I 3 step per pulire un sito WordPress compromesso dal malware
Identificare il malware, rimuovere il malware e rafforzare il tuo sito dopo un attacco hacker.
Hai un problema di sicurezza nel tuo sito?
chiama 339 848 3250
chiedimi maggiori informazioni sulla sicurezza online!
Sucuri ha dedicato anni ad aiutare gli amministratori di WordPress nell’identificare e risolvere i problemi di siti web colpiti da malware. Per continuare con questo processo, abbiamo messo insieme questa guida per aiutare i proprietari di siti web negli step da seguire durante il processo di identificazione e pulizia di un sito WordPress colpito da malware. Questa non vuole essere una guida generale, ma se seguita, dovrebbe aiutare ad affrontare il 70% delle infezioni che vediamo. Buona parte della guida si basa su l’uso del plugin di sicurezza sucuri gratuito per WordPress.
Indicatori comuni di un sito web WordPress colpito da malware:
- avvertimenti blacklist di Google, Bing, McAfee
- comportamenti del browser strani o anomali
- spam nei contenuti dei motori di ricerca
- notifica di sospensione servizio dal vostro hosting
- modifiche di file o problemi fondamentali di integrità
- avvertenze nei risultati di ricerca di Google (SEO poisoning)
1- IDENTIFICARE MALWARE
1.1 Installare il plugin Sucuri
Se il vostro sito WordPress è stato violato, il plugin di sicurezza Sucuri può essere d’aiuto a identificare quali aree devono essere pulite.
Sucuri mantiene attivamente un plugin di sicurezza gratuito per WordPress per migliorare la sicurezza e identificare le caratteristiche di un sito compromesso. Questo strumento vi aiuterà ad eseguire la maggior parte dei passaggi in questa guida.
Per installare il plug-in gratuito Sucuri:
- Fai il log in WordPress come amministratore e andate a Plugins> Aggiungi nuovo.
- Scrivi “Sucuri scanner” nel campo ricerca.
- Fai clic su Installa accanto al Sucuri Security – Revisione, Malware Scanner e alla protezione avanzata.
- Attiva il plugin.
1.2 Scansione del tuo tuo sito
È possibile utilizzare il plugin Sucuri eseguire la scansione del sito per trovare payload dannosi e capire dove risiede il malware.
Per eseguire la scansione WordPress utilizzando il plugin Sucuri:
Fai il log in WordPress come amministratore e vai a Sucuri Security> Malware Scan.Fai clic su Scansione sito.Se il sito è infetto, si vedrà un avviso come la schermata qui sotto.
Ora la funzionalità è cambiata. La scansione avviene in automatico ed eventualmente si può forzare una scansione con il link Refresh malware scan.
Nel caso il sito sia pulito, appare un avviso verde in cui si comunica che il sito è pulito (site is clean).
Se lo scanner remoto non è in grado di trovare un payload, continua con altri test di questa sezione. È inoltre possibile esaminare manualmente la scheda iFrames / Links / Script della scansione malware per cercare gli elementi non familiari o sospetti.
Se si dispone di più siti web sullo stesso server si consiglia di scansionarli tutti (è anche possibile utilizzare SiteCheck per fare questa operazione). La contaminazione incrociata in loco è una delle principali cause di reinfezione. Incoraggiamo tutti ad adottare strategie di isolamento degli hosting e degli account web.
Nota:
La funzione Malware Scan è uno scanner a distanza che esplora il sito per identificare potenziali problemi di sicurezza. Alcuni problemi non si presentano però nel browser, bensì si manifestano sul server (cioè, backdoor, script di phishing, e server-based). L’approccio più completo per la scansione comprende scanner remoti e server-side. Ulteriori informazioni su come funzionano gli scanner remoti.
1.3 Verifica integrità dei file di base
La maggior parte dei file di base di WordPress non devono mai essere modificati. Il plugin controlla i problemi di integrità nel wp-admin, wp-includes e cartelle principali.
Per controllare l’integrità del file di base utilizzando il plugin Sucuri:
- Fai log in su WordPress come amministratore e vai a Sucuri Security> Dashboard.
- Vedi la sezione Core Integrity.
- Tutti i file modificati, aggiunti o rimossi potrebbero essere parte di un attacco.
Se non è stato modificato nulla, i file di base sono puliti.
