Hai un sito WordPress hackerato? Ecco come puoi risolverlo!

Il tuo sito Web ospitato su WordPress è stato violato nonostante tutte le tue misure di sicurezza? Purtroppo, questa è la dura realtà dell'era digitale che, nonostante tutte le tecnologie e le funzionalità di sicurezza di WordPress, nessun sito Web è completamente al sicuro dall'essere hackerato da WordPress da hacker professionisti.

Ma, come proprietario di un sito web, sapevi che puoi adottare misure che possono riparare o pulire il tuo sito WordPress compromesso o determinare se il tuo sito è stato effettivamente violato? Vediamo, come!

Segni di un sito WordPress hackerato

Esistono diversi segnali, sia visibili che impercettibili, che puoi utilizzare per confermare se il tuo WordPress è stato violato e compromesso. Alcuni dei segni comuni di un sito WordPress compromesso includono:

• Un improvviso calo o picco nel traffico del sito web, come indicato dai rapporti di Google Analytics.
• Iniezione di dati o collegamenti errati al tuo sito Web (ad esempio, il piè di pagina del tuo sito Web), comunemente eseguita attraverso la creazione di una backdoor sul sito Web WordPress.
• Deturpazione della homepage del sito, che è il segno più visibile. Tuttavia, il deturpamento della homepage può essere evitato se gli hacker vogliono rimanere inosservati per un periodo più lungo.
• Impossibilità di accedere al tuo account WordPress come amministratore, il che suggerisce che il tuo account amministratore di WordPress potrebbe essere stato eliminato dall'hacker.
• Creazione di account utente spam nell'account WordPress, inclusi quelli con diritti utente amministratore.
• Aggiunta di file e script sconosciuti nella cartella del server Web (solitamente nella cartella wp-content).
• Sito web lento o che non risponde a causa di un sovraccarico di richieste HTTP inviate al tuo server web.
• Impossibilità di inviare o ricevere e-mail utilizzando WordPress, generalmente causata dall'hacking del server di posta di WordPress.
• Aggiunta di attività non pianificate al tuo server web da parte dell'hacker.
• Il traffico verso il tuo sito web viene reindirizzato a un altro indirizzo URL.
• Avviso del browser sui rischi per la sicurezza quando l'utente tenta di accedere a un sito Web compromesso o violato, a causa del rilevamento di codice o script sospetti in esecuzione sul sito.

Quali passaggi devono essere seguiti per riparare un sito WordPress compromesso?

Di seguito sono elencati i passaggi che devi seguire per riparare il tuo sito web compromesso:

1. Identifica il tipo di hack

Questo può essere fatto utilizzando strumenti di scansione, che possono individuare codici dannosi. Inoltre, controlla eventuali vulnerabilità di base nei file principali di WordPress, che si trovano nelle cartelle wp-admin, wp-includes e altre cartelle principali.

Puoi anche controllare il Rapporto sulla trasparenza di Google per utilizzare i loro strumenti di diagnostica, che possono indicare l'attuale stato di sicurezza del tuo sito web.

2. Rimuovere l'hack

Una volta identificata la posizione dei file malware, puoi confrontarli con una versione di backup recente dei dati per vedere cosa è cambiato. La rimozione dell'hack in genere comprende:

1. Pulizia dei file WordPress compromessi: è possibile eseguire una correzione manuale su qualsiasi file infetto principale come il file wp-config.php o la cartella wp-content. Altri file personalizzati infetti possono essere puliti utilizzando un file di backup o una copia appena scaricata.
2. Pulizia delle tabelle del database compromesse: questa operazione è necessaria per rimuovere qualsiasi file malware infetto dalle tabelle del database. Puoi anche utilizzare la ricerca nel database per individuare una delle tipiche funzioni PHP dannose come eval, base64_decode o preg_replace .
3. Rimozione di backdoor: un altro metodo utilizzato dagli hacker per ottenere l'ingresso illegale nel tuo sito Web è tramite funzioni PHP backdoor che vengono iniettate in file come wp-config.php insieme a directory come /themes, /plugins/ o /uploads. Le funzioni PHP comuni come base64, eval, exec e preg_replace vengono utilizzate per le backdoor e per l'uso legittimo dalla maggior parte dei plugin di WordPress. Quindi, oltre a evitare qualsiasi violazione del sito, le backdoor devono essere adeguatamente pulite per evitare qualsiasi reinfezione del sito web.

La riparazione e il ripristino del tuo sito Web possono essere ottenuti con uno dei seguenti metodi, discussi in dettaglio nelle sezioni seguenti:

• Pulizie manuali
• Utilizzo di soluzioni di sicurezza WordPress
• Ripristino del backup del sito Web

Pulizie manuali

Un sito Web WordPress compromesso può essere pulito manualmente utilizzando una delle seguenti opzioni:

• Rimozione manuale di tutti i file infetti con nuovi file WordPress (disponibili tramite download) o sostituzione di tutti i file WordPress (compresi quelli infetti) con i file scaricati.
• Sostituzione manuale dei file infetti con la copia scaricata.

