Indice
Si inizia con la sensazione che ci sia qualcosa che non va. Forse il tuo plugin di sicurezza ti ha avvisato della modifica di un file che tu sai di non aver toccato, oppure sono comparsi dei contenuti sconosciuti all’interno del tuo post.
Qualunque sia il segnale, vuol dire una sola cosa: il tuo sito è stato hackerato! Cosa fare a questo punto?
Anche se è del tutto normale sentirsi preoccupati o frustrati in questa situazione, non è il momento di andare in panico! Anzi, è il momento di agire. Un po’ come un supereroe, ma le tue armi preferite sono uno scanner di sicurezza e un client FTP.
Se arrivi troppo tarti e non hai letto questo articolo dove spiego come mettere in sicurezza WordPress per evitare il peggio, hai tuttavia la possibilità di salvare la situazione. Basta seguire questa guida per trattare con un sito web WordPress violato.
Usa i tuoi Backup
Gestire un sito web – sia che funzioni su WordPress o meno – significa essere pronti ad agire in un attimo quando qualcosa va storto. Come si fa? Mantenendo backup regolari di tutto il vostro sito, compresi il database e i file.
Ripristinare una versione pulita di tutto i tuoi file è un modo rapido per rimettere a posto un sito web. Se non hai un backup da ripristinare, allora ripristinare un sito che è stato hackerato sarà molto più difficile.
Senza un backup, beh, dovrete passare a tappeto tutti i file presenti nell’installazione WordPress. Dovrete cercare il codice potenzialmente dannoso, rimuoverlo e sperare di aver preso tutto.
Potrebbe esserci un’ultima spiaggia: il tuo web host potrebbe avere un backup pulito da poterti fornire per aiutarti. Tuttavia ti consiglio non fare affidamento sugli altri, e di cercare tu stesso la soluzione.
Cambiare le Password e le “Salt Keys”
A seconda della vulnerabilità che l’hacker ha utilizzato per violare il sito, potrebbe aver avuto accesso agli account degli amministratori. Per questo ti consiglio di cambiare tutte le password. Inoltre se hai account inutilizzati in giro, ti consiglio di chiuderli.
Inoltre devi cambiare anche la password del database del sito. Questo dovrebbe prevenire eventuali attacchi di tipo MySQL injection.
Infine, ti consiglio anche un veloce cambio delle tue “Salt Keys” di Wordpres. Questo butterà fuori ogni utente loggato che potrebbe ficcare il naso.
Cerca i suggerimenti per i file modificati
Se il vostro sito web è stato compromesso, non è sufficiente ripristinare semplicemente un backup. È anche importante cercare di capire esattamente cos’è successo. I file di backup possono essere puliti, ma potrebbero comunque contenere delle falle di sicurezza che porteranno ad un ennesimo hackeraggio.
Pertanto, è una buona idea scaricare una copia del sito hackerato prima di ripristinare il backup. Oppure, se il vostro sito viene sottoposto a backup quotidianamente, potreste dover prendere qualche copia più vecchia se sospettate che anche quelle recenti abbiano lo stesso problema.
Potreste dover passare a setaccio il sito attraverso uno scanner di sicurezza, come lo strumento gratuito SiteCheck di Sucuri. Questo potrebbe potenzialmente condurvi direttamente al problema di sicurezza specifico che ha causato l’hackeraggio.
Una volta che hai una copia del tuo sito infetto, è il momento di scavare e cercare indizi. Ecco alcuni elementi che vale la pena di controllare:
Controllare il Core, i Plugin e i Temi di WordPress
Una cosa da tenere ben presente è che i codici malevoli possono infettare qualsiasi area del tuo sito WordPress. Potrebbe essere quindi “infetto” il core, un plugin o il tema. Anche i plugin inattivi avrebbero potuto fornire una backdoor.
Vale anche la pena di controllare i permessi dei file del vostro server per assicurarsi che siano in linea con quanto raccomandato da WordPress.
Controlla le date di modifica
Un campanello di allarme per riconoscere un file sospetto può essere la data di modifica. Se, ad esempio, non si è cambiato il modello di un tema per mesi, e l’ultima modifica risale a pochi giorni prima, questo allora è un chiaro segnale che quel file è infetto.
Questa cosa potrebbe essere più complicata con i plugin, in quanto tendono ad essere aggiornati più di frequente. Ma se qualcosa ti risulta sospetto, prova a controllare il changelog del plugin. Questo può dirvi quando è stato effettuato l’ultimo aggiornamento. Anche se non avete aggiornato nel momento in cui la nuova versione è stata rilasciata, avrete almeno un intervallo di tempo in cui cercare.
Aprire i File Sospetti (con attenzione)
Se avete trovato un file che risulta sospetto, potreste volerlo aprire per verificarne il codice. Prima di farlo però, è una buona idea passarlo all’interno di un malware scanner, giusto per essere sicuri.
Il codice maligno solitamente spicca come un grattacielo nel deserto, eppure il solo test visivo potrebbe non essere sufficiente per identificarlo. In questo caso, potete prendere un’altra copia del file – una nota per essere pulita – e confrontarla. Se notate delle differenze, saprete che c’è qualcosa che non va.
Cerca nel Web
Il Forum WordPress.org può essere un ottimo posto dove raccogliere informazioni. Se sospetti che i core o uno specifico plugin sia stato infettato, probabilmente sarà successo anche ad altri utenti. Potresti quidni scoprire a non essere il solo a “soffire”.
Inoltre, il WPScan Vulnerability Database offre una lista di informazioni sulla sicurezza di core, plugin e temi di WordPress. È un ottimo posto per cercare i problemi noti.
Contatta il tuo Web Host
Non c’è nessuna garanzia del fatto che il tuo Web Host possa aver impedito un particolare hackeraggio. Ma, nonostante ciò, è comuque consigliato contattarli in situazioni simili, soprattutto se non si sa chi sia il colpevole. Inoltre è una buona pratica nel caso in cui tu abbia un account di hosting condiviso con altri utenti, in quanto se è successo a te potrebbe potrebbe coinvolgere tutti gli altri siti ospitati nella stessa macchina (oppure altri siti che stai ospitando).
Se non sei in grado di individuare una specifica vulnerabilità che ha portato all’hackeraggio del tuo sito, il vostro hosting provider può essere una grande risorsa. Potrebbero aver visto altri clienti con problemi simili, o potrebbe far scattare una bandiera rossa che porta a una falla di sicurezza da ricucire.
Inoltre, alcuni host offrono anche scansioni di sicurezza e pulizia del malware. Anche se probabilmente ti costerà un po’ di soldi, potrebbe aiutarvi a eliminare un problema ricorrente. Assicurati di chiedere informazioni su eventuali garanzie e scopri cos’è compreso prima di effettuare l’investimento.
Prendi nota della lezione imparata
In fin dei conti, ci sono buone probabilità che abbiate imparato un paio di cose utili sulla sicurezza di WordPress. Questa è senz’altro una buona cosa, perché è possibile applicare queste nuove conoscenze per mantenere il vostro sito web sicuro.
Ad esempio, il recupero da un sito web violato potrebbe portare all’utilizzo di password più forti o all’aggiornamento del software con maggiore frequenza. Si potrebbero anche implementare misure come l’autenticazione a due fattori. Potrebbe anche renderti consapevole delle impostazioni del server che possono rendere più difficile per un malintenzionato fare danni.
Il punto è di rafforzare la sicurezza al punto da poter almeno respingere i più comuni tipi di attacchi. Oltre a questo, si tratta di rimanere vigili e di non dare mai per scontata la sicurezza.
