Sito WordPress hackerato? Cosa fare dopo un attacco hacker

Sito WordPress hackerato? Purtroppo WordPress, la più popolare piattaforma per la gestione dei contenuti online, sia per piccoli blog che per grandi siti, è nel mirino degli hacker.

In questa guida  si forniranno dei consigli per individuare un attacco hacker così da porvi rimedio tempestivamente. Sebbene non sia possibile prevedere tutti gli effetti di una violazione, grazie ai suggerimenti qui presenti sarà possibile “sanare” circa il 70% delle infezioni.

Hanno hackerato il tuo sito? Interveniamo e risolviamo in poche ore.
Chiedi subito ai nostri esperti di sicurezza

Sito WordPress hackerato: gli indizi di un attacco hacker

Come capire se si è vittime di un attacco hacker a WordPress?

Ci sono molti segnali di allarme che indicano che il proprio sito è stato infettato e, in linea di massima, è possibile individuare una serie di anomalie comuni su WordPress:

    • Avvertenze Blacklist da Google, Bing e McAfee
    • Comportamenti anormali del browser
    • Spam nei contenuti dei motori di ricerca
    • Notifica della sospensione del sito da parte del website host
    • Modifiche ai file o problemi di integrità
  • Avvertimenti nei risultati di ricerca di Google (SEO poisoning)

Il primo step è eseguire una scansione sul sito WordPress hackerato

E’ possibile utilizzare le competenze del team di Alground Security  per eseguire una scansione del sito e per trovare i payloads dannosi o i malware.

La scansione remota esegue un primo controllo sul sito WordPress hackerato, alla ricerca di anomalie e infezioni. 

Se lo scanner remoto non è in grado di trovare alcun payload, continuare ad eseguire altri test in questa sezione. E’ anche possibile controllare manualmente i tab iFrames/Links/Scripts alla ricerca di elementi non familiari o sospetti.

sito-wordpress-hackerato-eseguire-scansione
Su un sito WordPress hackerato uno dei primi passi da compiere è certamente eseguire una scansione alla ricerca di malware

Se si hanno più siti web sullo stesso server si raccomanda di eseguire la scansione su tutti i siti (per fare questo è possibile utilizzare anche SiteCheck). La contaminazione cross-site è infatti una delle principali cause di re-infezione; si raccomanda a ogni amministratore di isolare i propri account hosting e web.

Nota: Uno scanner remoto che esplora il sito al fine di identificare potenziali problemi di sicurezza. Alcuni di questi problemi possono non presentarsi nel browser, manifestandosi invece sul server (ad esempio backdoors, piscina, scripts server-based). Ne consegue che il migliore approccio è quello che include la scansione remota e la scansione server-side.

Su un sito WordPress hackerato è fondamentale verificare l’integrità dei core file

La maggior parte dei core file di WordPress non devono mai essere modificati.

Il team di Alground Security verifica se vi sono dei problemi di integrità in wp-admin, wp-includes e nella cartella root.

Se nulla è stato modificato, allora i core file sono “puliti”.

Nota: Si consiglia di utilizzare un client FTP per verificare rapidamente la presenza di malware nelle directory come wp-content. Si raccomanda di utilizzare FTPS/SFTP/SSH piuttosto che un FTP non criptato.

Su un sito WordPress hackerato, verificare i file modificati di recente

E’ possibile identificare i file hackerati verificando se questi sono stati di recente modificati. Grazie a questo controllo è possibile esaminare all’interno del proprio sito tutte le modifiche recenti, alla ricerca di quelle non familiari. In linea di massima, se si individuano delle variazioni non note apportate negli ultimi 2-30 giorni, allora tali modifiche sono da considerarsi sospette.

Sito WordPress hackerato: confermare gli accessi degli utenti

E’ possibile rivedere l’elenco dei recenti accessi utenti per verificare che le password non siano state rubate o che non siano stati creati dei nuovi utenti malevoli. In questo caso il controllo prevede una revisione della lista degli utenti e del tempo di connessione. Anche in questo caso se si riscontrano delle date o degli orari inattesi di login al sito, allora è altamente probabile che un account user sia stato hackerato.

