Come pulire un sito WordPress hackerato

Pubblicato: 2022-06-15

Un sito WordPress violato non è un argomento a cui la maggior parte dei proprietari di siti WordPress vuole pensare. Ma sono un vero problema, che interessano oltre 30.000 siti web ogni singolo giorno.

Se il tuo sito Web WordPress è vittima di un hack, quali sono i passaggi esatti che dovresti intraprendere per pulirlo a fondo e farlo tornare a funzionare normalmente? Il tuo sito hackerato ora è completamente inutile o può essere recuperato? Immergiamoci.

Presentazione di Kathy Zant, esperta di sicurezza di WordPress

Di recente, l'esperta di sicurezza di WordPress Kathy Zant ha ospitato un webinar dal vivo per iThemes, mostrando esattamente come pulire un sito WordPress violato.

Kathy Zant lavora nel mondo di WordPress da oltre un decennio. E la sua esperienza nella sicurezza di WordPress, soprattutto per quanto riguarda la pulizia dei siti infetti, non è seconda a nessuno.

Oltre alla sua esperienza nella sicurezza di WordPress, Kathy ha anche lavorato in qualità di marketing per diversi marchi nello spazio WordPress. Inoltre, è stata un'organizzatrice di WordCamp Phoenix e WordCamp US.

Attualmente risiede in Texas, dove può essere trovata abitualmente in giro con i suoi cavalli e porta a spasso i suoi Golden Retriever.

"Quello di cui parleremo prima di tutto", dice Kathy, "è come fai a sapere che il tuo sito web è stato violato? Quali sono alcuni dei segni? Quali sono i primi passi che dovresti fare non appena hai il sospetto di essere stato hackerato?"

Continua dicendo: "Come si escogita una strategia, un modo semplice e veloce per ripulire il tuo sito? E dopo averlo pulito, ti mostrerò come proteggere il tuo sito. E fornisci anche alcuni suggerimenti chiave su come recuperare la reputazione del tuo sito, che è anche estremamente importante".

clean-up-hackerato-sito-wordpress

In questa guida completa, sbloccheremo i punti chiave del webinar live di Kathy Zant sulla pulizia dei siti Web WordPress compromessi. Alla fine, saprai esattamente cosa devi fare se dovessi mai trovarti vittima di un sito WordPress violato.

Come fai a sapere quando il tuo sito WordPress è stato violato?

Prima di tutto, è importante capire che solo perché il tuo sito è danneggiato non significa necessariamente che si sia verificato un attacco o un'intrusione da parte di un attore malintenzionato. Ma è necessario identificare se si è verificato un hack.

Qual è esattamente il problema con il tuo sito? Cosa sta succedendo nello specifico? Quali sono le indicazioni che hai un problema alle mani?

Ecco alcune cose da cercare se sospetti che il tuo sito WordPress sia stato violato:

  • File sul tuo server o nella tua installazione di WordPress che non dovrebbero esistere (questo richiede una discreta conoscenza per saperlo con certezza).
  • File con date di modifica recenti. Se tutti i file nella directory wp-includes hanno una data di modifica del 12-01-2022 e uno di essi ha una data di modifica del 02-06-2022, allora dovresti essere altamente sospettoso di quel file modificato di recente.
  • Richieste strane nei registri di accesso. Questo potrebbe indirizzarti verso il file utilizzato per modificare i file del tuo sito.

Le specifiche del problema che stai vedendo inizieranno automaticamente a informarti di cosa devi fare per risolverlo.

Ora, se hai un backup corrente del tuo sito, vorrai sicuramente ripristinare immediatamente il tuo sito dal backup. Il plug-in BackupBuddy è la soluzione perfetta per avere sempre backup aggiornati.

In tal caso, la correzione sarà abbastanza semplice.

Ma se non ci sono backup correnti, ti stai fondamentalmente dirigendo verso la modalità di ripristino senza essere visto e sarà compito tuo pulire il sito.