Nota:
Si potrebbe utilizzare un client FTP per controllare rapidamente la presenza di malware in directory come wp-content. Si consiglia di utilizzare i protocolli FTPS / SFTP / SSH FTP, piuttosto che FTP non criptati.
1.4 Controllare i file modificati di recente
È possibile identificare i file violati vedendo se sono stati recentemente modificati, utilizzando i registri di controllo dal plugin Sucuri.
Per controllare i file modificati di recente utilizzando il plugin Sucuri:
- Fai il log in WordPress come amministratore e andare a Sucuri Security> Dashboard.
- Esamina la sezione di verifica dei registri per i cambiamenti recenti.
- Modifiche sconosciute negli ultimi 7-30 giorni potrebbero essere sospette.
1.5 Conferma Login utente
È possibile rivedere l’elenco degli ultimi accessi utente per verificare se le password sono state rubate o sono stati creati nuovi utenti malintenzionati.
Per controllare gli accessi recenti che utilizzano il plugin Sucuri:
- Log in WordPress come amministratore e andare a Sucuri Security> Ultimi Accessi.
- Conferma l’elenco di utenti e il momento in cui si sono connessi.
- login imprevisti, date/orari potrebbero indicare che un account utente è stato violato.
2- RIMUOVERE MALWARE
Ora che si dispone di informazioni sugli utenti potenzialmente compromessi e le locazione del malware, è possibile rimuovere il malware da WordPress e ripristinare il sito web pulito.
Suggerimento:
Il modo migliore per identificare i file compromessi è confrontare lo stato corrente del sito con un backup vecchio e pulito. Se un backup è disponibile, è possibile utilizzarlo per confrontare le due versioni e identificare ciò che è stato modificato.
Nota:
Alcuni di questi passaggi richiedono l’accesso al server web e al database. Se non si ha familiarità con la manipolazione di tabelle di database o la modifica di PHP, si prega di richiedere l’assistenza di un professionista che può rimuovere completamente il malware.
2.1 Pulire file sito web hackerato
Se l’infezione è nel vostro core o plugin, si può facilmente risolvere con il nostro plugin. È inoltre possibile eseguire questa operazione manualmente, semplicemente non sovrascrivete il file wp-config.php o la cartella wp-content.
Per riparare i file core utilizzando il plugin Sucuri:
- Log in WordPress come amministratore e andare a Sucuri Security > Dashboard.
- Vedete gli avvertimenti nella sezione Core Integrity.
- Selezionate i file modificati e rimossi e scegliete l’azione di ripristino.
- Selezionate la casella per confermare “Mi rendo conto che questa operazione non può essere annullata“.
- Fare clic su Procedi.
- Selezionare i file aggiunti e scegliete l’azione Elimina file.
I file personalizzati possono essere sostituite con nuove copie, o un backup recente (se non è infetto). Ecco alcuni consigli e trucchi aggiuntivi che è possibile utilizzare con WordPress.
Per rimuovere manualmente una infezione da malware dai file del sito web:
- Accedi al tuo server via SFTP o SSH
- Crea un backup del sito prima di apportare modifiche
- Identificate i file recentemente cambiati
- Identificate la data di modifiche con l’utente che li ha cambiato.
- Ripristino dei file sospetti con copie dal repository ufficiale di WordPress.
- Aprire qualsiasi file personalizzato o premium (non nel repository ufficiale) con un editor di testo.
- Rimuovete qualsiasi codice sospetto dai file personalizzati.
- Test per verificare il sito è ancora in funzione dopo le modifiche.
Attenzione:
Rimuovere manualmente il codice “maligno” dai file del sito web può essere estremamente pericoloso per il corretto funzionamento del tuo sito web. Non eseguire qualsiasi azione senza un backup. Se non siete sicuri, chiedete l’assistenza di un professionista.
2.2 Le tabelle database
Per rimuovere una infezione malware dal database del sito, utilizzare il pannello di amministrazione del database. È inoltre possibile utilizzare strumenti come Search-Replace-DB o Adminer.
Per rimuovere manualmente una infezione malware dal tuo tabelle del database:
- Accedi al tuo pannello di amministrazione del database
- Esegui un backup del database prima di apportare modifiche
- Ricerca contenuti sospetti (vale a dire, le parole chiave di spam, e link strani)
- Aprite la tabella che contiene contenuto sospetto
- Rimuovete manualmente qualsiasi contenuto sospetto
- Test per verificare il sito è ancora in funzione dopo le modifiche
- Rimuovere eventuali strumenti di accesso al database che potrebbero essere stati caricati
I principianti possono utilizzare le informazioni fornite dallo scanner di malware. Utenti intermedi possono anche cercare manualmente per le comuni funzioni PHP malevole, come eval, base64_decode, gzinflate, preg_replace, str_replace, etc.
