Come eseguire la scansione di malware e backdoor sul tuo sito Web WordPress

Pubblicato: 2018-05-10
Scansione di malware e backdoor sul sito Web WordPress
Segui @Cloudways

Stai riscontrando uno dei seguenti problemi con il tuo sito Web WordPress o WordPress ?

  • Velocità lenta per il tuo sito web nonostante una buona connessione Internet.
  • Reindirizzare i visitatori dal tuo sito web a un altro sito web.
  • Visualizzazione di contenuti illegali o deturpazione della tua home page.
  • Un improvviso calo o picco nel traffico del sito web.
  • Il frequente arresto anomalo del sito Web quando viene aperto nel browser.

Se in qualsiasi momento menzionato sopra, la tua risposta è stata un sì, potrebbe essere un segno che il tuo sito Web WordPress è stato violato ed è stato iniettato con software dannoso, noto anche come Malware .

Il termine malware si riferisce a tutte le varie forme di software dannoso, inclusi virus informatici, ransomware e cavalli di Troia, che vengono utilizzati per interrompere il tuo sito Web o ottenere l'accesso non autorizzato alle cartelle del tuo computer.

Negli ultimi anni, il malware è stato utilizzato per interrompere i siti Web sia governativi che aziendali e per raccogliere informazioni critiche. Un malware per il mining di criptovalute è stato utilizzato per compromettere oltre 5.000 siti Web del governo nel Regno Unito Nel settembre 2014, il malware ha colpito il sistema POS del rivenditore di forniture per edifici, HomeDepot, e ha rubato le informazioni sulle carte di credito e di debito dei 56 milioni di clienti dell'azienda.

Oltre a infettare con malware, gli hacker inseriscono anche una backdoor nei siti Web che hackerano. Consente agli hacker di ottenere l'accesso remoto non autorizzato a un sito Web compromesso sfruttando le sue vulnerabilità di sicurezza . Raggiunge questo bypassando la procedura di autenticazione standard richiesta per accedere a qualsiasi sistema remoto, inclusi database e file server di un sito web. Una backdoor è tra le forme degradate di hacking in quanto può rimanere inosservata e continua a influenzare i siti WordPress compromessi anche dopo che sono stati scansionati e ripristinati.

Come eseguire la scansione di malware e backdoor?

La maggior parte degli hacker aggiunge e nasconde malware e backdoor nei seguenti file e cartelle di WordPress, ovvero:

1. Plugin e temi WordPress

Gli hacker archiviano il loro codice malware in plugin e temi obsoleti, poiché la maggior parte degli utenti non li guarda. Se sono presenti temi vecchi o inattivi nella directory dei temi di WordPress, si consiglia di eliminarli o aggiornarli. Inoltre, la maggior parte degli utenti non utilizza tutti i plug-in WordPress preinstallati né li aggiorna. Pertanto, è più facile per il malware sfuggire all'interruzione causata dagli aggiornamenti del software.

Scansione per malware e backdoor

Gli hacker sanno che una volta che ti rendi conto che il tuo sito web è stato violato, lo puliresti. Quindi è necessaria una backdoor per entrare nel tuo sito web dopo la pulizia. A volte, gli hacker mascherano il malware come plugin. Ecco perché controllare di tanto in tanto i plugin installati è una buona idea. Se vedi un plug-in che non hai installato, è possibile che si tratti di un malware utilizzato come backdoor per accedere al tuo sito Web WordPress.

2. Directory dei caricamenti

Come utente di WordPress, utilizzi la directory Uploads per caricare immagini da utilizzare nel tuo post o articolo web. Se la directory dei caricamenti contiene migliaia di file multimediali, gli hacker trovano facile caricare e nascondere le proprie backdoor in questa cartella. Inoltre, la directory Uploads è scrivibile, rendendola così un facile bersaglio per gli hacker.

3. Funzioni come eval, base64_decode e preg_replace, situate nel file wp-config.php

Il file wp-config.php è tra i file più comuni presi di mira dagli hacker per inserire il loro codice malware.

4. File .htaccess e directory wp-includes

La directory wp-includes è un'altra cartella comune presa di mira dagli hacker, che per lo più lasciano più di una backdoor in questa cartella per ottenere un facile accesso.

Esistono principalmente due tipi di metodi di scansione, che possono essere utilizzati per individuare malware e programmi backdoor sul computer:

  • Scansione manuale
  • Scansione automatica

Dai un'occhiata alla lista dei migliori plugin anti-malware per WordPress

Scansione manuale: cosa cercare

Il primo passo in una procedura di scansione manuale è cercare l'integrità dei file principali di WordPress che si trovano in wp-includes, wp-admin e altre cartelle principali. Puoi anche eliminare eventuali plugin o temi WordPress inutilizzati o inattivi.

Un segno classico per un sito Web compromesso è trovare codici come eval, base64_decode. I proprietari di siti Web possono semplicemente cercarli per verificare se un sito Web è stato violato. Ma questi sono utilizzati anche dai plugin di WordPress come parte del loro normale codice. Pertanto, l'utilizzo di una scansione manuale è estremamente difficile da analizzare se il codice è pulito o dannoso.

