Blog

Come ripulire un Sito Web hackerato

come ripulire un sito web hackerato

Se il tuo Sito Web è stato hackerato e hai subito un attacco wordpress, non prenderti di panico ma cerca di seguire alla lettera i miei consigli e gli step per rimuovere tutti i malware.
Ti spiegherò passo passo come ripulire il tuo Sito Web se è stato hackerato e infettato di codice malevolo: Malware, Backdoor, Spam, Cloaking etc etc. Leggi la guida sulla lista completa dei diversi attacchi informatici.
Innanzitutto, a prescindere dalla piattaforma che utilizzi, WordPress, Drupal, Joomla, ecc. – qualsiasi Sito Web compromesso può essere ripulito da virus e ci sono tantissime strategie e tecniche per hackerare un sito wordpress.
Se il tuo Sito Web viene attaccato, potresti perdere importanti posizionamenti sui motori di ricerca, esporre i tuoi lettori a virus, perdere reputazione a causa dei reindirizzamenti ai siti pornografici o di altra natura e, nel peggiore dei casi, perderti tutti i dati del tuo Sito Web.
Se il tuo Sito Web è un business, allora la sicurezza dovrebbe essere una delle tue priorità.

Ecco cosa può succedere se il tuo sito è stato hackerato o se wordpress risulta compromesso:

  • Google mette il sito web in Blacklist;
  • La SERP mostra “This site may be hacked” “Questo sito potrebbe essere compromesso“;
  • Il tuo provider disabilita il sito web;
  • I clienti non vedono il sito perché bloccato dai loro antivirus;
  • Il sito web non funziona correttamente o mostra contenuti inaspettati.

Step1. Hosting sicuro e Backup

L’Hosting è la “casa” che ospita il tuo Sito Web. Avere un Hosting economico e poco sicuro è la prima causa di attacco. Gli hacker riescono bene ad aggirare le politiche di sicurezza trovando un varco da poter utilizzare per infiltrarsi all’interno dello spazio dati del tuo sito. Assicurati quindi che il tuo Hosting sia di qualità, che offra un servizio antivirus valido e che ti dia la possibilità di fare il backup dei dati, del dabatase sia giornaliero che settimanale ed in generale fare un backup del sito wordpress.
Esistono tuttavia anche diversi plugin che ti permettono di fare il backup del sito in WordPress.

Avendo sempre a disposizione un backup pulito del tuo sito, potrai ripristinarlo in qualsiasi momento e non perderai mai alcun dato.

Step 2. Controlla le pagine indicizzate sul motore di ricerca

Ci sono tantissimi casi in cui il proprietario del sito non sa neanche di avere il sito web hackerato. In questo caso le pagine si presentano senza alcun problema di visualizzazione e non si nota nulla di strano.
Provate però ad effettuare queste ricerche su Google:

  • site:nomedelmiosito.it
  • site:*.it pillole prezzo acquisto generico di tadalafil vendita
  • site:*.it “cialis”
  • 
site:*.it “propecia”
  • site:*.it “cialis generico online italia consegna veloce”
  • inurl: “cialis-prezzo”

Nel primo caso troverete tutte le pagine del vostro sito web indicizzate da Google e potrete notare se fra queste ce ne sono alcune compromesse.
Nel secondo caso invece troverete tutti i siti web .it che all’interno delle pagine contengono “pillole prezzo acquisto generico di tadalafil vendita”.
Per farvi capire meglio, allego lo screenshot di una SERP in cui compaiono molti siti web compromessi.

SERP siti web compromessi

Come si evince dall’immagine quasi tutti i siti web in quella lista sono stati attaccati ed all’interno è stato costruito un vero e proprio ecommerce per il commercio e la vendita di prodotti farmaceutici. In altri casi avviene direttamente un Redirect 301 su uno dei loro siti web dove vendono gli stessi prodotti.
La cosa grave, oltre al fatto di vendere Viagra, è che tutte le schede prodotto dell’ecommerce hanno i testi duplicati e il tuo sito web potrebbe incorrere in una penalizzazione Panda da parte di Google.
Diventa quindi fondamentale saper cercare bene e rimuovere immediatamente le pagine compromesse del tuo sito.

Step 3. Controlla la Search Console

Google Search Console deve essere il tuo migliore amico. Ti segnala qualsiasi attività sospetta all’interno del tuo sito e ti comunica se qualcosa non va.

  • Controlla che il tuo sito non sia stato vittima di Cloaking effettuando un “fetch as Google” che trovate in “Scansione->Visualizza come Google”. In questo modo vi accorgerete se i motori di ricerca visualizzano contenuti differenti rispetto ai contenuti che invece visualizza l’utente umano;
  • Controlla che non vi siano troppi 404 o errori dal server da “Scansione->Errori di scansione”;
  • Controlla la voce “Problemi di sicurezza” in cui ti viene detto se c’è qualche attività sospetta sul tuo sito web.