Si noti che queste funzioni sono utilizzate anche dai plugin per motivi legittimi, siate quindi sicuri di testare le modifiche o chiedete aiuto in modo da non rompere accidentalmente il vostro sito.
Attenzione:
Rimuovere manualmente il codice “maligno” dai file del sito web può essere estremamente pericoloso per la salute del tuo sito web. Non eseguire alcuna azione senza un backup. Se non siete sicuri, richiedete l’assistenza di un professionista.
2.3 Account utente Sicuro
Se avete notato utenti di WordPress non familiari, rimuoveteli in modo che gli hacker non abbiano più accesso. Si consiglia di avere un solo utente admin e impostare altri ruoli utente per la minor quantità di privilegi necessario (es. collaboratore, autore, editore).
Per rimuovere manualmente gli utenti sospetti da WordPress:
- Esegui il backup del sito e del database prima di procedere.
- Log in WordPress come amministratore e fare clic su utenti.
- Trova i nuovi sospetti account utente.
- Passa il mouse sopra l’utente sospettoso e fare clic su Elimina.
- Se si ritiene che gli account utente sono stati compromessi si possono reimpostare le password.
Per reimpostare le password degli utenti che utilizzano il plugin Sucuri:
- Log in WordPress come amministratore e andare a Sucuri Security> Post-Hack.
- Fai clic sulla scheda la password dell’utente Reset.
- Seleziona la casella accanto all’account utente che si ritiene è stata compromessa.
- Selezionare la casella per confermare Mi rendo conto che questa operazione non può essere annullata.
- Fai clic su Ripristina password utente.
- L’utente riceverà una e-mail con una password temporanea.
2.4 Rimuovere le Backdoor nascoste
Gli hacker lasciano sempre un modo per tornare nel vostro sito. Spesso, troviamo più backdoor di vario tipo in siti WordPress violati.
Spesso le backdoor sono incorporate nel file denominati in modo simile ai file di base di WordPress, ma situati nelle directory sbagliate. Gli aggressori possono anche iniettare backdoor in file come wp-config.php e directory come /temi, plugins / e /upload.
Backdoor comunemente comprendono le seguenti funzioni PHP:
- Base64
- str_rot13
- gzuncompress
- eval
- exec
- create_function
- system
- assert
- stripslashes
- preg_replace (con / e /)
- move_uploaded_file
Queste funzioni possono essere utilizzate anche in modo legittimo dai plugin, quindi siate sicuri di testare tutte le modifiche, perché si potrebbe rompere il vostro sito rimuovendo queste funzioni.
La maggior parte di codice maligno che vediamo utilizza una forma di codifica per evitare il rilevamento. In realtà a parte i cd plugin premium, che utilizzano la codifica per proteggere il loro meccanismo di autenticazione, è molto raro vedere questo tipo di codifica nel repository ufficiale di WordPress.
E ‘fondamentale che tutte le backdoor siano chiuse per pulire con successo un hack WordPress, altrimenti il vostro sito sarà rapidamente re-infettato.
2.5 Rimuovere Malware Avvertenze
Se si è stati inseriti nella blacklist di Google, McAfee, Yandex (o qualsiasi altra autorità web di spam), è possibile richiedere una revisione dopo che l’hack è stato risolto.
Per rimuovere le avvertenze di malware sul tuo sito:
- Chiamate la vostra società di hosting e chiedere loro di rimuovere la sospensione
- Potrebbe essere necessario fornire dettagli su come è stato rimosso il malware
- Compilatee un modulo di richiesta di revisione per ciascuna autorità relativa alla blacklist,vale a dire: Google Search Console, McAfee SiteAdvisor, Yandex Webmaster
- Il processo di revisione può richiedere diversi giorni
Nota:
Con i piani di Sucuri, sottoponiamo le richieste di revisione della blacklist a vostro nome. Questo aiuta a garantire il sito è assolutamente pronto per la revisione. Alcune recensioni tuttavia, come hack web di spam a causa di azioni manuali, possono richiedere fino a due settimane.