Kathy spiega: “Immagina che qualcuno venga da te. Hanno un sito violato e il loro sviluppatore web è scomparso in azione. La prima cosa che vuoi fare è eseguire il backup del sito compromesso".

"Il motivo è che vogliamo preservare le prove dell'hacking esattamente come le abbiamo trovate. Fondamentalmente, vogliamo creare un backup se riesci ad accedere a WP Admin. Carica semplicemente il plug-in BackupBuddy e assicurati di eseguire il backup di tutto, incluso il database.

E vorrai salvare il backup in una posizione che è al di fuori del server corrente del sito Web perché vorrai allontanare l'intero sito dal server compromesso.

Una volta completato, è il momento di escogitare una strategia. Cosa sta facendo esattamente il sito?

È:

  • Reindirizzare il traffico del sito verso un brutto quartiere?
  • Infettare i dispositivi dei visitatori del sito quando fanno clic su collegamenti incorporati nel sito?
  • Rubare i numeri di carta di credito dei clienti con uno skimmer per carte nell'installazione di WooCommerce?
  • Causare danni generali su Internet?

Se lo è, ti consigliamo di porre fine immediatamente a ciò eliminando completamente il sito. Quindi, crea una pagina "prossimamente".

Successivamente, fai sospendere il sito dall'account di hosting. Alcuni account di hosting sospenderanno automaticamente i siti se notano che c'è un'indicazione di compromissione e che un sito potrebbe essere violato.

Iniziare con la pulizia di un sito WordPress violato

Dopo questo, ti consigliamo di andare al cPanel del sito e prendere tutto nella cartella public_html, comprimerlo e scaricarlo sul disco rigido della tua workstation locale. Il motivo per cui vuoi pulire ogni file in public_html è che devi presumere che tutto sia completamente infetto.

Quindi, vai nel file della versione in wp-includes e vedrai la versione di WordPress utilizzata dal sito. L'attuale versione di WordPress è la 6.0. Ma c'è la possibilità che il sito non venga aggiornato da un po'.

Vogliamo creare una versione pulita del sito basata sulla versione attualmente in uso. Quindi, se utilizza una versione precedente, scarica il file zip per quella particolare versione, quindi inizia a creare una versione pulita del sito con quel nuovo download.

Successivamente, dovrai determinare quali temi vengono utilizzati sul sito compromesso. Diciamo che il sito esegue Kadence 2020, 2021 e 2022. Se il sito è ancora attivo e funzionante, accedi semplicemente a wp-admin e controlla per vedere quale tema è in esecuzione.

Ti consigliamo anche di vedere quale versione del tema viene utilizzata. Per farlo, vai al "readme" e ti indicherà la versione in uso.

Nei file del tema, trova il tag stabile che vuoi abbinare al tuo tema particolare. Quindi, vai al repository della versione del tema, dove troverai tutte le diverse versioni del tema disponibili.

Se il sito non utilizza la versione più recente del tema, scarica la versione esatta che sta utilizzando.

La stessa regola vale per i plugin. Quando accedi a qualsiasi plug-in nell'elenco dei plug-in del tuo sito e vai a Visualizzazione avanzata, scorri semplicemente verso il basso per trovare la versione del plug-in.

Naturalmente, c'è la possibilità che il tuo sito sia compromesso a causa di un plug-in vulnerabile. Ma anche se è così, vorrai comunque costruire il sito esattamente com'è, incluso il plug-in vulnerabile.

Questo ci aiuterà a mostrarci esattamente dove si trova il malware sul sito compromesso.

La cosa più importante è che tu voglia iniziare il tuo sito pulito esattamente dove si trova attualmente. Quindi, usa uno strumento come UltraCompare che ti mostrerà rapidamente cosa è andato storto con il sito. Questo è un ottimo strumento e ha una versione gratuita che puoi utilizzare per 30 giorni.

Da qui, costruirai un sito pulito che corrisponda al tuo sito compromesso. Lo strumento UltraCompare ti mostrerà esattamente cosa non corrisponde, in modo che il sito hackerato possa essere pulito correttamente.

