Come Rimuovere un Malware da WordPress

Rimuovere Malware WordPress
Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su whatsapp
Condividi su telegram

Ebbene sì, dopo più di 8 anni di WordPress, anche il TagliaBlog si è beccato un malware.

Non allarmarti però, parlo al passato! Il malware ha infettato il blog il 29 Settembre, e in poche ore avevo già (fortunatamente) sistemato tutto.

Oggi ho pensato di condividere l’esperienza con i miei lettori, in modo che sappiano come operare nel caso il loro sito/blog finisca nelle mani di qualche malintenzionato (non uso il termine hacker perché fa troppo giornalista ignorante anni ’90 😀 ).

Premessa

Non sono tecnico, né un esperto di virus o di sicurezza informatica. Al massimo sono uno… “smanettone”, visto che nella vita faccio ben altro.

Pertanto, se sei un guru della rimozione dei malware da WordPress, non ti offendere! Qui sotto NON troverai una procedura rigorosa, con grandi termini tecnici da programmatore o da sistemista, ma solamente un semplice elenco delle cose che ho fatto per risolvere il problema, con tanto buon senso e l’aiuto/parere di qualche amico che ne sa un po’ di più di me.

Partiamo.

Il feed RSS

Ti chiederai cosa c’entra il feed RSS con i malware. Ebbene, devo “ringraziare” il feed degli articoli del mio blog se mi sono accorto dell’infezione.

Il 29.09 mattina, infatti, il feed con dentro l’articolo che ho pubblicato attorno alle 8, non è partito. Si è incriccato.

Un buon sistema per verificare che un feed sia valido, è usare (lo dice il nome stesso) Feed Validation Service: metti l’URL, e vedi che errori ti restituisce.

Ebbene, in coda al feed c’erano parecchie strane righe di codice “indigeste”, segnalate con un errore. Pur tuttavia, forzando manualmente un resync da FeedBurner, il feed è andato…

Google e i Malware

Devi però sapere che c’è un “grande controllore esterno” del tuo sito web, che ti dice in tempo (quasi) reale se è sicuro o meno.

Il controllore ha un nome molto noto: Google.

Se usi il suo browser, Chrome, vieni avvisato se il sito che stai tentando di visitare è sospettato di phishing o malware.

Se vai su Google (inteso come motore di ricerca), puoi trovare snippet con all’interno “Questo sito potrebbe essere compromesso

Questo sito potrebbe essere compromesso

o “Questo sito potrebbe danneggiare il tuo computer

Questo sito potrebbe danneggiare il tuo computer

se i siti in questione sono ritenuti pericolosi.

Se tu stesso gestisci un sito web, vieni allertato via email (e/o direttamente all’interno di Search Console) non appena il tuo sito viene bucato.

Insomma, Google sembra proprio avere a cuore la salute dei siti che indicizza e infatti, da ormai più di 2 anni, porta avanti una campagna di sensibilizzazione denominata #NoHacked.

E non è tutto: il 5 Ottobre 2015, Google ha annunciato sul Webmaster Central Blog che è in arrivo una penalizzazione per i siti infettati, penalizzazione che avrà un impatto su circa il 5% delle query (a seconda della lingua). In buona sostanza, Google ci sta dicendo che NON si limiterà ad inserire un “link di avvertimento” all’interno degli snippet delle SERP, ma potrebbe decidere di eliminare dai risultati di ricerca le pagine colpite da hacked spam.

Tornando a noi, il 29.09 alle 11:13 ho ricevuto da Google questa email:

Infezione Malware Rilevata

Panico! Cosa faccio?

Se capitasse anche a te, la prima cosa da fare è quella di sedersi sulle mani. 🙂

Al contrario, una delle peggiori cose che puoi fare è quella di muoversi a casaccio, per esempio cancellando file a destra e a manca, senza poi riuscire a ricordarti esattamente la cronologia delle operazioni che hai eseguito.

Google ha un intero sito di assistenza webmaster per siti compromessi: inizia a seguire gli 8 passi indicati sulla pagina, e avrai già davanti un’ottima serie di indicazioni utili a ripristinare il sito violato.

