Una triste realtà della gestione di siti web è che a volte possono essere hackerati. Avendo il nostro sito WordPress hackerato alcune volte in passato, sappiamo esattamente quanto possa essere stressante. Senza contare l'impatto che ha sul tuo business e sulla tua readership.
Negli ultimi anni, abbiamo aiutato centinaia di utenti a recuperare i loro siti WordPress compromessi, incluse diverse aziende ben note.
In questo articolo, condivideremo una guida passo passo per risolvere il tuo sito WordPress compromesso.
Poche cose da sapere prima di iniziare
Prima di tutto, non importa quale piattaforma stai usando, che sia WordPress, Drupal, Joomla, ecc., qualsiasi sito può essere hackerato!
Quando il tuo sito WordPress viene hackerato, puoi perdere il tuo posizionamento nei motori di ricerca, esporre i tuoi lettori a virus, danneggiare la tua reputazione a causa di reindirizzamenti a siti web loschi e, peggio ancora, perdere tutti i dati del tuo sito.
Se il tuo sito web è un'attività commerciale, la sicurezza dovrebbe essere una delle tue priorità principali.
Ecco perché è fondamentale avere una buona società di hosting WordPress. Se puoi permettertelo, allora usa assolutamente l'hosting WordPress gestito, che si occuperà della sicurezza per te.
Assicurati di avere sempre una buona soluzione di backup per WordPress come Duplicator.
Infine, ma probabilmente il più importante, disponi di un robusto firewall per applicazioni web come Sucuri. Utilizziamo i loro servizi sui nostri siti web.
Tutte le informazioni di cui sopra sono ottime se non sei ancora stato hackerato, ma è probabile che se stai leggendo questo articolo, allora è probabilmente troppo tardi per aggiungere alcune delle precauzioni che abbiamo menzionato sopra. Quindi, prima di fare qualsiasi cosa, cerca di rimanere il più calmo possibile.
Diamo un'occhiata alla guida passo passo su come risolvere il tuo sito WordPress compromesso.
Passo 0 – Fatti aiutare da un professionista
La sicurezza è una questione seria e, se non ti senti a tuo agio a gestire codice e server, è quasi sempre meglio lasciare che sia un professionista a farlo.
Perché? Perché gli hacker nascondono i loro script in più posizioni, permettendo agli attacchi di ripetersi più e più volte.
Anche se ti mostreremo come trovarli e rimuoverli più avanti in questo articolo, molte persone vogliono avere la tranquillità di sapere che un esperto ha ripulito correttamente il loro sito web.
Quindi, se tieni al tuo tempo, non sei esperto di tecnologia, o se vuoi semplicemente stare tranquillo, allora puoi assumere un esperto di sicurezza WordPress.
Per tutti gli appassionati del fai-da-te, segui semplicemente i passaggi qui sotto per ripulire il tuo sito WordPress hackerato.
Passaggio 1. Identifica l'attacco hacker
Quando hai a che fare con un attacco hacker a un sito web, sei sotto molto stress. Cerca di rimanere calmo e annota tutto ciò che puoi sull'attacco hacker.
Di seguito è riportata una buona checklist da seguire:
- Riesci ad accedere al tuo pannello di amministrazione di WordPress?
- Il tuo sito WordPress viene reindirizzato a un altro sito web?
- Il tuo sito WordPress contiene collegamenti illegittimi?
- Google sta contrassegnando il tuo sito web come insicuro?
Annota l'elenco perché ti aiuterà mentre parli con la tua società di hosting o anche mentre segui i passaggi seguenti per correggere il tuo sito.
Inoltre, è fondamentale che tu cambi le tue password prima di iniziare la pulizia. Dovrai anche cambiare le tue password quando avrai finito di pulire l'attacco.
Passaggio 2. Contatta la tua società di hosting
La maggior parte dei buoni provider di hosting sono molto utili in queste situazioni. Hanno personale esperto che si occupa di questo tipo di cose quotidianamente e conoscono il loro ambiente di hosting, il che significa che possono guidarti meglio. Inizia contattando il tuo web host e segui le loro istruzioni.
A volte l'attacco potrebbe aver interessato più del tuo sito, specialmente se sei su hosting condiviso. Il tuo provider di hosting potrebbe anche essere in grado di fornirti ulteriori informazioni sull'attacco, come la sua origine, dove si nasconde la backdoor, ecc.
Dalla nostra esperienza, SiteGround e HostGator sono entrambi molto utili quando succede qualcosa del genere.
Potresti anche essere fortunato e l'host potrebbe ripulire l'attacco per te.
Passaggio 3. Ripristina dal backup
Se hai backup per il tuo sito WordPress, allora potrebbe essere meglio ripristinare da un punto precedente quando il sito non era stato hackerato. Se riesci a farlo, allora sei a posto.
Vedi il nostro tutorial su come ripristinare WordPress da backup per istruzioni passo passo.
Tuttavia, se hai un blog con contenuti giornalieri, rischi di perdere post del blog, nuovi commenti, ecc. In quei casi, valuta i pro e i contro.