3- POST – HACK
In questa fase finale, imparerete come risolvere i problemi che hanno determinato il fatto che WordPress è stato violato. Si dovranno seguire alcuni passaggi essenziali per migliorare la sicurezza del vostro sito WordPress.
3.1 Aggiornamento e ripristino delle impostazioni di configurazione
Il software non aggiornato è una delle principali cause di infezioni. Questo include la versione CMS, plugin, temi, e qualsiasi altro tipo di estensione. Potenzialmente anche le credenziali compromesse dovrebbero essere ripristinate al fine di garantire che non sono infettate.
Aggiornamento del software WordPress
Per applicare manualmente gli aggiornamenti in WordPress:
- Accedi al tuo server via SFTP o SSH.
- Esegui il backup del sito web e database (in particolare contenuti personalizzati).
- Rimuovi manualmente il wp-admin e wp-includes directory.
- Sostituisci wp-admin e wp-include con la copia proveniente dal repository ufficiale di WordPress.
- Rimuovi manualmente e sostituisci plugin e temi con le copie da fonti ufficiali.
- Log in WordPress come amministratore e fai clic su Dashboard> Aggiornamenti.
- Applicare eventuali aggiornamenti mancanti.
- Apri il tuo sito web per verificare che sia operativo.
- Se il plugin Sucuri ha identificato altri software obsoleti sul server (vale a dire Apache, cPanel, PHP) è necessario aggiornare anche questi al fine di garantire che non ci siano patch di sicurezza mancanti.
Attenzione:
Si consiglia di rimuovere manualmente e sostituire i file del core invece di utilizzare la funzionalità di aggiornamento nel cruscotto wp-admin. In questo modo tutti i file maligni aggiunti agli indici principali sono presi in considerazione. È possibile rimuovere le directory di base esistenti (wp-admin, wp-include), quindi aggiungerle manualmente queste stesse directories pulite.
Fare attenzione a non toccare wp-config o wp-content o questa azione potrebbe rompere il tuo sito!
Resettare le passwords
E’ fondamentale che si modificano le password per tutti i punti di accesso. Questo include gli account WordPress, FTP / SFTP, SSH, cPanel, e il database.
Per reimpostare le password degli utenti che utilizzano il plugin Sucuri:
- Log in WordPress come amministratore e andare a Sucuri Security> Post-Hack.
- Vai alla scheda Reset user’s password.
- Seleziona la casella accanto all’account utente che si ritiene sia stata compromessa.
- Selezionare la casella per confermare “Mi rendo conto che questa operazione non può essere annullata”.
- Fai clic su Ripristina password utente.
- L’utente riceverà una e-mail con una password temporanea.
Si dovrebbe ridurre il numero di account di amministrazione per tutti i sistemi. Pratica il concetto di dare meno privilegi agli utenti. Dare alle persone l’accesso di cui hanno bisogno per fare il lavoro di cui hanno bisogno e niente più.
Nota
Tutti gli account devono utilizzare password complesse. Una buona password è costruita intorno a tre componenti – complessità, lunghezza e unicità. Alcuni dicono che è troppo difficile ricordare più password. Questo è vero. Ecco perché sono stati creati i gestori di password!
Genera nuova chiavi segrete
Una volta che le password vengono reimpostati, è possibile imporre a tutti gli utenti di disconnettersi utilizzando il nostro plugin. WordPress utilizza i cookie del browser per tenere le sessioni utente attive per due settimane.
Se un attaccante ha un cookie di sessione, manterrà l’accesso al sito anche dopo che una password viene resettata. Per risolvere questo problema, si consiglia di costringere gli utenti attivi al logout reimpostando le chiavi segrete di WordPress.
Per generare nuove chiavi segrete che utilizzano il plugin Sucuri:
- Log in WordPress come amministratore e andare a Sucuri Security > Post-Hack.
- Clicca su chiavi di protezione.
- Clicca su generare nuove chiavi di sicurezza.
Questo costringerà tutti gli utenti dalla dashboard di WordPress.
Si consiglia di reinstallare tutti i plugin dopo un hack per assicurare che siano funzionali e privi di residui di malware. Se qualche plugin è stato disattivato, si consiglia di rimuoverlo dal vostro web server.
- Log in WordPress come amministratore e andate a Sucuri Security > Post-Hack.
- Vai alla scheda Ripristino Plugin.
- Selezionare i plugin che si desidera ripristinare (si consiglia di selezionarli tutti).
- Clicca elementi processo selezionato.
Si noti che i plugin premium dovranno essere reinstallati manualmente come il loro codice non è disponibile sul repository ufficiale di WordPress.
3.2 Harden WordPress
Per rafforzare un server o un’applicazione significa prendere misure per ridurre la superficie di attacco, o punti di ingresso per gli aggressori. WordPress e suoi plugin possono essere più difficile da hackerare se si prendono questi iniziative.
Per rendere sicuro WordPress utilizzando il plugin Sucuri:
- Log in WordPress come amministratore e andare a Sucuri Security > Hardening
- Rivedi le opzioni per capire quello che fanno
- Fai clic sul pulsante Harden ad applica le raccomandazioni
Ci sono innumerevoli modi per rendere più sicuro WordPress a seconda delle esigenze. Si consiglia di rivedere il Codex di WordPress, se si desidera ricercare metodi di protezione aggiuntive.
3.3 Impostare i backup
I backup funzionano come una rete di sicurezza. Ora che il tuo sito è pulito e hai preso alcune importanti operazioni di post-hack, fai subito un backup! Avere una buona strategia di backup è al centro di una buona strategia di sicurezza.
Ecco alcuni consigli per aiutarvi con i backup di siti web:
Luogo
Archiviare i backup di WordPress in un luogo off-site. Non archiviare i backup (o versioni vecchie) sul server; essi possono essere manipolati e utilizzati per compromettere il sito vero e proprio.
Automatismi
Idealmente la soluzione di backup dovrebe essere eseguita automaticamente ad una frequenza che si adatta alle esigenze del tuo sito web.
Ridondanza
Conservare i backup in più posizioni (di cloud storage, computer, hard disk esterni).
Analisi
Prova il processo di ripristino per confermare che tutto funzioni correttamente.
Tipi di file
Alcune soluzioni di backup escludono alcuni tipi di file come video e archivi.
3.4 Scansione del computer
Tutti gli utenti di WordPress devono eseguire una scansione con un programma antivirus affidabile sui loro sistemi operativi.
WordPress può essere compromesso se un utente con un computer infetto ha accesso al sito. Alcune infezioni sono progettati per saltare dal computer ad un editor di testo o un client FTP.
Qui ci sono alcuni programmi antivirus, si consiglia:
A pagamento
BitDefender, Kaspersky, Sophos, F-Secure.
Gratuiti
Malwarebytes, Avast, Microsoft Security Essentials, Avira.
Nota
Si dovrebbe avere un solo antivirus per proteggere attivamente il sistema ed evitare conflitti.
Se il computer dell’utente WordPress non è pulito, il sito può essere reinfettato facilmente.
3.5 Sito web: Firewall
Il numero di vulnerabilità sfruttate da malintenzionati cresce ogni giorno. Cercare di tenere il passo è impegnativo per gli amministratori. I firewall per un sito web sono stati inventati per fornire un sistema di difesa perimetrale che circonda il vostro sito web.
I vantaggi di utilizzare un firewall sito web:
Impedire un futuro Hack
Con la rilevazione e il blocco di metodi e comportamenti di hacking noti, un firewall mantiene il vostro sito protetto contro le infezioni.
Aggiornamento virtuale della protezione
Gli hacker sfruttano le vulnerabilità a plugin e temi rapidamente, e quelli sconosciuti sono sempre più comuni (chiamati zero-day). Un buon firewall saprà rattoppare i buchi nel software del sito web, anche se non sono stati applicati gli aggiornamenti.
Blocco Attacco Brute Force
Un firewall dovrebbe impedire a chiunque di accedere alla vostra pagina wp-admin o wp-login, al fine di evitare di indovinare la password con tecniche brute force.
Mitigare Attacco DDoS
Gli attacchi Distributed Denial of Service tentano di sovraccaricare le risorse del server o di qualche applicazione. Rilevando e bloccando tutti i tipi di attacchi DDoS, un firewall fa in modo che il proprio sito sia disponibile anche se si è attaccati.
Traduzione autorizzata da Sucuri che detiene il copyright dell’articolo. Leggi l’articolo originale (in Inglese)
Contattaci
chiama 339 848 3250
chiedimi maggiori informazioni sulla sicurezza online o commenta con le tue osservazioni!
Lascia un commento