Recupera l’accesso al tuo sito WordPress sotto attacco hacker.
I nostri esperti intervengono e risolvono in poche ore

Rimuovere i danni su un sito WordPress hackerato

Una volta ottenute una serie di informazioni relative a utenti potenzialmente compromessi o alla presenza di malware, è possibile procedere alla loro rimozione da WordPress e riportare il sito allo stato precedente all’attacco.

Un suggerimento: Il modo migliore per identificare i file hackerati è quello di confrontare lo stato attuale del sito con un backup precedente. Se si ha a disposizione un backup, è possibile utilizzarlo anche per confrontare le due versioni del sito così da rintracciare ciò che è stato modificato.

sito-wordpress-hackerato-rimozione-hack
Il secondo step da fare su un sito WordPress hackerato è quello di procedere alla rimozione dell’infezione, riportando il sito allo stato precedente all’attacco

Nota: Alcuni di questi passaggi richiedono un accesso al server e al database. Se non si ha dimestichezza con la manipolazione del database o con l’editing PHP, è bene richiedere l’assistenza di un professionista per rimuovere l’attacco hacker a WordPress.

Come prima cosa ripulire i file compromessi dal sito WordPress hackerato

Se l’infezione si trova nei core file o nei plugin, il problema è facilmente risolvibile grazie al supporto offerto dal team di Alground Security.

E’ possibile altresì intervenire manualmente, ma attenzione a non sovrascrivere il file wp-config.php o la cartella wp-content.

I file personalizzati possono essere sostituiti con nuove copie o un backup recente (se non infettato). Qui è possibile visionare alcuni suggerimenti aggiuntivi che è possibile utilizzare con WordPress.

Per rimuovere manualmente un’infezione malware dai file del sito:

    1. Accedere al server via SFTP o SSH
    1. Creare un backup del sito prima di apportare cambiamenti
    1. Identificare i file modificati di recente
    1. Confermare la data di cambiamento con il nome dell’user che li ha apportati
    1. Ripristinare i file sospetti con copie dal repository ufficiale di WordPress
    1. Aprire un qualsiasi file personalizzato o premium (non nel repository ufficiale) con un editor di testo
    1. Rimuovere ogni codice sospetto dai file personalizzati
  1. Eseguire un test per verificare che il sito sia ancora operativo dopo le modifiche

Attenzione: Rimuovere manualmente i codici “malevoli” dai file del sito potrebbe essere estremamente pericoloso per il sito stesso. Quindi è bene non eseguire mai alcuna azione senza aver fatto prima un backup. Se non si è sicuri, meglio chiedere l’assistenza di un professionista.

Il secondo passaggio da eseguire su un sito WordPress hackerato è pulire le tabelle di database hackerate

Per rimuovere un’infezione malware dal database del sito, come prima cosa accedere al database dal pannello admin. Per fare questo si possono anche utilizzare dei tools come Search-Replace-DB o Adminer.

Per rimuovere manualmente un’infezione malware dalle tabelle del database, procedere nel seguente modo:

    1. Loggarsi al database dal pannello admin
    1. Fare un backup del database prima di apportare cambiamenti
    1. Verificare la presenza di contenuti sospetti (come spammy keywords, links etc)
    1. Aprire la tabella che contiene i contenuti sospetti
    1. Rimuovere manualmente tutti i contenuti sospetti
    1. Eseguire un test per verificare se il sito è ancora operativo in seguito alle modifiche
  1. Rimuovere ogni tools di accesso al database eventualmente caricati
sito-wordpress-hackerato-e-database
Su un sito WordPress hackerato è importante anche controllare e ripulire il database da eventuali infezioni

I principianti possono utilizzare le informazioni payload fornite nella fase di scansione del sito.

Gli utenti intermedi possono verificare manualmente la presenza di malware comuni per le funzioni PHP come eval, base64_decode, gzinflate, preg_replace, str_replace etc. Bisogna ricordare che queste funzioni sono utilizzate anche dai plugin per ragioni legittime, così è bene prestare attenzione ai cambiamenti al fine di non causare danni accidentali al sito.

Attenzione: Rimuovere manualmente i codici “malevoli” dai file del sito potrebbe essere estremamente pericoloso per il sito stesso. Quindi è bene non eseguire mai alcuna azione senza aver fatto prima un backup. Se non si è sicuri, meglio chiedere l’assistenza di un professionista.

Fondamentale per un sito WordPress hackerato è mettere in sicurezza gli user account

Se si notano degli account user su WordPress non familiari, è importante rimuoverli in modo che gli hacker non possano accedere al sito. Si raccomanda di avere un solo admin user e di impostare i ruoli per gli altri user con il minor numero di privilegi necessari (ad esempio contributor, autore, editor).

Per rimuovere manualmente gli user sospetti da WordPress, procedere nel seguente modo:

    1. Eseguire un backup del sito e del database prima di procedere
    1. Accedere a WordPress come admin e cliccare User
    1. Identificare i nuovi account user sospetti
  1. Passare il mouse sull’account sospetto e cliccare Elimina

Se si ritiene che qualche user account sia stato compromesso è bene reimpostare le password, generandone di nuove tenendo ovviamente conto dei parametri solitamente indicati (lunghezza, complessità etc.) per creare delle password sicure. Al termine dell’operazione l’utente riceverà una email di notifica con la nuova password temporanea.

Su un sito WordPress hackerato procedere a eliminare le backdoor nascoste

Gli hackers si lasciano sempre una strada aperta per entrare nel vostro sito. Più spesso è possibile trovare numerose backdoors di diverso tipo su un sito WordPress hackerato.

Spesso le backdoors sono incorporate in file rinominati in maniera simile ai core file di WordPress ma sono situati nelle directory sbagliate. Gli hackers possono anche iniettare le backdoors in file come wp-config.php e in directory come temi/plugin/upload.

sito-wordpress-hackerato-rimozione-backdoors
Nel caso di un sito WordPress hackerato un altro passaggio fondamentale è procedere alla rimozione delle backdoors nascoste

Le backdoors includono generalmente le seguenti funzioni PHP:

    • base64
    • str_rot13
    • gzuncompress
    • eval
    • exec
    • create_function
    • system
    • assert
    • stripslashes
    • preg_replace (with /e/)
  • move_uploaded_file

Queste funzioni possono essere lecitamente utilizzate dai plugin, così è bene essere certi prima di testare le modifiche in quanto si potrebbero provocare dei danni accidentali al sito rimuovendo delle funzioni “benigne”.

La maggior parte dei codici malevoli usa una forma di codifica per evitare di essere rilevati. A parte componenti premium che utilizzano la codifica per proteggere il proprio meccanismo di autenticazione, è molto raro vedere la codifica nel repository ufficiale di WordPress.

E’ fondamentale che tutte le backdoors siano chiuse così da ripulire il sito WordPress dall’infezione; in caso contrario il sito sarà nuovamente infettato.

Sito WordPress hackerato: rimuovere gli avvisi malware

Se il sito è stato inserito in una blacklist da Google, McAfee, Yandex (o ogni altra autorità web spam) è possibile richiedere una revisione dopo aver rimediato all’attacco hacker a WordPress.

Per rimuovere gli avvisi malware dal sito:

    1. Contattare la compagnia di hosting e chiedere di rimuovere la sospensione. Potrà essere necessario fornire dei dettagli su come si è proceduto a eliminare il malware
  1. Richiedere una revisione a tutte le autorità blacklist, come Google Search Console, McAfee Site Advisor, Yandex Webmaster. Il processo di revisione può richiedere qualche giorno

Interventi post-attacco per un sito WordPress hackerato

In questa fase finale, si capirà come riparare le cause che hanno determinato un attacco hacker a WordPress. Si eseguiranno anche dei passaggi essenziali per migliorare la sicurezza del sito WordPress.

