Hacked: cosa fare quando il tuo sito Web WordPress è stato compromesso

Inizia con la sensazione che qualcosa non va nel tuo sito Web WordPress. Forse il tuo plug-in di sicurezza ti ha avvisato di un file modificato che sai di non aver toccato. Oppure vedi alcuni contenuti sconosciuti all'interno del tuo elenco di post.

Qualunque sia l'indicatore, porta a una conclusione: il tuo sito web è stato violato. Cosa fare adesso?

Anche se è perfettamente normale sentirsi spaventati e/o frustrati, non è il momento di farsi prendere dal panico. Invece, è tempo di entrare in azione! Un po' come un supereroe, ma le tue armi preferite sono uno scanner di sicurezza e un client FTP.

Tuttavia, hai la possibilità di salvare la giornata. Basta seguire la nostra guida per gestire un sito Web WordPress violato.

Usa i tuoi backup

Gestire un sito Web, indipendentemente dal fatto che funzioni su WordPress o meno, significa essere preparati ad agire in qualsiasi momento quando qualcosa va storto. Come si fa a farlo? Mantenendo backup regolari dell'intero sito, inclusi database e file.

Il ripristino di versioni pulite di file e dati riporterà rapidamente il tuo sito Web in una buona posizione. Se non hai un backup a cui rivolgerti, il ripristino da un hack può essere ancora più difficile.

Senza un backup, beh, si tratta di eseguire l'installazione con un pettine a denti fini. Dovrai cercare codice potenzialmente dannoso, rimuoverlo e sperare di aver catturato tutto.

Potrebbe esserci una grazia salvifica: il tuo host web potrebbe avere un backup pulito per aiutarti. Tuttavia, è comunque meglio prendere in mano la situazione. Fare affidamento sugli altri per salvarti da un punto difficile non è una strategia sostenibile.

Cambia password e chiavi salt

A seconda della vulnerabilità utilizzata da un utente malintenzionato per hackerare il tuo sito, potrebbe benissimo avere l'accesso come amministratore. Pertanto, è meglio modificare le password per ogni account amministratore. Se hai account inutilizzati in giro, considera di eliminarli.

Inoltre, è necessario modificare anche la password del database del sito. Ciò potrebbe aiutare a prevenire eventuali attacchi di iniezione di MySQL che potrebbero essere in corso.

Infine, si consiglia anche un rapido cambio delle chiavi di sale di WordPress. Questo espellerà tutti gli utenti che hanno effettuato l'accesso che potrebbero spiare.

Cerca suggerimenti sui file modificati

Se il tuo sito web è stato compromesso, non è sufficiente ripristinare semplicemente un backup. È anche importante cercare di capire esattamente cosa è successo. I file di backup potrebbero essere puliti, ma potrebbero comunque contenere buchi di sicurezza che porteranno a un altro hack.

Pertanto, è una buona idea scaricare una copia del tuo sito compromesso prima di ripristinare il backup. Oppure, se il backup del tuo sito viene eseguito quotidianamente, potresti essere in grado di prendere l'ultima copia se sospetti che anche lui abbia la stessa afflizione.

Potresti anche volerlo eseguire attraverso uno scanner di sicurezza, come lo strumento gratuito SiteCheck di Sucuri. Questo potrebbe potenzialmente portarti direttamente a uno specifico problema di sicurezza che ha causato l'hacking.

Una volta che hai una copia del tuo sito infetto, è il momento di scavare e cercare indizi. Ecco alcuni elementi che vale la pena dare un'occhiata:

Controlla WordPress Core, Plugin e Temi

Una cosa da tenere a mente è che codice dannoso potrebbe essere iniettato in qualsiasi area del tuo sito Web WordPress. Potrebbe essere un file principale, un plug-in o un tema. Anche gli elementi inattivi avrebbero potuto fornire una backdoor.

Vale anche la pena controllare le autorizzazioni dei file del tuo server per assicurarti che siano in linea con ciò che WordPress consiglia.

Guarda le date modificate

Un segno rivelatore di un file infetto è una data modificata sospetta. Ad esempio, se non modifichi il modello di un tema da mesi e la data modificata è stata la scorsa settimana, potrebbe essere un segno di gioco scorretto.

Questo può essere un po' più difficile da individuare nei plugin, poiché tendono ad essere aggiornati più frequentemente. Ma se qualcosa non va, controlla il log delle modifiche del plugin. Questo può dirti quando è stato l'ultimo aggiornamento. Anche se non hai aggiornato nel momento in cui è stata rilasciata la nuova versione, avrai almeno un intervallo di tempo da cercare.

Apri file sospetti (con attenzione)

Se hai trovato dei file dall'aspetto sospetto, potresti volerli aprire e controllare il loro codice. Prima di farlo, potrebbe essere una buona idea eseguirli attraverso uno scanner di malware, solo per sicurezza.

Il codice dannoso sembra sporgere come un pollice dolorante, ma il test del bulbo oculare da solo potrebbe non essere sufficiente per esserne sicuri. In questo caso, puoi prendere un'altra copia del file, una che è nota per essere pulita, e confrontarla. Se noti delle differenze, saprai che sta succedendo qualcosa.

Cercare in rete

I forum di supporto di WordPress.org possono essere un ottimo posto per raccogliere informazioni. Se sospetti che un plug-in specifico o anche il core di WordPress, è probabile che altri utenti abbiano sperimentato qualcosa di simile. Potresti scoprire di non essere solo nella tua sofferenza.

Inoltre, il database delle vulnerabilità di WPScan offre un elenco completo di informazioni sulla sicurezza di base, plug-in e temi. È un ottimo posto per cercare problemi noti.

Contatta il tuo host web

Non vi è alcuna garanzia che il tuo host web possa aver impedito un particolare hack. Ma anche così, vale la pena contattarli in queste situazioni. Questo è particolarmente vero se non sei abbastanza sicuro del colpevole. Ed è semplicemente una buona pratica se sei su un account di hosting condiviso, poiché potrebbe influenzare altri utenti (o altri siti che stai ospitando).

Se non sei in grado di individuare una vulnerabilità specifica che ha portato all'hacking, il tuo host può essere un'ottima risorsa. Potrebbero aver visto altri clienti con problemi simili o potrebbe far scattare una bandiera rossa che porta a una falla di sicurezza che viene rattoppata.

Inoltre, alcuni host offrono anche scansioni di sicurezza e pulizia da malware. Anche se probabilmente ti costeranno un po' di soldi, potrebbe aiutarti a eliminare un problema ricorrente. Assicurati solo di chiedere eventuali garanzie e scoprire cosa è coperto prima di effettuare l'investimento.

Prendi nota delle lezioni apprese

Quando tutto è detto e fatto, ci sono buone probabilità che tu abbia imparato una o due cose sulla sicurezza di WordPress. Questa è una buona notizia, perché puoi applicare questa nuova conoscenza per mantenere sicuro il tuo sito web.

Ad esempio, il ripristino da un sito Web violato potrebbe comportare l'utilizzo di password più forti o l'aggiornamento del software più frequentemente. Potresti anche implementare misure come l'autenticazione a due fattori. Potrebbe anche renderti consapevole delle impostazioni del server che possono rendere più difficile il danneggiamento di un attore malintenzionato.

Il punto è rafforzare la sicurezza al punto da poter almeno respingere i tipi più comuni di attacchi. Oltre a ciò, si tratta di rimanere vigili e non dare mai per scontata la sicurezza.