Secondo il W3Techs, Il 17.3% dei siti WordPress non è aggiornato con le patch di sicurezza. Ciò significa che questi siti sono aperti agli attacchi di hacker o hacker. Sei stato sciatto riguardo alla sicurezza del tuo sito WordPress e sei stato violato? Sappi che non è la fine del mondo e che mettendo i tuoi sforzi in esso puoi tornare alla normalità. In questo articolo ti mostrerò come recuperare dall'hacking e dalla blacklist del tuo sito WordPress.

L'hacking è un concetto abbastanza noto, mentre la lista nera non lo è. In poche parole, la lista nera è il fatto che i motori di ricerca rimuovono un sito dal loro indice. Quando ciò accade, un sito può perdere fino al 95% del suo traffico organico, cioè il traffico che proviene dai motori di ricerca, con conseguente invisibilità virtuale su Internet.

Cosa fare per evitare di essere hackerati?

WordPress stesso è un sistema abbastanza sicuro, e qui ci sono alcune delle migliori pratiche che devi seguire per evitare di essere hackerato:

  • Mantieni aggiornati WordPress e le sue estensioni (temi, plugin, widget)
  • Installa solo estensioni da fonti attendibili
  • Registra il tuo sito con un host web noto
  • Ospita il tuo sito su un server dedicato, se possibile
  • Utilizza una password complessa con un nome utente diverso da Admin
  • Effettua backup dell'intero sito (file, database dati, eccetera)

Osservare queste pratiche è un buon inizio, ma tieni presente che ce ne sono molte altre per aumentare il livello generale di sicurezza del tuo sito. Per saperne di più, consulta i nostri articoli proteggi il tuo blog, Come proteggere il tuo sito prima di essere violato dagli hacker, Suggerimenti 4 per proteggere il tuo blog dagli attacchi degli hackermisure reali e testate per proteggere un blog.

Con la conoscenza di queste nuove informazioni, prima di vedere come pulire il vostro sito, vi consiglio di visitare la principali attacchi che gli hacker stanno lanciando su siti WordPress.

Exploit backdoor (exploit backdoor)

Per eseguire questo attacco, un hacker introduce uno script sul tuo server. Di solito è chiamato per fondersi con altri file (ad esempio wp-configs.php, wp-trakcback.php). Questo script fornisce all'hacker diversi livelli di accesso al tuo file system e al tuo sito o siti, se ne ospiti più di uno su questo server. Può quindi connettersi come desidera attraverso questa backdoor al tuo server e modificarlo senza che tu te ne accorga.

Se non hai un plug-in di sicurezza per avvisare le modifiche ai file sul tuo sito, se stai attento vedrai alcuni comportamenti " anormale Del tuo sito che potrebbe metterti nei guai.

Ad esempio, vuoi accedere al tuo sito e improvvisamente il tuo browser ti dà messaggi di errore relativi alla sicurezza. Apri il tuo sito e il tuo antivirus viene avvisato perché rileva attività dannose tra il tuo sito e il tuo computer (di cui probabilmente non sei a conoscenza). Le mail provenienti dal tuo server ti tornano con il codice di errore SMTP 550. In quest'ultimo caso, con un po 'di fortuna le mail ti tornano con informazioni aggiuntive, come un link verso il sito che hai inserito nella blacklist.

Farmaceutica Hacks (Hacks Pharmaceutical)

In questo attacco, l'hacker inserisce script e link (visibili o invisibili) nei tuoi file, il più delle volte nelle tue intestazioni, ma possono apparire ovunque?

Quando sei vittima di un attacco di hacking farmaceutico o di hacking farmaceutico, il tuo sito è inondato di link che portano a siti di spam o peggio, siti che vendono viagra o sialis (non è una buona pubblicità per te, vero?).

Per verificare di essere il bersaglio di uno di questi attacchi:

Vai su Google e digita: site:blogpascher.com bHile, sostituire blogpascher.com con la vostra nome di dominio. L'elenco risultante dovrebbe visualizzare solo i risultati relativi al tuo sito, altrimenti sei sotto attacco.

Aggiornando il tuo stato di Facebook tramite un collegamento al tuo sito, dovresti vedere il file contenuto di questa pagina. D'altra parte, se vedi spam e/o annunci pubblicitari nella descrizione e nel titolo, c'è un problema.

reindirizzamento dannoso

In questo caso l'hacker inserisce degli script nei vostri file per provocare un reindirizzamento sistematico ad altri siti o pagine contenenti esclusivamente spam o contenuto per adulti.

Il reindirizzamento non è sempre ovvio da rilevare, soprattutto se la pagina di destinazione utilizza gli stili del tuo sito.

Come testare e pulire il tuo sito dopo l'hacking

Anche in caso di pirateria informatica, il tuo primo istinto deve essere quello di salvare il sito. Sì, perché anche il backup del tuo sito hackerato può contenere informazioni preziosissime sia dal punto di vista della manutenzione (de-hacking) che dal punto di vista della sua continuità. D'altra parte, devi effettuare il backup prima di contattare il tuo host perché molti di loro sospenderanno il tuo sito al minimo avviso. contenuto malizioso.

Poiché un treno può nasconderne un altro, ti consigliamo di fare tutti i test possibili sul tuo sito (e sul tuo computer) anche se pensi di sapere di che tipo di attacco sei vittima. Di seguito sono riportati alcuni siti che offrono scansioni gratuite del sito:

  • Unmask Parasites : Buono per le scansioni globali, per scoprire se c'è un problema e chi ti ha inserito nella lista nera.
  • Sucuri Site Check : Approfondisci e ti dico se il tuo sito è stato inserito nella lista nera.
  • Norton Safe Web : Per sapere se sei minacciato.
  • Quttera : Oggetti dannosi di ricerca sul tuo sito.
  • virus intero : Utilizza 50 o più scansioni per verificare la presenza di virus e trojan comuni sul server.
  • Web Inspector : Cerca tutti i tipi di oggetti dannosi, ti avvisa se sei stato inserito nella lista nera e produce un rapporto.
  • Malware Removal : Malware, codice di iniezione, reindirizzamenti dannosi, codice XSS possono essere rilevati con questo servizio.
  • server di scansione : Rileva il codice dannoso e produce un rapporto dettagliato entro 24 ore. Devi fornire un indirizzo email e il link di fallback al tuo sito che ti viene poi fornito, per verificare di essere il proprietario del tuo sito.

Se non hai paura della riga di comando, ecco alcuni fantastici comandi SSH che puoi eseguire per avere un'idea di quali file potrebbero contenere il codice dannoso:

per visualizzare l'elenco dei file sul tuo sito che sono stati modificati 2 giorni fa:
find /racine/votre-repertoire/votre-site/ -mtime -2 -ls

Naturalmente sostituire /racine/votre-repertoire/votre-site dal percorso dell'albero del tuo sito sul tuo server. Aumenta gradualmente il periodo, sostituendo 2 con valori più grandi, finché non trovi qualcosa.

per cercare file contenenti stringhe di caratteri spesso utilizzate da hacker come base64 ou hack3r :
grep -ril value *

Assicurarsi di sostituire value dal canale in questione. Una volta ottenuto l'elenco dei file, puoi esaminarli con il comando:
grep -ri value *

Ora che hai identificato il problema e la sua posizione, devi eliminarlo. Procedi come segue:

  • se si tratta di un file creato dall'hacker sul tuo server: cancellalo.
  • se il codice maligno è in un file di WordPress: eliminarlo e caricare in una nuova copia.
  • se il codice maligno è in uno dei file: rimuovere il codice dannoso e salvare il file.

Se disponi di un backup del tuo sito e non desideri eseguire tutti i passaggi di pulizia sopra elencati, ripristina il tuo sito, aggiorna WordPress, i tuoi plug-in, i temi e gli script. Infine, aumentare il livello del tuo sito.

Giusto per assicurarti di non aver perso nulla, ripeti le operazioni di pulizia. Quando pensi di esserti sbarazzato di un codice dannoso, contatta il tuo host web per informarlo della situazione che hai appena attraversato. Ciò è particolarmente importante se altri siti (o scanner automatici) o i tuoi utenti citano il tuo sito come una minaccia. Il tuo operatore prenderà quindi tutti i passaggi necessari per verificare che il tuo sito sia pulito e ti inserirà nella whitelist (rimosso dalla lista nera) se necessario.

Come ottenere il vostro sito e la vostra lista nera IP

Congratulazioni! Il tuo sito viene ripulito da tutto il codice dannoso. L'unico problema ora è che potrebbe essere ancora nella lista nera. Per scaricarlo, devi prima sapere su quale sito è contrassegnato come spam. Unmask Parasites andrebbe bene, ma useremo Spamhaus perché non solo è uno dei siti in cui potresti essere inserito nella lista nera, ma ti consente di conoscere altri siti in cui sei nella lista nera. Quindi puoi chiedere di essere inserito nella whitelist.

È molto facile condurre un test su spamhaus. Basta inserire:
http://www.spamhaus.org/query/ip/987.654.321.98

987.654.321.98 è il tuo indirizzo IP. Se sei stato inserito nella lista nera, appariranno delle linee rosse sul display.

whitelister-sitepar-ip-qpamhous

Sotto ognuno di essi c'è un collegamento, aprilo e vedrai come inviare una richiesta di lista nera per ciascuno dei siti. Dopo aver inviato la richiesta, sarà necessario attendere tra le 12 e le 48 ore ed eseguire nuovamente un test, poiché la maggior parte delle volte non verrà notificato il cambiamento. Se sei stato inserito nella lista nera da Google assicurati di aver letto e compreso Istruzioni per la Richiesta di un controllo.

Fai molta attenzione quando invii la richiesta di uscire dalla lista nera e assicurati che il tuo sito non contenga più nulla di dannoso, perché molto spesso può essere richiesto solo una volta. Quindi, prendendo alla leggera questo compito, corri il rischio che il tuo IP venga inserito nella lista nera per sempre.

Sono necessarie ulteriori congratulazioni! Ora il tuo sito non è solo cavedano ma è di nuovo libero. Ancora una volta assicurati di aver aggiornato WordPress, insieme ai tuoi plugin, temi e script.

Per essere sicuro che il tuo hacker non avrà più accesso al tuo sito, modifica le chiavi di sicurezza di WordPress. Ciò avrà l'effetto di disabilitare i cookie che mantengono gli utenti del tuo sito collegati per un certo periodo di tempo. Puoi usare l'API  Generatore di chiavi di sicurezza casuali di WordPress per avere nuove chiavi. Quindi inseriscili nel tuo file wp-config.php.

Un'altra soluzione per proteggere il tuo sito di accesso ombreggiato è ConfigServer sicurezza e Firewall. È un firewall che viene installato dalla riga di comando SSH nella directory principale del server e che è facile da installare. Assicurati di essere alla radice del tuo sito e inserisci questi comandi uno per uno:

cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

allora:

perl /usr/local/csf/bin/csftest.pl

a questo punto se non hai errori allora il tuo firewall è abilitato. Tutto quello che devi fare è inserire questo ultimo comando per configurarlo:

sh /usr/local/csf/bin/remove_apf_bfd.sh

Oltre a questo firewall, te lo consiglio vivamenteinstalla un plugin di sicurezza per essere informato di eventuali movimenti sospetti che avvengono sul tuo sito.

Se hai dovuto seguire questo tutorial per liberare il tuo sito dalla morsa degli hacker oscuri, allora hai un'ultima cosa da fare. Serve per capire come il tuo sito è stato violato. Ancora una volta strumenti come OSSEC sono lì per aiutarti a decifrare i registri (file di registro) del tuo sito WordPress.

Ora hai il know-how e le conoscenze necessarie per far rivivere il tuo sito dalle sue ceneri nel caso in cui gli hacker lo incendiassero. Adesso ti rendi conto che è meglio e soprattutto più facile prevenire che curare. Se non disponi di un backup del tuo sito, aggiornalo (WordPress, temi, plug-in, script, ecc.), Installa una suite di sicurezza per WordPress ed esegui un backup del tuo sito. Quindi fallo regolarmente. Guida il più spesso possibile testando e ripulendo il tuo sito prima che venga inserito nella lista nera.

Sei stato violato? Nella lista nera? Come ne sei uscito? Conosci altri strumenti, tecniche o plugin che non sarebbero stati menzionati in questo tutorial? Condividi il tuo feedback con noi nei commenti.