Pulire un sito WordPress dopo un attacco hacker

Giorni fa sono stati hackerati i sistemi di una nota banca italiana. Anche un semplice sito può essere hackerato, con questa guida “Pulire un sito WordPress dopo un attacco hacker” vi spiegherò cosa fare per togliere gli script malevoli installati e come evitare che accada di nuovo.

Nel grafico che ti mostro di seguito, fornito da Wordfence – WordPress security plugin, scoprirai la mole di attacchi che viene bloccata da questo servizio quotidianamente… sono numeri molto alti, spaventosi a dir poco. Questo ti fa capire quanto sia utile per te saper pulire un sito WordPress dopo un attacco hacker. Perché ho scelto proprio WordPress? E’ la piattaforma più usata, nel 2016 sono stati realizzati 15.769 siti con WordPress.

©Wordfence

©Wordfence

Backup periodici

Il primo consiglio che posso darti è quello di attivare dei backup periodi, sia di WordPress che del database. BackWPup è il plugin gratuito e più completo per eseguire il backup di WordPress e del database. Puoi agganciarlo a servizi di storage esterni come Dropbox o a un server FTP. Puoi anche decidere di fare il backup solo dei file modificati dal precedente.

Aggiornamenti

WordPress e i suoi plugin devono essere costantemente aggiornati quando disponibile l’update. Gli aggiornamenti non risolvono solo bug, ma anche i problemi legati alla sicurezza dei file.

Permessi delle cartelle e dei file

Per chi smanetta con le cartelle e i permessi è necessario sempre ripristinarne i permessi per garantire la corretta sicurezza.

• Le cartelle devono avere permessi 755;
• I file devono avere permessi 644;
• Il file “WP-config.php” deve avere permessi 600, 640 o 644;

Quali sono i segnali di un sospetto attacco hacker?

Se hai già installato un plugin sulla protezione di WordPress, questo plugin inizierà a inviarti delle notifiche.
Potresti anche essere impossibilitato a loggarti sulla piattaforma. Il tuo sito potrebbe essere reindirizzato su un altro sito es. porno. Google ha inserito nella blacklist il tuo sito, segnalandolo come pericoloso. Le Analytics mostrano un aumento esponenziale del traffico da sorgenti sospette. Il tuo provider per l’hosting ha messo il tuo sito offline. Presenza di file modificati senza il tuo intervento.

Se puoi loggarti sul pannello di amministrazione

Se uno dei segnali precedentemente elencati è presente sul tuo sito, prova subito ad accedere alla dashboard. Se sei riuscito ad accedere (menomale!!!) cambia immediatamente la password, usa quella che WordPress genera, è sicuramente la più sicura.

Cambia le password (facendole generare da WordPress) a tutti gli altri utenti presenti sulla piattaforma. Verifica che gli hacker non abbiano aggiunto nuovi utenti, se ne trovi, eliminali subito.

Se gli hacker hanno avuto accesso al tuo WordPress, potrebbero essere ancora loggati perché ormai i cookie sono memorizzati, cambia subito nel file “WP-config.php” le security key (Security Key Generator).

Installa subito un plugin per la scansione dei malaware, io uso Wordfence – WordPress security plugin e lancia subito una scansione. Se trova file con script malevoli, ti chiederà di sostituirli con la versione originale del file, accetta questa richiesta.

Se NON puoi loggarti sul pannello di amministrazione

Se non riesci ad accedere alla dashboard, gli hacker hanno cambiato la tua password. Potrai cambiare la password accedendo al tuo database.

Puoi anche provare la procedura più semplice, con il “recupera password” già presente sulla schermata di login, sperando a questo punto che non abbiano modificato l’indirizzo mail nella scheda dell’utente. Una volta entrato, segui la procedura nel punto precedente.

Eliminare altri file

Una volta finita la scansione del tool anti malaware, controlla manualmente le singole cartelle del tuo FTP.

Normalmente WordPress non usa file .html, se trovi dei file con questa estensione (e non sono stati caricati da te) eliminali.

Controlla anche i file modificati di recente, ordina i file per data dal più recente al meno recente, se trovi dei file modificati durante il periodo dell’avvenuto attacco, verificali. Tieni presente che ci sono dei file che vengono modificati anche senza il tuo intervento es. file di log, questo non vuol dire che siano malevoli.

Cerca anche i termini “hacked by” e “buy cheap”, se sono presenti, capirai velocemente quali file sono stati toccati.

Cerca anche le seguenti stringhe molto usate dagli hacker:

• iframe
• exe
• base64
• base64_decode
• eval
• isadmin
• inurl
• gzip_uncompres

Al termine del lavoro di pulizia

Ok, sei a buon punto. Adesso ti consiglio di:

1. Cambiare nuovamente tutte le password (anche del DB);
2. Cambiare tutte le password degli utenti e verificarne i permessi, non lasciare che tante persone siano Administrator;
3. Cambiare le Security Key;
4. Tenere attivo il plugin di scansione e anti malaware;
5. Modificare in numero di tentativi di login (io ho stabilito come numero massimo 3);
6. Aggiorna WordPress se possibile;
7. Aggiorna i plugin se possibile;

Con questa guida su come pulire un sito WordPress dopo un attacco hacker, dovresti riuscire a risolvere e a ripristinare il tuo sito.
In bocca al lupo!

Altri articoli dove parlo di WordPress:

• I 5 migliori temi WordPress per ristoranti, negozi food, streetfood
• WordPress, i plugin che non devono mai mancare
• Infografica, 28 famosi brand che usano WordPress
• Un articolo nerd, differenze tra Framework, Pattern, Library, Toolkit e CMS

Fonte – Copyright immagini stocksnap.io – Altre immagini recuperate su Google