Un indicatore principale di un sito Web compromesso è la presenza di codice dannoso inserito nella funzione di codice eval (base64_decode), che si trova nel file wp-config.php. La maggior parte degli hacker aggiunge e nasconde il proprio codice dannoso all'interno di questa funzione, che diventa difficile da accertare dal codice normale.

In alternativa, gli hacker possono nascondere il codice dannoso in altre funzioni PHP vulnerabili come file, preg_replace. Nel complesso, le pulizie manuali sono difficili da implementare in quanto implicano l'identificazione del codice hacker dannoso, che può essere inserito in diverse combinazioni e schemi di codice.

Soluzioni di sicurezza WordPress

Se non hai il know-how tecnico per implementare una pulizia manuale, è meglio applicare una pratica soluzione di sicurezza WordPress. Inoltre, la maggior parte degli hacker professionisti nascondono i loro script dannosi in diverse posizioni delle cartelle di WordPress, che consentono l'hacking ripetuto e sono difficili da scansionare e rimuovere.

Le soluzioni di sicurezza di WordPress come MalCare e SecuPress implementano le migliori pratiche di sicurezza come il blocco dell'esecuzione di PHP in cartelle non attendibili e la modifica delle chiavi di sicurezza. La maggior parte delle soluzioni di sicurezza disponibili ripara il sito Web compromesso eseguendo i seguenti passaggi, vale a dire:

1. Scansione per determinare la posizione del malware e dei file infetti. I plugin WordPress più diffusi come Sucuri WordPress Auditing indicano lo stato di sicurezza dei file principali di WordPress, oltre a mostrare la posizione dei file compromessi.
2. Pulizia per riparare e pulire il malware individuato. Mentre le soluzioni di sicurezza di WordPress come MalCare offrono funzionalità di pulizia automatica, Theme Authenticity Checker (o TAC) verifica la presenza di codice dannoso nei temi installati e offre due modalità di implementazione della correzione, ovvero la rimozione manuale del codice infetto o la sostituzione del file infetto con il file pulito originale.

Ripristino del tuo sito Web WordPress da un backup

Questo è uno dei metodi più veloci per ripristinare il tuo sito WordPress compromesso in modalità di esecuzione. Questo metodo può essere implementato solo se hai eseguito backup regolari del tuo sito e se il backup stesso non è stato violato. Tuttavia, se il tuo sito Web presenta modifiche giornaliere ai contenuti e commenti degli utenti, il ripristino del tuo sito Web utilizzando il metodo di backup può farti perdere dati preziosi.

Un'altra limitazione del metodo di ripristino del backup è che non funziona nella rimozione di nuovi file o cartelle infetti aggiunti dagli hacker per consentire loro di compromettere ripetutamente un sito Web.

Risolvere la vulnerabilità del tuo sito Web WordPress

Oltre a riparare e ripristinare il sito Web compromesso, è altrettanto vitale correggere i difetti di sicurezza del sito che hanno causato l'hacking in primo luogo. La maggior parte degli hacker può sfruttare le scappatoie relative alla sicurezza anche dopo che il sito web compromesso è stato pulito e ripristinato. Di seguito sono elencati i punti da ricordare per rimuovere le falle di sicurezza nel tuo sito WordPress:

• Utilizza gli ultimi aggiornamenti su tutto il software sul tuo sito WordPress, poiché la maggior parte delle vulnerabilità deriva da versioni obsolete degli strumenti software.
• Aggiorna tutti i plugin e i temi di WordPress installati. Poiché la maggior parte degli hack di WordPress si verifica a causa di vulnerabilità nei plug-in e nei temi di terze parti, è importante segnalarlo al team di sviluppo del plug-in, che può sviluppare e rilasciare una patch di sicurezza. Se non stai utilizzando determinati plugin, rimuovili dal tuo sito.
• Ulteriori passaggi includono il controllo delle autorizzazioni utente per i diritti di amministratore di WordPress, la disabilitazione dei cookie dell'utente sull'amministratore di WordPress per prevenire attacchi futuri e l'aggiornamento della password dell'account WordPress.
• Indurimento del sito WordPress utilizzando una varietà di strumenti software per ridurre i punti di ingresso per gli hacker. Applica i suggerimenti forniti da WordPress su come rafforzare il tuo sito web. In alternativa, puoi utilizzare le soluzioni di sicurezza di WordPress, come MalCare che offre funzionalità di protezione automatica del sito.
• Installa un plug-in firewall di WordPress per fornire protezione al tuo sito Web e ridurre la possibilità di un futuro hack.

Conclusione

Con il numero crescente di siti Web violati o compromessi, i proprietari di siti Web devono imparare a mantenere la calma e completare l'intero processo di pulizia e ripristino del sito Web per prevenire un'altra violazione della sicurezza in futuro. Se hai domande su un sito WordPress compromesso, commenta qui sotto.

Dichiarazione di non responsabilità: questo è un guest post di MalCare . Le opinioni e le idee qui espresse sono proprie dell'autore e non riflettono in alcun modo la posizione di Cloudways.