Il tuo sito è compromesso dopo un attacco hacker? Chiedi ai nostri consulenti come recuperare il sito e le posizioni SEO

Aggiornare e ripristinare le impostazioni di sicurezza di un sito WordPress hackerato

Un software non aggiornato è tra le principali cause di infezione. Questo include la versione del CMS, dei plugin, dei temi e di tutte le altre estensioni. Potenzialmente anche le credenziali compromesse dovrebbero essere ripristinate per assicurarsi di non essere nuovamente infettati.

sito-wordpress-hackerato-eseguire-aggiornamenti
Un altro passo fondamentale da compiere su un sito WordPress hackerato è quello di effettuare gli aggiornamenti di sicurezza su software, plugin e temi

Per apportare manualmente gli aggiornamenti in WordPress:

    • Accedere al server via SFTP o SSH
    • Fare un backup del sito e del database (specialmente dei contenuti personalizzati)
    • Rimuovere manualmente le directory wp-admin e wp-includes
    • Sostituire wp-admin e wp-includes usando delle copie della repository ufficiale di WordPress
    • Rimuovere e sostituire manualmente i plugin e i temi con delle copie dalle risorse ufficiali
    • Accedere a WordPress come amministratore e ciccare Dashboard>Updates
    • Eseguire eventuali aggiornamenti mancanti
  • Aprire il sito per verificare che sia operativo

Se vengono individuati altri software non aggiornati sul server (come Apache, cPanel, PHP), è necessario aggiornarli per garantirsi che non vi siano delle patch di sicurezza mancanti.

Attenzione: Si consiglia di rimuovere e di sostituire manualmente i core file invece di utilizzare la funzione Update presente nella dashboard di wp-admin. In questo modo tutti i file malevoli aggiunti alle core directory sono individuati. E’ possibile rimuovere le core directory esistenti (wp-admin, wp-includes) quindi aggiungerle manualmente alle stesse core directory.

Si ricorda di non toccare wp-config.php o wp-content in quanto si potrebbe danneggiare il sito.

Reimpostare le password su un sito WordPress hackerato

E’ fondamentale in seguito a un attacco hacker a WordPress modificare le password per tutti i punti di accesso. Questo include gli account user di WordPress, FTP/SFTP, SSH, cPanel e il database.

sito-wordpress-hackerato-reimpostare-password
Nell’ipotesi di un sito WordPress hackerato è indispensabile anche procedere a cambiare le password, impostandone delle nuove molto più sicure

E’ bene, inoltre, ridurre il numero degli account amministratore per tutti i sistemi e favorire il concetto di “minor privilegi”; è bene dare agli utenti solo i privilegi di cui hanno bisogno per eseguire il proprio lavoro.

Nota: Tutti gli account dovrebbero usare delle password forti. Una buona password si costruisce con tre componenti: complessità, lunghezza e unicità. Alcuni ritengono che sia complicato ricordare le password multiple, ma per ovviare a questo inconveniente esistono le password managers.

Fondamentale è generare delle nuovi chiavi segrete per un sito WordPress hackerato

Una volta reimpostate le password, è possibile imporre a tutti gli utenti di disconnettersi da WordPress.

WordPress utilizza i cookie del browser per mantenere le sessioni utente attive per due settimane. Se un hacker ha un cookie di sessione allora potrà mantenere l’accesso al sito anche dopo che la password è stata modificata. Per risolvere il problema si deve forzare gli utenti attivi a reimpostare nuove chiavi segrete per WordPress.

Si consiglia di installare nuovamente tutti i plugin dopo un attacco hacker a WordPress così da essere certi che questi funzionino bene e non contengano residui malware.

Se si sono disattivati dei plugin è consigliato rimuoverli dal web server.

Da notare che i plugin premium devono essere re-installati manualmente in quanto il loro codice non è disponibile nella repository ufficiale di WordPress.