Inoltre, gli hacker sono abbastanza intelligenti da utilizzare diverse combinazioni del codice e altri metodi per impedire un facile rilevamento del codice dannoso.

Puoi anche utilizzare la scansione manuale per trovare tutti i file che sono stati modificati di recente come quando il sito Web è stato violato. Puoi farlo completando le seguenti istruzioni:

  1. Accedi al tuo server WP tramite un terminale SSH o un client FTP
  2. Con un terminale SSH, trova l'elenco dei file modificati di recente eseguendo il seguente comando: $ find. / -type f -mtime -15
  3. Se stai utilizzando FTP, visualizza l'ultima data in cui un file è stato modificato sul server. Sebbene la data dell'ultima modifica sia un buon indicatore del fatto che i dati siano stati violati, può essere fuorviante poiché la maggior parte degli hacker può reimpostare la data e l'ora dei file infetti.

A causa dei vincoli di cui sopra, l'implementazione di una scansione manuale, in particolare per il rilevamento di backdoor, potrebbe non essere la scelta migliore per i proprietari di siti Web. I metodi di scansione manuale funzionavano efficacemente negli anni passati, quando la maggior parte degli hacker inseriva il proprio malware in cartelle e file selezionati. La maggior parte delle scansioni manuali sarebbe in grado di rilevare eventuali discrepanze tra i file e segnalarle.

Scansione automatica: cosa dovresti sapere

Gli hacker intelligenti di oggi hanno sviluppato tecniche più complesse per inserire codice malware non rilevabile ovunque nel sito WordPress. Possono anche aggiungere file aggiuntivi che contengono codice dannoso ma sono denominati come qualsiasi nome di file plug-in, ad esempio Adm1n.php o Hell0.php. Ciò richiede la necessità di implementare metodi di scansione automatica, che sono più potenti nel rilevamento e nella correzione di malware e codici backdoor.

La maggior parte degli scanner automatici disponibili utilizza le seguenti tecniche di rilevamento del malware:

1. Scansione basata sulla firma

Questo è il metodo più comune ed efficace per identificare il malware. La maggior parte del codice malware comprende una serie di istruzioni che il computer deve eseguire per far funzionare il virus. In genere denominati firme dei virus, gli scanner basati sulle firme cercano questi modelli di firme in un file e, se trovati, lo contrassegnano come infetto.

Ricorda: tra le limitazioni tipiche della scansione basata sulle firme, non funziona con tutti i tipi di virus informatici, in particolare quei virus sconosciuti i cui modelli di firma non sono disponibili nel database delle firme disponibile.

2. Scansione basata su plugin

Poiché la maggior parte del codice malware viene inserita nei plug-in e nei temi di WordPress, gli scanner basati su plug-in sono utili per scansionare e rilevare quotidianamente qualsiasi codice dannoso nei plug-in e nei temi di WordPress. La maggior parte di essi dispone anche di un meccanismo di avviso di virus per avvisarti di qualsiasi ingresso di malware.

Ricorda: una limitazione significativa degli scanner basati su plug-in è che cercano solo malware nei plug-in e nei temi WP attualmente installati. I plugin e i temi non utilizzati o inattivi non vengono esaminati; quindi questa tecnica funzionerà solo se hai rimosso tutti i plugin e i temi inattivi dalla tua installazione di WordPress.

Inoltre, esistono scanner di malware, che controllano solo l'integrità dei file dei file principali di WordPress confrontando le modifiche ai file e generando un avviso di virus se viene rilevata una mancata corrispondenza.

Gli scanner di malware approfonditi, come MalCare, sono utili per rilevare malware e backdoor, poiché conducono una scansione approfondita dell'installazione complessiva di WordPress e assicurano che non vi sia codice dannoso nascosto nel sistema che possa causare problemi relativi alla sicurezza.

Prima di utilizzare gli scanner di malware profondi, è necessario assicurarsi che i seguenti punti chiave vengano ricordati e seguiti:

  1. Alcuni codici malware potrebbero richiedere la scansione ripetuta per essere rimossi completamente dal sistema.
  2. Assicurati di eseguire un backup dei dati correnti prima di avviare lo scanner approfondito. Insieme a malware e virus dannosi, gli strumenti di rimozione del malware possono causare la perdita di dati o il danneggiamento del sistema operativo. Anche se questo è raro, assicurati di avere un backup di tutte le informazioni vitali prima di avviare lo scanner profondo.

Conclusione

Nessun sito Web ospitato da WordPress è del tutto al sicuro dall'essere hackerato da hacker professionisti. Tuttavia, puoi ridurre le minacce alla sicurezza seguendo tutte le migliori pratiche di sicurezza per il tuo sito Web WordPress.

Nello sfortunato caso in cui il tuo sito Web venga violato, esistono strumenti tecnologici che possono aiutarti a rilevare e riparare il tuo sito compromesso. Vale la pena notare che, nonostante le loro capacità, nessuno strumento di scansione malware può essere considerato adeguato per gestire tutti i tipi di malware e infezioni backdoor. Pertanto, è consigliabile seguire una politica di "prevenzione" piuttosto che di "cura".

Dichiarazione di non responsabilità: questo è un guest post di MalCare . Le opinioni e le idee qui espresse sono proprie dell'autore e non riflettono in alcun modo la posizione di Cloudways.