A parte gli 8 passaggi di Google, ecco qualche altro piccolo suggerimento che mi sento di condividere, indirizzato soprattutto a chi utilizza WordPress.

FTP

Collegati via FTP al tuo sito, e controlla le date dei file e delle cartelle.

Banalmente, se ci sono alcuni file (.js o .php) che hanno la data modificata molto di recente (=poche ore prima della segnalazione di Google), ecco che potrebbero essere messi fra i “sospetti”.

Se capisci qualcosa a livello di codice, puoi scaricarli sul tuo PC, aprirli con un editor di testo (tipo Notepad++) e guardare se dentro c’è qualcosa di anomalo.

Anche Google ci può dare una grossa mano, indicandoci (sempre tramite Search Console) i file compromessi e il codice iniettato che a lui “suona strano”.

Ma c’è un ottimo plugin di WordPress che può fare molto di più…

Wordfence Security

Con più di un milione di installazioni attive, Wordfence Security è probabilmente uno dei migliori plugin (gratuito!) in grado di aiutarti a mettere in sicurezza WordPress.


L’installazione è davvero semplice, e una volta scaricato e attivato il plugin è già perfettamente funzionante, senza dover mettere mano a complessi settaggi.

Fra le opzioni più interessanti:

  • Scan (e relativo report) dei singoli file presenti sull’FTP, per individuare quelli sospetti e/o malevoli
  • Statistiche, in tempo reale, del traffico in ingresso sul sito (diviso fra “esseri umani” e crawler)
  • Sistema di caching proprietario (attivabile opzionalmente)
  • Alert via email dei tentativi di login (riusciti o meno), inclusi quelli degli IP “fastidiosi” (per esempio, di quelli che cercano di loggarsi ripetutamente via wp-admin)
  • Audit delle password (per verificarne il livello di sicurezza)
  • Blocco del traffico per singolo IP, range di indirizzi IP, User-Agent, Referer e per aree geografiche (puoi escludere intere nazioni con un solo click)
  • Firewall integrato (in grado di bloccare, ad esempio, fake Googlebot o richieste troppo ravvicinate)

In poche parole: lanci uno scan di Wordfence, attendi il report, e poi vai ad analizzarti minuziosamente tutti i file che, secondo lui, sono sospetti o (peggio) infettati. E quindi li sistemi (per esempio, sovrascrivendoli con una versione pulita).

Backup – Restore

Spesso non è sufficiente sistemare i file infettati, perché magari qualcosa ti è sfuggito e il problema potrebbe quindi ripresentarsi entro poche ore/giorni.

La strategia più radicale e definitiva è pertanto quella di fare tabula rasa e reinstallare WordPress, plugin, tema, file .htaccess e, soprattutto, il database.

Ecco perché è IMPORTANTISSIMO avere una copia pulita di backup di tutto, per poi poter effettuare un rapido ripristino dei dati: molti hoster offrono nel loro piano anche un backup periodico dei dati, ma volendo puoi utilizzare l’ottimo plugin per WordPress UpdraftPlus/a>, che è probabilmente fra i migliori e più completi nel suo genere (ed è utile anche se dovessi trasferire totalmente il tuo sito/blog, in modo “indolore”, da un hosting all’altro).

Hosting – VPS – Server Dedicato

A proposito di “cambiare hosting”, apro una piccola parentesi.

Un hosting economico NON è automaticamente sinonimo di hosting insicuro, ma spesso è sinonimo di hosting lento (cosa pericolosa lato conversioni, e che potrebbe far poco piacere anche a Google).

Comunque sia, su hosting economici è facile essere sullo stesso server e lo stesso indirizzo IP di centinaia o migliaia di siti, e magari fra questi ce ne sono alcuni poco raccomandabili… regolati tu.

Password

Se sei certo di aver ripulito tutto per bene, un’altra operazione importante da fare è cambiare TUTTE le password di accesso al sito:

  • Password di tutti gli amministratori di WordPress (e anche degli utenti con privilegi minori)
  • Password del database
  • Password dell’FTP
  • Password dell’indirizzo email (non si sa mai…)

Se hai poca fantasia ad inventare le password, cerca su Google [password generator] e troverai un sacco di siti utili.