Step fondamentale: rafforzare un sito WordPress hackerato

Rafforzare un server o un’applicazione significa adottare delle misure per ridurre la superficie di attacco. WordPress e i suoi plugin possono essere rafforzati contro gli attacchi hacker in molti modi in base a diverse necessità. Si consiglia di rivedere WordPress Codex se si necessita di opzioni aggiuntive. E’ bene anche vedere la sezione Website Firewall sottostante per ulteriori informazioni su patch virtuali e metodi di rafforzamento.

Per la sicurezza di un sito WordPress hackerato eseguire sempre il backup

Il backup è una vera e propria rete di sicurezza.

Una volta che il sito è stato ripulito dall’infezione è importante adottare alcune fondamentali misure post-hack, tra le quali eseguire un backup. Avere una funzionale strategia di backup è infatti uno dei punti fondamentali in un piano di sicurezza.

sito-wordpress-hackerato-effettuare-backup
Tra le misure post-hack da adottare su un sito WordPress hackerato vi è certamente quella di eseguire un backup completo

Ecco, quindi, alcuni consigli relativi al backup di un sito:

    • Luogo: E’ bene archiviare il backup in un luogo off-site. Mai, quindi, conservare il backup (o vecchie versioni) sul server, in quanto potrebbero essere utilizzati per hackerare il sito o comprometterlo
    • Automatico: Il backup dovrebbe essere eseguito automaticamente, con una frequenza adatta alle esigenze del sito
    • Ridondanza: E’ consigliato conservare il backup in più posizioni (cloud store, computer, hard drives esterni)
    • Test: Provare a eseguire il ripristino per accertarsi che il sito funzioni correttamente
  • Tipi di file: Molte soluzioni di backup escludono alcuni tipi di file come i video e gli archivi

Scansione pc: misura post-hack fondamentale nel caso di un sito WordPress hackerato

Tutti gli utenti di WordPress devono eseguire una scansione anti-virus sui propri sistemi operativi.

WordPress, infatti, può essere compromesso se un utente con un pc infetto accede alla dashboard. Molte infezioni sono progettate proprio per “passare” dal computer all’editor di testo o al client FTP.

Tra i programmi anti-virus raccomandati si ricordano:

    • BitDefender, Kaspersky, Sophos, F-Secure, a pagamento

Si raccomanda di utilizzare un solo anti-virus al fine di evitare conflitti.

Per un sito WordPress hackerato, meglio utilizzare un website firewall

Il numero delle vulnerabilità sfruttate dagli hacker cresce di giorno in giorno. Tenere il passo non è facile per gli amministratori dei siti ma i firewall per i siti web possono offrire in questo senso un aiuto molto valido.

I vantaggi di usare un firewall per un sito web sono:

    1. Prevenire futuri attacchi: Rilevando e bloccando i metodi e i comportamenti degli attacchi noti, un firewall per siti web garantisce una protezione dei siti stessi
    1. Aggiornamento della protezione virtuale: Gli hacker sfruttano immediatamente ogni vulnerabilità nei plugin e nei temi, mentre le nuove vulnerabilità (detto zero-days) emergono continuamente. Un buon firewall è in grado di applicare le patch al software del sito anche se non è stato aggiornato
    1. Bloccare gli attacchi brute-force: Un firewall può impedire a chiunque di accedere alla pagina wp-admin o wp-login, assicurando anche una adeguata protezione da attacchi brute-force volti a sottrarre le password di accesso
    1. Mitigare gli attacchi DDoS: Un attacco DDoS mira a sovraccaricare il server o le risorse delle applicazioni. Individuando e bloccando questa tipologia di attacchi un firewall per siti web assicura che il sito sia disponibile anche nel caso in cui venga attaccato da un elevato volume di traffico fake
  1. Ottimizzazione delle prestazioni: La maggior parte dei WAFs offrono la memorizzazione nella cache al fine di incrementare la velocità delle pagine. Questo rende la navigazione utente più gradevole e abbassa la percentuale di rimbalzo, migliorando così le prestazioni del sito, le conversioni e il ranking nei risultati di ricerca