la documentazione raccolta)

c) Data e ora in cui avete preso contatto col vs. fornitore di hosting e tutta l’informazione che sarete in grado di raccogliere (telefonate, email, ecc.)

2) Fare una scansione del sito compromesso

Il secondo passo da fare è una scansione dell’intero sito alla ricerca di virus o malware che possano essere stati installati dal hacker per sfruttare le risorse del server compromesso.

La scansione può essere eseguita:
a) Nel caso sia possibile entrare nella bacheca di amministrazione, tramite uno scanner già installato nel sito WordPress (Wordfence, Sucuri, o altri)

b) Nel caso non sia possibile entrare nella bacheca di amministrazione oppure si voglia fare una seconda scansione, tramite uno scanner remoto (Sucuri o Quttera)

3) Fare una scansione del proprio computer

Capita spesso che l’hacker riesca a carpire le credenziali d’accesso alla bacheca di amministrazione di WordPress grazie ad un virus di tipo trojan, che è riuscito ad installare nel vostro computer.
E’ quindi essenziale accertarsi che il proprio computer non sia stato infettato da virus, trojan o backdoor, usando il vostro antivirus.

4) Informare il fornitore del server di hosting

Il fornitore del servizio di hosting può essere d’aiuto in questi casi, e capita spesso che sia lo stesso fornitore ad informare per primo il proprietario del sito della compromissione.
Solitamente il fornitore di hosting dispone di una squadra di tecnici preparati a questo tipo di eventi, in grado di aiutarvi a risolvere il problema nel più breve tempo possibile.

5) Mettere il proprio sito in manutenzione

A questo punto è fondamentale mettere il sito in stato di manutenzione, per evitare che eventuali virus o malware possano infettare i computer dei visitatori del sito.
Il metodo più semplice e veloce è tramite il pannello di controllo (cPanel) del vostro sito, creare un file “.maintenance” nella cartella radice del vostro sito WordPress, copiandoci dentro il codice

Infine, per verificare, collegatevi al vostro sito. Dovresti visualizzare un messaggio come questo:

Quando avrete terminato di ripulire il vostro sito, è sufficiente cancellare il file .maintenance.

6) Fare una copia di backup del vostro sito (file + database)

È opportuno fare un backup anche se magari il sito è ancora infetto, poiché rimane innanzitutto prova della compromissione, e vi aiuterà nella fase successiva dove metterete a confronto i file del sito infetto con i file di WordPress originali che andrete a scaricare. Tramite cPanel selezionate tutti i file del vostro sito e comprimeteli in un file .ZIP che scaricherete nel vostro computer.
Per salvare il database, usate phpMyAdmin per fare un “dump” del database.

7) Cancellare eventuali utenti amministratori aggiunti dall’hacker

È importante bloccare l’accesso alla bacheca di amministrazione di WordPress da parte dell’intruso. Verificate con attenzione se per caso è stato aggiunto un utente amministratore, nel qual caso va subito eliminato.

Se non avete accesso alla bacheca di WordPress, tramite cPanel aprite phpMyAdmin. Poi verificate se ci sono altri utenti amministratori aggiunti nel DB. Se ci fossero eliminateli.

8) Cambiare le password di tutti gli utenti/servizi relativi al sito compromesso

a) Password amministratore
Questa è la prima password che dovrete cambiare.
Prima di cambiarla è opportuno cambiare prima le “salt keys” del vostro sito. Le “salt keys” sono delle lunghe stringhe di caratteri, presenti nel file di configurazione di WordPress, wp-config.php, che vengono utilizzate per crittografare le password e i cookie del proprio sito WordPress.

Il modo più semplice per cambiare le “salt keys”, è di collegarsi al proprio server di hosting tramite il pannello di amministrazione cPanel, aprire il file di configurazione wp-config.php e sostituire l’intero blocco delle “salt keys” con delle stringhe univoche create tramite lo strumento messo a disposizione dal sito WordPress.org chiamato Salt Key Generator https://api.wordpress.org/secret-key/1.1/salt/ . Aggiornando la pagina, premendo il tasto F5 della vostra tastiera, verrano visualizzate ogni volta una nuova serie di stringhe univoche.