Se invece hai poca memoria e non riesci a ricordarle, prova tool come LastPass o 1Password.

Conclusione

Quando hai la certezza assoluta che il tuo sito/blog è stato ripulito completamente, puoi sottoporre a Google (sempre tramite Search Console) una “richiesta di controllo”, e nell’arco di massimo 24 ore otterrai una risposta (positiva o negativa): se hai fatto tutto per bene, ti verrà eliminato l’alert da Chrome e il “link spaventoso” dallo snippet delle SERP del motore di ricerca.

Nessun Malware Rilevato

Riassumendo, per quel poco che so, una malware infection può passare:

  • Da una vecchia versione di WordPress (aggiornalo sempre!)
  • Da un tema WordPress scaricato da siti poco raccomandabili (un buon tema SEO-friendly e responsive come quello presente su questo blog costa pochi dollari, non rischiare!)
  • Da qualche plugin scritto male (utilizza solo quelli indispensabili, e aggiornali sempre!)
  • Da password esageratamente semplici (scegline una lunga, con lettere, numeri, simboli strani, maiuscole e minuscole!)
  • Da un server bucato (scegli bene i tuoi fornitori!)

Se pigli un malware puoi anche non avere grosse colpe, ma almeno fai la tua parte per non agevolarlo troppo. 🙂

Da oltre 20 anni, fornisco consulenze per aziende e professionisti, che vogliono sviluppare il loro business, aumentando i clienti, in modo serio e produttivo, utilizzando le ultime tecnologie e nel pieno rispetto delle normative vigenti in materia.
×
Da oltre 20 anni, fornisco consulenze per aziende e professionisti, che vogliono sviluppare il loro business, aumentando i clienti, in modo serio e produttivo, utilizzando le ultime tecnologie e nel pieno rispetto delle normative vigenti in materia.

19 Comments

  • ragazzi scusatemi, sto impazzendo, ho wordpress su aruba aggiornato alla versione 4.8.1, nonostante abbia fatto decine di controlli con vari plugin per rilevare malware e installato plugin di sicurezza, mi trovo nella situazione che all’apertura del sito si apre un’altra pagina che fa una serie di redirect e mi manda o su tradeexchange o su altre pagine, ad esempio sui device apple mi apre la pagina il tuo dispositivo è stato bloccato o roba simile.
    Ho fatto controllo con qualunque plugin rinomato e non mi trovano codici maligni.
    Sto impazzendo

    Reply
  • Come posso scansionare un sito wordpress che mi hanno bloccato?
    Esiste un anti malware per scansionare in locale il sito?

    Reply
  • Anche a me è successo di avere un sito down su wordpress a causa di attacchi non specificati, ma stranamente sempre con provider italiani di cui non faccio il nome ma mai americani!
    Secondo me occorre fare il backup spesso magari programmandolo in automatico e nei casi più gravi rasare via tutto e reinstallare…
    Tra l’altro a me è successo che Google mi ha segnalato su siti senza problemi di avere del generico malware e dopo approfonditi controlli con il provider non era affatto vero!

    Reply
  • Se volete non essere bucati non usate WordPress… lo so, è una provocazione, ma ha un senso logico. Purtroppo WordPress è conosciuto in tutto il mondo e il 90% degli attacchi sono creati da persone che si scambiano informazioni sulle ultime vulnerabilità, qualche volta anche un semplice ragazzino smanettone riuscirebbe ad entrare leggendo neo vari dark forum.

    Alcuni miei portali utilizzano script proprietari, non diffusi come WordPress (ma neanche l’1%) e vi assicuro che in 10 anni non sono mai riusciti ad entrare, non tanto per la qualità eccelsa degli script, probabile che abbiano delle vulnerabilità, ma essendo script non conosciuti non esistono “circolazione” di idee ed informazioni come su WordPress o Joomla.