Elabora il tuo piano di attacco

Successivamente, dovrai indovinare il vettore di intrusione. Potrebbe informarti su dove cercare esattamente l'esistenza di malware:

  • È in corso una campagna di attacco in corso?
  • Da quanto tempo il sito Web è stato infettato?
  • Quali temi e plugin necessitano di un aggiornamento?

Ora puoi escogitare il tuo piano di attacco. Assicurati di rimuovere prima i pezzi più pericolosi, nel seguente ordine:

  1. Modifica tutte le password
  2. Rimuovi tutti i link spam
  3. Rimuovi le backdoor
  4. Patch tutte le vulnerabilità
  5. Rimuovere i reindirizzamenti dannosi

Una volta che sei sicuro che tutti i pericoli sono stati rimossi dal sito, puoi tornare al cPanel del tuo sito e caricare i file del sito puliti per ripristinare il tuo sito web.

Ora è il momento di proteggere completamente il sito in modo che qualsiasi potenziale hack in futuro venga rapidamente sventato.

Per proteggere il tuo sito:

  • Rimuovi tutti gli utenti amministratori irriconoscibili (o impostali su solo abbonati)
  • Modifica tutte le password di amministratore/editore
  • Modifica password FTP
  • Modifica la password dell'account di hosting
  • Modifica la password del database di WordPress e aggiorna il tuo file wp-config.php
  • Modifica i sali di wp-config.php
  • Controlla le impostazioni per assicurarti che "chiunque può registrarsi" sia impostato solo su abbonato
  • Installa il plug-in iThemes Security e attiva le seguenti impostazioni:
    • Abilita l'autenticazione a due fattori per tutti gli utenti amministratori.
    • Abilita Scansione sito iThemes per cercare plugin, temi e versioni principali di WordPress vulnerabili.
    • Attiva la gestione della versione con l'applicazione di patch di vulnerabilità automatica.
    • Attiva Rilevamento modifiche file
  • Assicurati che i backup vengano eseguiti in base a una pianificazione
  • Testare i backup

Come spiega Kathy, "Desideri sicuramente installare iThemes Security e attivare le impostazioni che ti informeranno se il sito dovesse mai verificarsi qualsiasi tipo di intrusione, mai più. E assicurati di attivare l'autorizzazione a due fattori per tutti i tuoi utenti amministrativi".

Continua dicendo: “Desideri proteggere il sito in ogni modo possibile. Esegui una scansione del sito su iThemes Security per cercare temi, plug-in e versioni principali di WordPress vulnerabili. Assicurati solo che sia tutto a posto”.

“E attiva Gestione versione. Questa sarà la tua prima linea di difesa se un'altra intrusione dovesse ripetersi. Quindi assicurati di aver installato il plug-in BackupBuddy e testa i tuoi backup. Assicurati che i tuoi backup vengano inviati fuori dal server e testali per assicurarti di poterli ripristinare".

"Assicurati che siano presenti anche tutti i file SQL per il database e assicurati che i backup avvengano tutti in base a una pianificazione".

Recupero della reputazione del tuo sito dopo un hack

La semplice pulizia e ripristino del tuo sito WordPress compromesso non ripristinerà automaticamente la reputazione del sito. In effetti, ci sono diverse cose che devi fare per assicurarti che Google e gli altri motori di ricerca non continuino a penalizzare il tuo sito dopo che è stato violato e pulito.

Spesso, il primo segno che avrai che il tuo sito è stato violato è che Google ti informa della situazione. Per vedere come Google sta attualmente visualizzando il tuo sito, vai su Google Search Console.

Innanzitutto, se trovi delle Sitemap estranee in Search Console che non dovrebbero essere presenti o che sembrano pubblicare link di spam, ti consigliamo di eliminarli immediatamente.