Una volta cambiate le “salt keys”, entrate nella bacheca di amministrazione, e cambiate la password dell’utente amministratore.
Impostate una password sicura con almeno 12 caratteri, inserendoci lettere maiuscole e minuscole, numeri e simboli quali £$%@*§# (per impostarla automaticamente potete usare un generatore di password come Password Generator Plus https://passwordsgenerator.net/plus/)

Nel caso non sia possibile entrare nella bacheca di amministrazione, collegatevi al vostro server di hosting tramite cPanel, aprite phpMyAdmin, e nella tabella wp_users del database del sito, verificate che l’indirizzo e-mail dell’utente amministratore, corrisponda all’indirizzo che avevate impostato al momento dell’installazione di WordPress. Se l’indirizzo email dell’amministratore fosse stato modificato dall’hacker, reimpostatelo all’indirizzo iniziale.
Collegatevi alla pagina di login (wp-login.php) e cliccate sul link “Password dimenticata?” per reimpostare la password.

b) Altre password
Cambiata la password dell’amministratore, cambiate la password di altri eventuali utenti, quella dell’utente amministratore del database del sito, del pannello di amministrazione cPanel e infine quella degli utenti di servizi come FTP o SSH.

9) Rimozione del malware

Questo è il passo più delicato e complesso di tutta la procedura.

La procedura più semplice e rapida, consiste nel sostituire i file e il database con un backup recente.
Per fare questo però è indispensabile individuare la data e l’ora in cui il sito è stato manomesso e ripristinare un backup precedente alla data di manomissione.
L’unico modo per individuare la data, è analizare i file di log del server.

Se non sapete come fare, allora conviene ripristinare tutto manualmente.

1. Scaricare il pacchetto WordPress  dal sito ufficiale WordPress.org, selezionando la versione installata nel vostro sito;

2. Decomprimere il pacchetto WordPress in una cartella del proprio computer;

3. Tramite il File Manager di cPanel, eliminare le cartelle “wp-admin” e “wp-includes” e sostituirle con le cartelle del pacchetto WordPress scaricato;

4. Eliminare il tema e tutti i plugin installati e reinstallarli con le ultime versioni disponibili sul repository di WordPress.org;

5. Fate una copia sul vostro computer, del file wp-config.php presente nella cartella radice del vostro sito;

6. Eliminate tutti i file .php presenti nella cartella radice del vostro sito e sostituiteli con quelli del pacchetto WordPress scaricato;

7. Eliminate anche il file .htacces e ricreatelo nuovamente lasciandolo vuoto;

8. Ispezionate molto attentamente la cartella “wp-content/uploads/anno/mese” ed eliminate tutti i file con estensione .php;

9. Alcuni plugin creano delle sottocartelle nella cartella “wp-content/uploads/”, verificate che non ci siano file .php sospetti;

10. Se avete installato WordPress in una sottocartella nel vostro server, ispezionate anche la cartella radice (solitamente “/home/utente/public_html”) alla ricerca di file .php sospetti;

11. Infine bisogna ispezionare l’intero database alla ricerca di manomissioni.

Se dopo tutti questi passaggi non riuscite a rimettere in onda il vostro sito, è opportuno rivolgervi ad un professionista in grado di fornirvi l’aiuto necessario (consulta mia pagina Rimozione malware).

10) Messa in sicurezza del vostro sito

Una volta ripulito il sito, e verificato con una nuova scansione tramite i servizi forniti da Sucuri o Quttera, è opportuno procedere con una messa in sicurezza del sito WordPress (per ulteriori informazioni consultare la mia pagina Rimozione malware).

11) Ultimo consiglio!

Dopo che un sito WordPress è stato compromesso, è opportuno valutare di cambiare il proprio fornitore di hosting, scegliendo questa volta un fornitore in grado di garantirvi una maggiore sicurezza in termini di infrastruttura e di supporto tecnico.

Avete bisogno di aiuto professionale? Richiedere una ripulitura del vostro sitoRichiesta
Share on facebook
Share on twitter
Share on linkedin
Share on google
Roberto Jobet

Roberto Jobet

Sono un tecnico informatico e mi occupo di sicurezza di siti WordPress da diversi anni. Offro servizi professionali di analisi e di messa in sicurezza per tutelare la riservatezza, l'integrità e la disponibilità di sistemi WordPress.

Tutti gli articoli

Altri articoli che potrebbero interessarti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna su