Marketing ContentStrumenti di marketing

Come controllare, rimuovere e prevenire il malware dal tuo sito WordPress

Questa settimana è stata piuttosto impegnativa. Una delle organizzazioni no-profit che conosco si è trovata in una situazione piuttosto difficile: il suo sito WordPress è stato infettato da malware. Il sito è stato violato e sui visitatori sono stati eseguiti script che facevano due cose diverse:

  1. Il sito ha tentato di infettare gli utenti di Microsoft Windows con il malware.
  2. Il sito reindirizzava tutti gli utenti a un sito che utilizzava JavaScript per sfruttare il PC del visitatore la mia criptovaluta.

Ho scoperto il WordPress site è stato violato quando l'ho visitato dopo aver cliccato sulla loro ultima newsletter e li ho immediatamente informati di cosa stava succedendo. Sfortunatamente, si è trattato di un attacco piuttosto aggressivo che sono riuscito a rimuovere, ma che ho immediatamente reinfettato il sito non appena è stato pubblicato. Questa è una pratica piuttosto comune da parte degli hacker di malware: non solo hackerano il sito, ma aggiungono anche un utente amministrativo al sito o alterano un file core di WordPress che re-inietta l'hacking se rimosso.

Che cos'è il malware?

Il malware è un problema in corso sul Web. Il malware viene utilizzato per aumentare le percentuali di clic sugli annunci (frode pubblicitaria), gonfiare le statistiche del sito per sovraccaricare gli inserzionisti, cercare di ottenere l'accesso ai dati finanziari e personali dei visitatori e, più recentemente, per estrarre criptovaluta. I minatori vengono pagati bene per i dati minerari, ma il costo per costruire macchine minerarie e pagarne le bollette elettriche è significativo. Sfruttando segretamente i computer, i minatori possono fare soldi senza spese.

WordPress e altre piattaforme popolari sono enormi bersagli per gli hacker poiché costituiscono il fondamento di molti siti Web. WordPress ha un'architettura di temi e plug-in che non protegge automaticamente i file principali dalle falle di sicurezza. Inoltre, la community di WordPress è eccezionale nell’identificare e correggere le falle di sicurezza, ma i proprietari dei siti non sono così vigili nel mantenere il proprio sito aggiornato con le ultime versioni.

Questo sito è stato ospitato sul tradizionale web hosting di GoDaddy (non su GoDaddy Managed WordPress hosting), che offre una protezione zero. Ovviamente offrono a Malware Scanner e rimozione servizio, però. Società di hosting WordPress gestite come Volano, WP motore, Liquidweb, GoDaddy e Pantheon tutti forniscono aggiornamenti automatici per mantenere aggiornati i tuoi siti quando i problemi vengono identificati e risolti. La maggior parte dispone di scansione malware e temi e plug-in inseriti nella lista nera per aiutare i proprietari dei siti a prevenire un attacco informatico. Alcune aziende fanno un ulteriore passo avanti: Kinsta – un host WordPress gestito ad alte prestazioni – offre anche una garanzia di sicurezza.

Inoltre, la squadra di jetpack offre un ottimo servizio per controllare automaticamente e quotidianamente il tuo sito alla ricerca di malware e altre vulnerabilità. Questa è la soluzione ideale se ospiti WordPress autonomamente sulla tua infrastruttura.

Jetpack Scansione WordPress per malware

Puoi anche utilizzare la scansione malware di terze parti incorporata in plugin come Sicurezza e firewall WP all-in-one, che segnalerà se il tuo sito è inserito nella lista nera dei servizi di monitoraggio del malware attivi.

Il tuo sito è nella lista nera per malware:

Molti siti online promuovono il controllo della presenza di malware nel tuo sito, ma tieni presente che la maggior parte di essi non controlla affatto il tuo sito in tempo reale. La scansione del malware in tempo reale richiede uno strumento di scansione di terze parti che non può fornire risultati istantaneamente. I siti che forniscono un controllo istantaneo sono siti che in precedenza hanno rilevato la presenza di malware nel tuo sito. Alcuni dei siti di controllo malware sul Web sono:

  • Rapporto sulla trasparenza di Google - se il tuo sito è registrato con i webmaster, ti avviseranno immediatamente quando eseguono la scansione del tuo sito e trovano malware su di esso.
  • Norton Safe Web - Norton gestisce anche plug-in del browser Web e software del sistema operativo che impediranno agli utenti di aprire la pagina la sera se l'hanno inserita nella lista nera. I proprietari di siti web possono registrarsi sul sito e richiedere che il loro sito venga rivalutato una volta pulito.
  • Sucuri - Sucuri mantiene un elenco di siti di malware insieme a un rapporto su dove sono stati inseriti nella lista nera. Se il tuo sito è stato ripulito, vedrai un file Forza una nuova scansione link sotto l'elenco (in caratteri molto piccoli). Sucuri ha un plugin eccezionale che rileva i problemi ... e poi ti spinge a un contratto annuale per rimuoverli.
  • Yandex - se cerchi in Yandex il tuo dominio e vedi "Secondo Yandex, questo sito potrebbe essere pericoloso ", puoi registrarti per i webmaster Yandex, aggiungere il tuo sito, navigare a Sicurezza e violazionie richiedi che il tuo sito venga cancellato.
  • Phish Tank – Alcuni hacker inseriranno script di phishing sul tuo sito per far sì che il tuo dominio venga elencato come dominio di phishing. Se inserisci l'URL esatto e completo della pagina del malware segnalata in Phishtank, puoi registrarti su Phishtank e votare se si tratta o meno di un vero sito di phishing.

A meno che il tuo sito non sia registrato e tu non abbia un account di monitoraggio da qualche parte, probabilmente riceverai un rapporto da un utente di questi servizi. Non ignorare l'avviso... anche se potresti non vedere un problema, raramente si verificano falsi positivi. Questi problemi possono far sì che il tuo sito venga deindicizzato dai motori di ricerca e bloccato dai browser. Peggio ancora, i tuoi potenziali clienti e quelli esistenti potrebbero chiedersi con che tipo di organizzazione stanno lavorando.

Come verifichi la presenza di malware?

Diverse aziende sopra menzionate parlano di quanto sia difficile trovare malware, ma non è così difficile. La difficoltà è capire come è arrivato nel tuo sito! Il codice dannoso si trova più spesso in:

  • Assistenza - Prima di tutto, indicalo a pagina di manutenzione ed esegui il backup del tuo sito. Non utilizzare la manutenzione predefinita di WordPress o un plug-in di manutenzione poiché questi eseguiranno comunque WordPress sul server. Vuoi assicurarti che nessuno esegua alcun file PHP sul sito. Già che ci sei, controlla il tuo .htaccess file sul server web per assicurarsi che non contenga codice canaglia che potrebbe reindirizzare il traffico.
  • Cerca i file del tuo sito tramite SFTP o FTP e identifica le ultime modifiche ai file in plugin, temi o file principali di WordPress. Apri quei file e cerca le modifiche che aggiungono script o comandi Base64 (usati per nascondere l'esecuzione dello script del server).
  • Confronta i file principali di WordPress nella directory principale, nella directory wp-admin e nelle directory wp-include per vedere se esistono nuovi file o file di dimensioni diverse. Risolvi i problemi di ogni singolo file. Anche se trovi e rimuovi un hack, continua a cercare poiché molti hacker lasciano backdoor per reinfettare il sito. Non sovrascrivere o reinstallare semplicemente WordPress ... gli hacker spesso aggiungono script dannosi nella directory principale e chiamano lo script in un altro modo per iniettare l'hack. Gli script malware meno complessi in genere inseriscono semplicemente file di script in header.php or footer.php. Script più complessi modificheranno effettivamente ogni file PHP sul server con il codice di reinserimento in modo che tu abbia difficoltà a rimuoverlo.
  • Rimuovere script pubblicitari di terze parti che potrebbero essere la fonte. Mi sono rifiutato di applicare nuove reti pubblicitarie quando ho letto che erano state violate online.
  • Vedi la tabella del database dei tuoi post per gli script incorporati nel contenuto della pagina. Puoi farlo eseguendo ricerche semplici utilizzando PHPMyAdmin e cercando gli URL della richiesta o i tag di script.

Come rimuovere il malware

Un mio buon amico ha recentemente subito un attacco hacker al suo blog WordPress. Si è trattato di un attacco piuttosto dannoso che potrebbe avere un impatto sul suo posizionamento nelle ricerche e, ovviamente, sul suo slancio nel traffico. Ecco i miei consigli su cosa fare se WordPress viene violato:

  1. Stai calmo! Non iniziare a eliminare cose e installare tutti i tipi di schifezze che promettono di ripulire la tua installazione. Non sai chi l'ha scritto e se sta semplicemente aggiungendo o meno altra schifezza dannosa al tuo blog. Fai un respiro profondo, guarda questo post del blog e lentamente e deliberatamente scendi la lista di controllo.
  2. Elimina il blog. Subito. Il modo più semplice per farlo con WordPress è rinominare il tuo file index.php nella directory root. Non è sufficiente creare semplicemente una pagina index.html... devi bloccare tutto il traffico verso qualsiasi pagina del tuo blog. Al posto della tua pagina index.php, carica un file di testo che dice che sei offline per manutenzione e che tornerai presto. Il motivo per cui devi chiudere il blog è che la maggior parte di questi hack non vengono eseguiti manualmente; vengono eseguiti tramite script dannosi che si attaccano a ogni file scrivibile nell'installazione. Qualcuno che visita una pagina interna del tuo blog può infettare nuovamente i file su cui stai lavorando per riparare.
  3. Esegui il backup del tuo sito. Non eseguire solo il backup dei file, esegui anche il backup del database. Conservalo in un posto speciale se hai bisogno di fare riferimento ad alcuni file o informazioni.
  4. Rimuovi tutti i temi. I temi sono un mezzo semplice per un hacker per creare script e inserire codice nel tuo blog. La maggior parte dei temi sono inoltre scritti in modo inadeguato da designer che non comprendono le sfumature della protezione delle pagine, del codice o del database.
  5. Rimuovi tutti i plugin. I plugin sono il mezzo più semplice per un hacker per scrivere e inserire codice nel tuo blog. La maggior parte dei plugin sono scritti male da sviluppatori di hacker che non comprendono le sfumature della protezione delle tue pagine, del tuo codice o del tuo database. Una volta che un hacker trova un file con un gateway, distribuisce semplicemente i crawler che cercano quei file in altri siti.
  6. Reinstalla WordPress. Quando dico reinstallare WordPress, lo dico sul serio, incluso il tema. Non dimenticare wp-config.php, un file che non viene sovrascritto quando copi su WordPress. In questo blog, ho scoperto che lo script dannoso era scritto in Base 64, quindi sembrava un blob di testo ed era inserito nell'intestazione di ogni singola pagina, incluso wp-config.php.
  7. Rivedi il tuo database. Ti consigliamo di rivedere la tabella delle opzioni e in particolare la tabella dei post, cercando eventuali riferimenti o contenuti esterni strani. Se non hai mai esaminato il tuo database prima, preparati a trovare PHPMyAdmin o un altro gestore di query di database nel pannello di gestione del tuo host. Non è divertente, ma è un must.
  8. Avvia WordPress con un tema predefinito e nessun plug-in installato. Se i tuoi contenuti vengono visualizzati e non vedi alcun reindirizzamento automatico a siti dannosi, probabilmente stai bene. Se ricevi un reindirizzamento a un sito dannoso, probabilmente vorrai svuotare la cache per assicurarti di lavorare dall'ultima copia della pagina. Potrebbe essere necessario esaminare il database record per record per cercare di individuare qualsiasi contenuto potrebbe essere lì che sta aprendo la strada al tuo blog. È probabile che il tuo database sia pulito ... ma non lo sai mai!
  9. Installa il tuo tema. Se il codice dannoso viene replicato, probabilmente avrai un tema infetto. Potrebbe essere necessario passare riga per riga attraverso il tema per assicurarsi che non ci sia codice dannoso. Potrebbe essere meglio iniziare da zero. Apri il blog fino a un post e verifica se sei ancora infetto.
  10. Installa i tuoi plugin. Potresti voler usare un plugin, prima, come Opzioni pulite in primo luogo, per rimuovere eventuali opzioni aggiuntive dai plug-in che non stai più utilizzando o che desideri. Non impazzire però, questo plugin non è il migliore ... spesso viene visualizzato e ti consente di eliminare le impostazioni a cui vuoi aggrapparti. Scarica tutti i tuoi plugin da WordPress. Gestisci di nuovo il tuo blog!

Se vedi che il problema si ripresenta, è probabile che tu abbia reinstallato un plugin o un tema vulnerabile OPPURE che ci fosse qualcosa di nascosto nel contenuto del tuo sito archiviato nel database. Se il problema non si risolve mai, probabilmente hai provato a prendere un paio di scorciatoie per risolverli. Non prendere una scorciatoia.

Questi hacker sono persone cattive! Non capire tutti i plugin e i file dei temi ci mette tutti a rischio, quindi sii vigile. Installa plug-in con ottime valutazioni, numerose installazioni e un ottimo record di download. Leggi i commenti che le persone hanno associato a loro.

Come si impedisce che il sito venga hackerato e che venga installato malware?

Prima di pubblicare il tuo sito ... è ora il momento di rafforzare il tuo sito per impedire una reiezione immediata o un altro hack:

  • verificare ogni utente sul sito web. Gli hacker spesso inseriscono script che aggiungono un utente amministrativo. Rimuovi tutti gli account vecchi o inutilizzati e riassegna il loro contenuto a un utente esistente. Se hai un utente denominato Admin, aggiungi un nuovo amministratore con un accesso univoco e rimuovi completamente l'account amministratore.
  • Reset password di ogni utente. Molti siti vengono violati perché un utente ha utilizzato una semplice password che è stata indovinata durante un attacco, consentendo a qualcuno di accedere a WordPress e fare quello che desidera.
  • Disabilita la possibilità di modificare plugin e temi tramite WordPress Admin. La possibilità di modificare questi file consente a qualsiasi hacker di fare lo stesso se ottiene l'accesso. Rendi i file principali di WordPress non scrivibili in modo che gli script non possano riscrivere il codice principale. All in One ha davvero un ottimo plugin che fornisce WordPress tempra con un sacco di funzioni.
  • Manualmente scarica e reinstalla le versioni più recenti di ogni plug-in richiesto e rimuovi qualsiasi altro plug-in. Rimuovere assolutamente i plugin amministrativi che danno accesso diretto ai file del sito o al database, questi sono particolarmente pericolosi.
  • Rimuovere e sostituisci tutti i file nella tua directory principale ad eccezione della cartella wp-content (quindi root, wp-includes, wp-admin) con una nuova installazione di WordPress scaricata direttamente dal loro sito.
  • Diff – Potresti anche voler fare una differenza tra un backup del tuo sito quando non avevi malware e il sito corrente... questo ti aiuterà a vedere quali file sono stati modificati e quali modifiche sono state apportate. Diff è una funzione di sviluppo che confronta directory e file e fornisce un confronto tra i due. Con il numero di aggiornamenti apportati ai siti WordPress, questo non è sempre il metodo più semplice, ma a volte il codice malware si distingue davvero.
  • Mantenere il tuo sito! Il sito su cui ho lavorato questo fine settimana aveva una vecchia versione di WordPress con noti buchi di sicurezza, vecchi utenti che non avrebbero dovuto più accedere, vecchi temi e vecchi plugin. Potrebbe essere stato uno qualsiasi di questi che ha aperto la società per essere hackerata. Se non puoi permetterti di mantenere il tuo sito, assicurati di spostarlo in una società di hosting gestito che lo farà! Spendere qualche soldo in più per l'hosting avrebbe potuto salvare questa azienda da questo imbarazzo.

Una volta che ritieni di aver risolto e rafforzato tutto, puoi riportare il sito online rimuovendo il file .htaccess reindirizzare. Non appena è attivo, cerca la stessa infezione che era presente in precedenza. In genere utilizzo gli strumenti di ispezione di un browser per monitorare le richieste di rete dalla pagina. Rintraccio ogni richiesta di rete per assicurarmi che non sia malware o misterioso ... se lo è, torna all'inizio e ripete i passaggi da capo.

Ricorda: una volta che il tuo sito è pulito, non verrà automaticamente rimosso dalle liste nere. Dovresti contattare ciascuno e fare la richiesta secondo il nostro elenco sopra.

Essere hackerati in questo modo non è divertente. Le aziende addebitano diverse centinaia di dollari per rimuovere queste minacce. Ho lavorato non meno di 8 ore per aiutare questa azienda a ripulire il proprio sito.

Douglas Karr

Douglas Karr è CMO di ApriINSIGHTS e il fondatore della Martech Zone. Douglas ha aiutato dozzine di startup MarTech di successo, ha assistito nella due diligence di oltre 5 miliardi di dollari in acquisizioni e investimenti Martech e continua ad assistere le aziende nell'implementazione e nell'automazione delle loro strategie di vendita e marketing. Douglas è un esperto e relatore di trasformazione digitale e MarTech riconosciuto a livello internazionale. Douglas è anche autore di una guida per manichini e di un libro sulla leadership aziendale.

Articoli Correlati

Torna a pulsante in alto
Chiudi

Blocco annunci rilevato

Martech Zone è in grado di fornirti questi contenuti gratuitamente perché monetizziamo il nostro sito attraverso entrate pubblicitarie, link di affiliazione e sponsorizzazioni. Ti saremmo grati se rimuovessi il blocco degli annunci mentre visiti il ​​nostro sito.