Potresti anche trovare un file Google nella radice della directory di WordPress che ha consentito all'hacker di accedere alla Search Console del tuo sito. Quando accedi a Search Console e vai su Impostazioni, osserva attentamente le mappe dei siti per vedere se sono state impostate mappe dei siti illegittime in quest'area.

Successivamente, ti consigliamo di dare un'occhiata a eventuali problemi di sicurezza esistenti in Search Console. Se è attualmente visualizzato il grande schermo rosso di sventura e oscurità di Google, vedrai alcune grandi bandiere nella Search Console sotto Problemi di sicurezza.

Ed è qui che chiederai a Google di rivedere il tuo sito web ora che è stato pulito.

"Ora, quando si tratta di Google AdWords", spiega Kathy, "potresti avere il sito più pulito del mondo, ma Google AdWords potrebbe ancora dirti che c'è un problema. La chiave qui è solo continuare a provare con loro. A volte, guardano cose diverse da te, ma sai che Search Console ti aiuterà solo con gli avvisi del sito a volte ingannevoli di AdWords".

Molti utenti del tuo sito potrebbero anche eseguire il software antivirus Norton o McAfee sui propri dispositivi. Per questo motivo, è anche importante collaborare con quelle aziende per cancellare eventuali blacklist in cui il tuo sito potrebbe essere finito dopo che è stato violato.

Inoltre, se il tuo sito ha inviato spam, dovrai ripulire la tua reputazione con Spamhaus. Per fare ciò, avrai bisogno dell'indirizzo IP del tuo sito per cancellare la reputazione di quell'indirizzo con Spamhaus.

Ognuno di questi passaggi è importante per ripristinare la reputazione del tuo sito dopo un hack.

Lista di controllo per la pulizia del sito Web WordPress hackerata

Immergiamoci nella lista di controllo completa di Kathy su come pulire un sito WordPress violato. Puoi anche scaricarlo qui.

Ottieni il contenuto bonus: Lista di controllo per la pulizia dei siti Web compromessi
Clicca qui

Passaggio 1: pianificazione della pulizia

  • Il sito è effettivamente infetto? Sì no forse
  • Crea un backup del sito compromesso. (Sì, anche il malware.)
  • Scarica il backup dei file del sito, del database e dei file di registro sul tuo computer.
  • Determina se il sito deve essere reso non disponibile.
    1. Reindirizza i visitatori del sito o utilizza le risorse del server? È sotto attacco attivo? Mettilo giù per iscritto.
    2. Solo link di spam e non sotto attacco attivo? Probabilmente puoi lasciar perdere
  • Prova a indovinare il vettore di intrusione; potrebbe informarti su dove cercare malware.
    1. C'è una campagna di attacco in corso?
    2. Da quanto tempo il sito è stato infettato?
    3. Quali plugin/temi necessitano di un aggiornamento?
  • Elabora il tuo piano di attacco, in questo ordine. Rimuovere prima i pezzi più pericolosi.
    1. Rimuovere i reindirizzamenti dannosi
    2. Rimuovi le backdoor
    3. Vulnerabilità delle patch
    4. Cambia password
    5. Rimuovere i link di spam
  • Nota:
    • Numero di versione principale di WordPress:
    • Tema attivo:
    • Temi inattivi:
    • Plugin attivi:
    • Plugin inattivi:

Passaggio 2: elenco di controllo del processo di pulizia del sito Web violato

  • Scarica la versione core di WP che corrisponde al sito infetto
  • Confronta i file del sito pulito scaricati con i file del sito compromessi
    1. Confronta le directory
      • wp-admin
      • Wp-include
      • File di root (tranne wp-config.php e .htaccess)
    2. Crea una copia pulita di wp-content
      • Tutti i plugin attivi
      • Tema attivo (e tema figlio)
    3. Cerca eventuali file php in wp-content/uploads/ (diversi dai file index.php vuoti)
    4. Esamina completamente il tuo file .htaccess manualmente
    5. Esamina completamente il tuo file wp-config.php
  • Esamina il tuo database WordPress. Puliamo questo dopo aver pulito i file usando PHPMyAdmin.
    1. tabella wp_posts
    2. tabella wp_options
    3. Verifica la presenza di utenti dannosi (wp_users)
    4. Se hai malware nei tuoi wp_posts:
      • Usa il plug-in WP Optimize per ottimizzare il tuo database e rimuovere eventuali bozze di post, post eliminati. (Rende solo la quantità di dati da pulire molto più semplice)

Riposizionare i file del sito puliti sul server e scambiarli.

  1. Usando il plug-in BackupBuddy, carica la ricostruzione public_html_clean allo stesso livello della tua directory public_html
  2. Rinomina public_html in public_html_hacked
  3. Rinomina public_html_clean in public_html

Passaggio 3: elenco di controllo del processo di pulizia del sito Web violato

Immediatamente dopo aver sostituito il sito hackerato, è il momento di proteggere il sito.

  1. Rimuovi tutti gli utenti amministratori irriconoscibili (o impostali solo su abbonati)
  2. Modifica tutte le password di amministratore/editore
  3. Modifica password FTP
  4. Modifica la password dell'account di hosting
  5. Modifica la password del database di WordPress e aggiorna il tuo file wp-config.php
  6. Modifica i sali di wp-config.php
  7. Controlla le impostazioni per assicurarti che "chiunque può registrarsi" sia impostato solo su abbonato
  8. Abilita l'autenticazione a due fattori per tutti gli utenti amministratori
  9. Abilita Scansione sito iThemes per cercare plugin, temi e versioni principali di WordPress vulnerabili
  10. Attiva la gestione della versione con l'applicazione di patch di vulnerabilità automatica
  11. Attiva Rilevamento modifiche file
  12. Assicurati che i backup vengano eseguiti in base a una pianificazione
  13. Testare i backup

Passaggio 4: ripristino della reputazione di un sito Web compromesso

Una volta che il sito è stato pulito e protetto, ripristina la reputazione del sito.

  1. Navigazione sicura di Google
  2. Da Google Search Console, richiedi la revisione. Aspettatevi un turnaround di 24 ore. Visitare:
    1. https://support.google.com/webmasters/answer/168328?hl=it
    2. https://www.google.com/webmasters/tools/security-issues
  3. Vai su Google e cerca "site:example.com" per vedere cosa vede Google.
  4. McAfee
  5. Norton
  6. Spamhaus se il tuo sito ha inviato spam

Ulteriori passaggi per la pulizia del sito web

  • Esamina i file di registro per scoprire come sono entrati.
  • Assicurati che il tuo sito sia l'unica installazione di WordPress nell'account di hosting. Se hai altri siti, potrebbero essere un vettore di intrusione se non li stai proteggendo anche tu.
  • Per chiunque abbia accesso come amministratore, assicurati che il software sia aggiornato e che le password siano protette
    • Proteggi i computer
    • Account di posta elettronica protetti
    • Proteggi gli account sui social media
    • Proteggi i cellulari

Come impedire che il tuo sito WordPress venga hackerato

Sebbene non esista un sito sicuro garantito al 100%, ci sono alcune misure che puoi adottare per rafforzare il più possibile un sito.

1. Fai molta attenzione a dove scarichi plugin e temi.

Plugin e temi possono provenire da siti loschi che contengono codice che ha dato il via agli hack. Esistono persino virus di plugin e temi che infetterebbero automaticamente tutti gli altri plugin e temi sul sito, quindi anche se ne pulissi uno, verrebbe automaticamente reinfettato.

2. Non eseguire versioni obsolete di WordPress, temi o plug-in.

Assicurati che WordPress e tutti i temi e i plug-in sul tuo sito siano aggiornati. Elimina i plugin disattivati. Non lasciarli nella cartella wp-content/plugins. I plug-in disattivati ​​rappresentano un potenziale rischio per la sicurezza in quanto non vengono aggiornati spesso. iThemes Sync Pro è uno strumento che ti consente di gestire più siti WordPress per aggiornare WordPress, temi e plugin con un clic.