Step 4. Controlla Google Analytics

Google Analytics ti mostra il traffico che passa attraverso il tuo sito web. Un picco di traffico in salita o in discesa potrebbe essere un fattore da tenere in considerazione. Cerca di capire a cosa è dovuto il picco di traffico utilizzando anche lo strumento “Acquisizione” per filtrare gli utenti che arrivano sul tuo sito tramite le varie sorgenti di traffico:

  • Traffico Organico (Motori di ricerca)
  • Traffico Diretto
  • Traffico proveniente dai Social Network
  • Traffico proveniente da campagne pubblicitarie Paid
  • Traffico proveniente da Newsletter
  • Traffico proveniente da referral (link da altri siti web)

Se noti un picco di traffico in salita proveniente da motore di ricerca e non hai fatto alcuna attività SEO particolare, è probabile che una pagina nascosta del sito si sia posizionata per qualche chiave con grossi volumi di ricerca. Se invece noti un grosso numero di utenti che arriva da traffico Referral può darsi che qualcuno stia cercando di fare Negative SEO sul tuo sito web.

picco di traffico analytics

Step 5. Utilizza Wordfence con WordPress

Se il tuo sito web è realizzato in WordPress e sei stato attaccato, è possibile utilizzare Wordfence per pulire gran parte del codice dannoso dal tuo sito. Wordfence ti consente di confrontare i tuoi file hackerati con i file core di WordPress originali e le copie originali dei temi e dei plugin di WordPress nel repository. Wordfence ti permette di vedere cosa è cambiato (fare un diff) e ti da la possibilità di riparare i file con un clic oltre che ad intraprendere diversi azioni a seconda del pericolo.

Ecco come ripulire il sito web compromesso con Wordfence:

  1. Aggiorna il tuo sito web all’ultima versione di WordPress.
  2. Aggiorna spesso il tuo tema e tutti i plugin alle ultime versioni.
  3. Cambia tutte le password del sito soprattutto quella degli Administrator.
  4. Nella pagina delle opzioni di Wordfence assicurati che sotto la voce “Scans to include” siano selezionate tutte le voci. Se la scansione impiega troppo tempo o non si completa prova a deselezionare la voce “Scan files outside your WordPress installation” e disabilitare “high sensitivity scanning” e “image file scanning”.
  5. Quando termini la scansione potresti vedere una lista lunghissima di file infetti. Non temere e prenditi il tempo che ti occorre per ripulirli tutti.
  6. Esamina i file singolarmente ed editali a mano cercando di capire se è il caso di eleminarli del tutto o eliminare soltanto la parte infetta.
  7. Controlla bene i file di core o dei plugin. Wordfence ti mostra subito le differenze di codice tra un file originale e un file infetto.
  8. Lavora pian piano sulla lista finchè non si svuota del tutto.
  9.  Alla fine effettua una ulteriore scansione per accertarti di aver rimosso tutti i file corrotti e di aver aggiornato correttamente tutti i plugin.

Un file compromesso potrebbe contenere del codice simile:

@include “\x2fweb\x2fhtd\x6fcs/\x77ww.\x71uiv\x65rtp\x69nca\x73si.\x63om/\x68ome\x2fyur\x69mae\x6eza/\x77p-i\x6eclu\x64es/\x53imp\x6cePi\x65/fa\x76ico\x6e_74\x30b55\x2eico”;

Step 6. Controlla i permessi degli utenti

Controlla i permessi di ogni utente per essere sicuro che soltanto tu o i tuoi più stretti collaboratori abbiano i permessi di amministratori. Se noti qualche utente sospetto cancellalo immediatamente.
Avere i permessi di amministratore consente all’utente di poter modificare i file del tema, installare o cancellare plugin, avere accesso a tutte le sezioni del sito web.

Step 7. Cambia le chiavi di salatura e autenticazione

Le chiavi univoche di salatura sono un set di variabili casuali utilizzate per le informazioni salvate sui cookie degli utenti. Sono 4 variabili e si trovano all’interno del file wp-config.php:

  • AUTH_KEY
  • SECURE_AUTH_KEY
  • LOGGED_IN_KEY
  • NONCE_KEY

Se un utente è loggato sul tuo sito web, anche cambiando la sua password rimarrà sempre loggato. L’unico modo per “buttarlo fuori” è cambiare le chiavi di salatura. Per farlo vai su questo link: api.wordpress.org/secret-key/1.1/salt/ e copia e sostituisci le chiavi nel tuo file wp-config.php. In questo modo tutti gli utenti loggati saranno costretti ad effettuare nuovamente l’accesso.

Step 8. Consigli per tenere il sito al sicuro

Ci sono piccoli accorgimenti che ti consiglio di seguire per evitare in futuro che il tuo sito possa essere compromesso a seguito di un attacco hacker.

  1. Non usare “admin” o “username” – (Brute force attack);
  2. Installa WordPress audit trail plugin per tracciare qualsiasi cosa succeda sul tuo sito WordPress.
  3. Non usare password semplici – “amore” – “123456”;
  4. Usa i giusti privilegi per gli editori o i collaboratori;
  5. Installa un firewall per WordPress. Ti consiglio Block Bad Queries.
  6. Installa un plugin di sicurezza WordPress come iThemes Security. Nessun plugin è ovviamente la soluzione a tutti i mali ma sicuramente ti saranno d’aiuto.
  7. Limita i tentativi di accesso – Plugin;
  8. Aggiorna costantemente i Plugin e il Core di WordPress;
  9. Usa soltanto temi sicuri e non scaricati da internet da siti sconosciuti;
  10. Controlla spesso webmaster tools e assicurati che il tuo sito web “stia bene”.

Sono Danilo Vaccalluzzo, vivo e lavoro a Bologna dove mi occupo principalmente di realizzazione siti web, web marketing, SEO Strategies, per privati ed aziende.

danilotrix – who has written posts on Realizzazione siti web, software gestionali, SEO.


Categories

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *