Virus su WordPress: Come rimuovere malware e file dannosi
Malware WordPress, ecco come risolvere passo passo
1. l’analisi del sito
Se non si ha dimestichezza con WordPress e non si è esperti di virus e malware, sarebbe opportuno rivolgersi a dei professionisti che possano intervenire con rapidità e con tecnici specializzati in cyber security.
Per accertarsi che la situazione sia davvero quella temuta, è buona prassi richiedere un’analisi del sito (in molti casi gratuita).
Se invece si volesse agire in autonomia, si può iniziare da questi controlli:
– l’accesso al pannello di amministrazione di WordPress funziona?
– il sito viene dirottato su altri siti?
– vi sono cartelle e file sospetti all’interno della directory
– si aprono popup indesiderati?
– si è verificata una perdita improvvisa di traffico organico?
Inoltre, si possono analizzare i file core di WordPress per cercare quelli compromessi (facilmente identificabili per i loro nomi strani).
2. il confronto con l’Host Provider
Spesso la violazione al sito dipende dal fatto che è ospitato su un server condiviso. Quindi, la seconda cosa da fare, è quella di contattare la società di hosting per confrontarsi con loro in merito al problema.
In molti casi, se il provider è serio e proattivo, risolverà il problema direttamente con l’assistenza dei suoi tecnici.
3. il backup del sito
Eseguire il backup dei file e del database è un ottimo rimedio – immediato – per ripristinare la versione precedente del sito, quindi tornando a quella versione non violata.
Per fare il backup completo si può usare un plugin di WordPress, sempre che sia ancora possibile accedere al pannello di amministrazione.
Se invece l’accesso non fosse possibile, vuol dire che è stato compromesso il database.
Una volta eseguito il backup del sito, scarichiamo il file zip sul computer per aprirlo con un doppio clic.
In questa cartella ci sono:
– i file core di WordPress che possiamo confrontare con quelli scaricabili ex novo da WordPress.org per vedere se è tutto a norma
– il file “wp-config php” che contiene alcuni dati importanti come il nome utente e la password del database di WordPress che potrà servire nel processo di ripristino
– il file .htaccess
– la cartella del contenuto wp che serve per ripristinare il sito (insieme al database) e dove ci sono le 3 cartelle relative a temi, caricamenti e plugin. In queste cartelle possiamo controllare che siano presenti tutti i file relativi che servono per il ripristino.
– File SQL, copia del database.
4. la pulizia
In questo quarto step andremo a fare un po’ di sana pulizia, eliminando tutti i file nella cartella public_html (eccetto la cartella cgi-bin e tutte le cartelle relative al server che sono chiaramente prive di file compromessi), dal File Manager dell’host web.
Nel processo di pulizia dobbiamo includere anche tutto ciò che non viene usato e che sta facendo la polvere all’interno di WordPress (temi non attivi, plugin inattivi o attivi ma che non sono necessari).
Infatti, i virus si insinuano nei temi, nelle directory dei plugin, di upload, nel file “wp-config php”, nella directory wp-include e nel file .htaccess.
E molto spesso i problemi al sito sopraggiungono proprio a causa della scarsa manutenzione al sito, della “vecchiaia” delle versioni del CMS, dei plugin non aggiornati o di altre impostazioni errate che lo rendono più vulnerabile. E gli attacchi hacker si accaniscono con i loro malware contro i siti più vulnerabili.
La manutenzione di WordPress è fondamentale per evitare che gli hacker possano accedere in remoto al server (backdoor), in barba alla autenticazione standard e senza essere rilevati.
Esistono molti tool creati ad hoc per WordPress grazie ai quali possiamo identificare rapidamente i punti deboli del nostro sito.
Tanto per citarne uno tra i tanti, Scan WP è un plugin per WordPress che offre una scansione di base, verificando in pochi secondi se i file sono aggiornati. E sulla stessa scia ce ne sono tanti altri che fanno un puntiglioso lavoro di scansione.
Un altro plugin gratuito è Sucuri WordPress Auditing che esegue una scansione dei file del core di WordPress per cercare dove si nasconde il virus e smascherarne l’identità.
5. reinstalliamo WordPress
All’interno del pannello di controllo dell’Hosting possiamo reinstallare WordPress nella directory public_html, sempre che questa sia la posizione originale dell’installazione, oppure nella sottodirectory nel caso in cui sia stato installato in un sottodominio.
Per collegare la nuova installazione di WordPress al vecchio database, dobbiamo modificare il file “wp-config php” inserendo le credenziali del database usate per il sito precedente alla versione nuova.
È bene usare il nuovo file “wp-config php”, e non sovrascrivere il vecchio, per evitare codice malevolo e per usufruire delle nuove chiavi crittografate.