3. Non rimanere senza una strategia di backup WordPress affidabile.

Esegui spesso il backup del tuo sito WordPress. Avere un backup completo sano del tuo sito è fondamentale. Conserva un archivio di diversi file di backup. Se si verifica un'emergenza, avrai bisogno di un backup per ripristinare il tuo sito (dopo che il server è stato pulito). Suggerimento rapido sui file di backup: esegui alcuni ripristini di prova dei file di backup di tanto in tanto.

Avere un backup che non puoi ripristinare è probabilmente la cosa peggiore che può succedere (dopo essere stato hackerato). BackupBuddy ti consente di impostare backup pianificati che verranno eseguiti senza sorveglianza e in cui i file di backup possono essere salvati in una posizione remota. Questo dovrebbe offrirti la tranquillità di avere sempre un file di backup integro.

4. Usa un affidabile plugin di sicurezza per WordPress.

Puoi agire per rendere più sicuro il tuo sito WordPress. iThemes Security, un plug-in di sicurezza di WordPress ti consente di proteggere il tuo sito WordPress. Esistono diversi modi per impedire l'accesso alla dashboard di WordPress, monitorare le modifiche ai file, cercare malware e così via.

5. Non utilizzare password deboli.

Assicurati di esercitarti sulla sicurezza delle password di WordPress utilizzando password lunghe e complicate. Attiva l'autenticazione a due fattori di WordPress per un ulteriore livello di sicurezza.

6. Non dimenticare di controllare di tanto in tanto la sicurezza di WordPress.

Prendi l'abitudine di valutare regolarmente la situazione di sicurezza del tuo sito. Proprio come controlli periodicamente il livello dell'olio del tuo veicolo. Il plug-in iThemes Security ti consente di eseguire una scansione del sito per assicurarti di eseguire le impostazioni di sicurezza consigliate. Assicurati di rafforzare WordPress con questi 10 suggerimenti per la sicurezza di WordPress.

7. Utilizza una società di hosting specializzata in WordPress.

Infine, assicurati di ospitare il tuo sito con un provider che comprenda i problemi e i rischi dell'hosting di siti WordPress come l'hosting WordPress gestito di Liquid Web. Hai bisogno di un provider di hosting che farà del suo meglio, dal lato (server), per fornire un ambiente di hosting sicuro e ben protetto.

Pulire un sito Web WordPress hackerato come un esperto

Ora che hai capito come riconoscere, pulire e ripristinare la reputazione di un sito WordPress violato, il tuo prossimo obiettivo dovrebbe essere quello di assicurarti che questo incubo non si ripeta mai più.

Dopotutto, anche se il tuo sito è di nuovo attivo e funzionante, considera le entrate perse durante i tempi di inattività non programmati.

Non c'è passaggio migliore che puoi fare per proteggere completamente il tuo sito WordPress che scaricare, installare e attivare tutte le funzionalità chiave del plug-in iThemes Security Pro. E per qualsiasi attacco imprevisto, assicurati di eseguire i backup in base a una pianificazione con BackupBuddy.

Quando questi due plug-in vengono utilizzati insieme, non dovrai mai più preoccuparti di un hack che rimuove il tuo sito Web, mai più.

Guarda la replica del webinar: come ripulire un sito WordPress violato

Scarica la lista di controllo
Trascrizione webinar
Trascrizione della chat

Il miglior plugin di sicurezza per WordPress per proteggere e proteggere WordPress

WordPress attualmente alimenta oltre il 40% di tutti i siti Web, quindi è diventato un facile bersaglio per gli hacker con intenzioni dannose. Il plug-in iThemes Security Pro elimina le congetture dalla sicurezza di WordPress per rendere facile proteggere e proteggere il tuo sito Web WordPress. È come avere un esperto di sicurezza a tempo pieno nel personale che monitora e protegge costantemente il tuo sito WordPress per te.

Ottieni iThemes Security Pro