    Utilizzando script popolari la percentuale di attacchi sarà sempre molto, molto alta… ma d’altronde il vantaggio di utilizzare WordPress (molto più completo e con un enorme numero di plugin) sorpassa decisamente questa “pecca”. Solo che occorre stare molto attenti e verificare spesso le date dei file modificati (è il primo, facile ed inequivocabile segnale), quest’ultimo suggerimento mettetelo su un post-it, sullo schermo del Pc. 🙂

    Reply
  • Una delle cose a mio avviso più efficaci è il controllo dei file cambiati. Sono anni che uso WordPress e per l’esperienza che mi sono fatto è la cosa più efficace.
    Alla fine si possono installare tutti i plugin che volete, ma spesso gli attaccanti sfruttano falle del core di WordPress… e li c’è poco da fare, se non tamponare ed attendere che rilascino un aggiornamento.
    Certamente plugin come Wordfence (ottima la scansione dei files con comparazione con il repository di WP) o iThemes Security (ex Better WP Security) possono essere una “marcia in più” per la sicurezza. Di contro, come già detto prima di me, rallentano un pò le prestazioni del sito.
    Proprio l’anno scorso ho raccontato, come ha fatto Davide oggi, in una guida di 3 puntate la mia avventura con “gli hacker” e WordPress. Vi lascio il link sperando di fare cose gradita:
    http://www.yourinspirationweb.com/2014/04/07/come-ripristinare-uninstallazione-wordpress-dopo-un-attacco-hacker-parte-1/

    Reply
  • Ciao Davide e grazie mille per questo post..davvero utile!

    Puoi dirci nel dettaglio cosa ti era successo? Ti avevano trovato il login della dashboard? Bucato il server? Exploit di qualche plugin?

    Grazie infinite!

    Reply
    • Non so di preciso cosa è successo, ma ho trovato un “innocuo” .js modificato nella root, nonché header e footer del tema: per quel motivo dico che, indipendentemente dall’uso di Wordfence Security, è bene accedere ia FTP e guardare con attenzione la data di certi file, ed osservare se è molto recente…

      Reply
  • Il modo migliore per stare sicuri con WordPress è non usarlo 🙂

    Scherzi a parte, wp-login.php va protetto ASSOLUTAMENTE con .htaccess per IP o la subnet del vostro provider. In genere il 99% dei brute force sono fuori dall’Italia.

    In alternativa si può usare il plugin che rinomina wp-login.php o /wp-admin/, non è il massimo ma funziona nel 95% dei casi.

    Inutile dire che WordFence è l’ennesimo inutile bloated plugin per i non-tecnici.

    Se sei figo perché usi WP direte voi? Eh…. se il cliente te lo chiede tu che fai? io li accontento sempre 😛

    Reply
  • Ciao Davide, avevo ricevuto anche io un avviso per la sicurezza del tuo sito il 29 settembre mentre stavo per aprire un tuo articolo. Ti avevo mandato una mail su facebook ma penso che non sia giunta a destinazione.
    Ti ho mandato una mail a tagliaerbe@gmail.com con le catture dello schermo.
    Nei mesi passati ho passto le mie giornate a capire come proteggere i siti creati con wordpress e ho scritto un piccolo ebook sulle tecniche basilari. Ancora oggi cerco di capire come rafforzare wordpress.
    Ho trovato interessante trovare un’altro articolo, molto valido, per la sicurezza di WordPress.

    Un saluto!

    Mario.

    Reply
  • Lettura interessante, ma anche con la reinstallazione da zero purtroppo non risolvi realmente il problema.
    Reinstallare tutto ex novo vuol dire rimettere online un sito web che, in ogni caso, ha ancora lo stesso bug sfruttato per iniettare del malware. Suggerisco, in questi casi, un’analisi puntuale dei log applicativi per verificare da che parte sono entrati (tema, plugin, etc…) e di implementare una patch. 🙂

    Reply
  • Ciao,
    sono un esperto in questo settore. Mi hanno bucato spesso in passato.
    Wordfence è un ottimo plugin, ma, lo reputo troppo pesante. Tra tabelle che aggiunge e controlli che fa, ti duplica il sito per spazio e risorse impiegate. Oltre a rallentarlo.
    Io l’ho sostituito con fail2ban per bannare gli ip indesiderati.

    I consigli che dai sono tutti giusti, ma aggiungerei anche l’eliminazione dell’utente admin e la modifica dell’acronimo wp_ per le tabelle.

    Reply
  • Non so se prevengo troppo oppure ho avuto fra le mani ancora troppi pochi siti web ma non ho ancora avuto il “piacere” di dover debellare un malware da WordPress, l’articolo però me lo salvo fra i preferiti come memo.

    Reply
  • Caro Davide, un grandissimo grazie per aver dedicato il tuo tempo a redigere questo utilissimo articolo 🙂
    Complimenti

    Reply
  • Grazie degli utili consigli Davide!
    Purtroppo devo aggiungermi alla lista di coloro che hanno dovuto affrontare questo problema diverse volte.
    Però non sempre ho ricevuto la notifica di Google su Search Console, a volte quello che ha fatto suonare il campanello d’allarme, è stata una piccola frase non coerente con il contenuto del sito (non il messaggio di allerta da parte Google) all’interno dello snippet…ora ho preso l’abitudine di fare controlli periodici senza aspettare la notifica di Google…

    Reply
  • Ciao Davide, bell’articolo.
    E’ vero quello che scrivi, quando scopri l’infezione…calma e sangue freddo e soprattutto non iperventilare ;).
    A me è capitato un paio di anni fa di trovarmi con 2 siti, hostati da uno stesso provider italiano, hackerati per benino da qualche simpatico spammer. Come dici tu attenzione anche a chi ospita il tuo sito e soprattutto alla gentilezza del servizio clienti che dovrebbe aiutarti a risolvere il problemo: io, giusto per intenderci, ho spostato tutto su altri server con servizi di assistenza più seri.
    Nel tempo ho fatto collezione di siti che possono aiutare a verificare l’infezione (pure io sono uno smanettone ma nulla di più) ad esempio:
    https://sitecheck.sucuri.net/
    http://www.virustotal.com/
    http://www.unmaskparasites.com/
    per citarne alcuni.
    E poi, a livello wordpress io personalmente uso un plugin davvero figo:
    ITheme security (ex wp security): https://it.wordpress.org/plugins/better-wp-security/
    oltre chiaramente a tutti gli accorgimenti che hai descritto benissimo.
    Ciao e buna giornata! 😉

    Reply
  • Ciao,
    parlando di siti infetti posso ormai dire di essere diventato (purtroppo!) un esperto.. negli anni, tra joomla e wordpress, c’è stato davvero da “divertirsi”… La cosa migliore, come hai detto tu, è comunque quella di avere i backup puliti del sito, perché in alcuni casi, a seconda del tipo di malware, non si accede più neanche all’area di amministrazione, è quindi la “tabula rasa” diventa quasi l’unica possibilità… (a parte scaricarsi il sito in locale tramite ftp, lanciarci sopra diversi antivirus e vedere di ripulire a mano tutti i codici dannosi, ma è veramente un lavoraccio!)…
    Ciao ciao!

    Reply
  • Proprio poche settimane fa ho iniziato ad usare Wordfence sui miei siti, ed è decisamente inquietante il numero di alert che invia. Soprattutto i tentativi di accesso con username “admin” sono frequenti, anche su siti meno visitati: trovo utilissima la possibilità di bloccare determinati IP dopo vari tentativi di accesso con password sbagliata.

    Stavo proprio pensando di scrivere qualcosa anche sulla mia esperienza, ma hai già detto tutto quello che c’è da sapere 🙂

    Reply
  • bell’analisi!
    in effetti non ho mai preso in considerazione la possibilità che il mio sito diventi “pericoloso” (per gli altri, ma anche per me stesso in ottica SEO!).
    Non ho capito però quali sono le modalità con le quali si rischia una infezione: password crackata (ok), installazione di plugin o temi di dubbia provenienza (ok)… che altro?

    Reply

Rispondi

Max Valle
Max Valle

Da oltre 20 anni, fornisco consulenze per aziendee professionisti, che vogliono sviluppare il loro business, aumentando i clienti, utilizzando le ultime tecnologie e nel pieno rispetto delle normative vigenti in materia.

Iscriviti alla Newsletter
Main sponsor
logo kleecks

Sponsor

Come Rimuovere un Malware da WordPress
Scroll to Top