6. aggiornamento password
In questo passaggio andiamo a cambiare tutte le password: sul sito (nomi utente e le password), su cPanel, FTP, MySQL.
E creiamo anche nuove chiavi nel file “wp-config php” (qualora non usassimo il vecchio file) per disabilitare i cookies che permetterebbero a chi è entrato nel sito di restare loggato.
Facciamo anche un controllo tra gli utenti inseriti in WordPress con i relativi permessi per vedere se c’è l’intruso, nel qual caso vorrebbe dire che il database è stato compromesso.
7. reinstallare i plugin
Evitiamo di installare i vecchi plugin. È preferibile invece reinstallare tutti i plugin dal repository di WordPress o eseguire nuovi download delle versioni a pagamento.
Passaggio 8: reinstallare il tema da nuovo download
Durante la procedura di pulizia da malware WordPress è importante reinstallare il tema da un nuovo download. Nel vecchio tema, infatti, potrebbero nascondersi file compromessi che non siamo riusciti a identificare.
In caso di personalizzazioni, le modifiche si possono sempre replicare sulla nuova copia del tema.
Passaggio 9: ricaricare le immagini dal backup
In questo passaggio dobbiamo copiare i vecchi file di immagine nella nuova cartella wp-content > uploads sul server, stando accorti a non copiare eventuali file infetti.
A questo proposito, è necessario analizzare il contenuto di ogni cartella del backup per verificare che vi siano solo file di immagine, e non file PHP o JavaScript. Una volta fatta questa verifica, possiamo caricare le immagini sul server via FTP.
Sicurezza WordPress: poche regole ma buone
Come sempre, anche in questo caso la prevenzione è il fattore alpha che può salvarci la vita prima ancora di farcela incasinare dagli hacker irrequieti.
Ecco allora qualche piccolo accorgimento e precauzione che farà la differenza all’atto pratico per quanto riguarda la sicurezza informatica.
Sono pochi i passaggi che consigliamo in questa fase preventiva, ma molto importanti per evitare i possibili danni da malware WordPress:
– usare password affidabili
– installare un plugin per fare una scansione periodica del sito
– fare una costante opera di manutenzione e aggiornamento di tutti i plugin
– verificare con periodicità se il sito è affetto da malware
– affidarsi a una buona azienda di hosting WordPress (es: un host di tipo Managed WordPress Hosting)
– effettuare sempre un backup di WordPress con plugin come BackupBuddy
– configurare un firewall anti-malware per applicazioni Web
– monitoraggio del sito con gli avvisi di Google Search Console e dai registri degli errori sul server.
Sito Hackerato, quali sono le conseguenze?
Le conseguenze del sito hackerato sono diverse perché a seconda della violazione si possono verificare danni diversi e non solo tecnici e strutturali, ma anche relativi a questi aspetti:
– posizionamento nei motori di ricerca e, quindi, alla visibilità del sito
– sicurezza dei dati di chi interagisce con la piattaforma
– reputazione e autorevolezza della persona responsabile del sito.
In questo caso, le aziende sono quelle che hanno più da perderci perché le minacce informatiche con i diversi tipi di virus o malware compromettono l’immagine professionale, facendo percepire ai visitatori e ai clienti la precarietà della piattaforma dove si fanno anche acquisti e pagamenti.
In sintesi, considerate questi possibili rischi da malware WordPress
– furto/perdita di file, dati e credenziali
– redirect (reindirizzamenti) a siti dannosi, siti spam, siti porno, ecc., e conseguente crollo del posizionamento
– blocco totale dell’accesso al sito
– dirottamento del traffico organico causando
– installazione di virus sul PC del visitatore
– sito oscurato dal server o da Google che lo inserisce nella sua Blacklist, allertando in qualche caso i visitatori con un avviso apposito.
Concludendo, la sicurezza informatica è fondamentale soprattutto per le aziende che lavorano online e che hanno tutto da perdere a causa della poca cura e manutenzione del sito.
Inoltre, i crimini informatici stanno aumentando sempre più, complice il ruolo sempre più predominante della digitalizzazione e delle nuove opportunità di business online, una tendenza che andrà crescendo sempre più.
Ecco perché nel frattempo è nata l’informatica forense, il cui obiettivo è quello di recuperare i dati violati, di raccogliere e analizzare prove digitali per risolvere casi di criminalità di tipologia diversa.
Noi di OsaTech lavoriamo con esperti di informatica per redigere perizie in tutte le loro fasi, avvalendoci di un laboratorio attrezzato per risultati rapidi e di qualità.
Se il vostro sito è stato colpito da malware, e se non riuscite ad accedere al pannello di amministratore di WordPress, o se temete un furto di dati, contattateci pure senza esitare per richiedere subito un check up completo e gratuito.