Nel peggiore dei casi, se non hai un backup, o il tuo sito web è stato compromesso per molto tempo e non vuoi perdere i contenuti, puoi rimuovere manualmente l'exploit.
Passaggio 4. Scansione e rimozione malware
Guarda il tuo sito WordPress ed elimina tutti i temi e i plugin WordPress inattivi. Molto spesso, è qui che gli hacker nascondono il loro backdoor.
Il backdoor si riferisce a un metodo per aggirare l'autenticazione normale e ottenere la capacità di accedere al server da remoto rimanendo non rilevati. La maggior parte degli hacker intelligenti carica sempre il backdoor come prima cosa. Questo consente loro di riottenere l'accesso anche dopo che hai trovato e rimosso il plugin sfruttato.
Una volta fatto ciò, procedi e scansiona il tuo sito web alla ricerca degli exploit.
Ti consigliamo di installare il plugin Sucuri sul tuo sito web. Questo plugin ci ha aiutato a bloccare 450.000 attacchi WordPress in 3 mesi, inclusi 29.690 attacchi correlati a backdoor.
Esiste una versione gratuita di Sucuri che include la scansione malware, il rafforzamento della sicurezza e strumenti per verificare l'integrità dei file core di WordPress. La versione premium include funzionalità avanzate come la scansione lato server giornaliera che controlla ogni singolo file per backdoor e altri problemi di sicurezza.
Una volta installato e attivato il plugin, lo scanner Sucuri ti dirà lo stato di integrità di tutti i tuoi file core di WordPress. In altre parole, ti mostra dove si nasconde l'attacco.
I posti più comuni sono le directory dei temi e dei plugin, la directory uploads, wp-config.php, la directory wp-includes e il file .htaccess.
Hai due opzioni per correggere l'attacco qui. Puoi rimuovere manualmente il codice, oppure puoi sostituire quel file con il file originale.
Ad esempio, se hanno modificato i tuoi file core di WordPress, allora carica nuovamente file WordPress nuovi di zecca da un download fresco o tutti i file di WordPress per quella questione per sovrascrivere eventuali file interessati.
Lo stesso vale per i tuoi file del tema. Scarica una copia fresca e sovrascrivi i file corrotti con quelli nuovi. Ricorda, fallo solo se non hai apportato modifiche ai codici del tuo tema WordPress, altrimenti li perderai.
Ripeti questo passaggio anche per eventuali plugin interessati.
Vuoi anche assicurarti che la tua cartella del tema e dei plugin corrisponda a quelle originali. A volte gli hacker aggiungono file aggiuntivi che assomigliano al nome del file del plugin e sono facili da ignorare, come: hell0.php, Adm1n.php, ecc.
Abbiamo una guida dettagliata su come trovare un backdoor in WordPress e rimuoverlo.
Continua a ripetere questo passaggio finché l'attacco non sarà sparito.
Passaggio 5. Controlla i permessi utente
Controlla la sezione utenti di WordPress per assicurarti che solo tu e i membri fidati del tuo team abbiate accesso amministrativo al sito.
Se vedi un utente sospetto lì, eliminalo.
Puoi leggere la nostra guida per principianti ai ruoli utente di WordPress per maggiori dettagli.
Passaggio 6. Cambia le tue chiavi segrete
Dalla versione 3.1 di WordPress, WordPress genera un set di chiavi di sicurezza che crittografano le tue password. Ora, se un utente ha rubato la tua password ed è ancora connesso al sito, rimarrà connesso perché i suoi cookie sono validi.
Per disabilitare i cookie, devi creare un nuovo set di chiavi segrete. Devi generare una nuova chiave di sicurezza e aggiungerla nel tuo file wp-config.php.
Passaggio 7. Cambia di NUOVO le tue password
Sì, hai cambiato le password nel passaggio 1. Ora fallo di nuovo!
Devi aggiornare la tua password di WordPress, la password di cPanel / FTP / MySQL e fondamentalmente ovunque altro tu abbia usato questa password.
Ti consigliamo vivamente di utilizzare una password complessa. Leggi il nostro articolo su il modo migliore per gestire le password.
Se hai molti utenti sul tuo sito, potresti voler forzare un reset della password per tutti loro.
Andando Avanti – Rafforzare il tuo sito WordPress
Va da sé che non c'è sicurezza migliore che avere una buona soluzione di backup. Se non ne hai una, allora per favore metti in atto qualcosa per eseguire il backup del tuo sito quotidianamente.
Oltre a ciò, ecco alcune altre cose che puoi fare per proteggere meglio il tuo sito: queste non sono in ordine e dovresti farne quante più possibile!
- Configura un firewall per siti web e un sistema di monitoraggio – Sucuri è il provider che utilizziamo perché nella maggior parte dei casi bloccano gli attacchi prima che raggiungano il tuo server.
- Passa all'hosting WordPress gestito – La maggior parte delle società di hosting WordPress gestito si impegna al massimo per mantenere il tuo sito sicuro. Consigliamo SiteGround o WPEngine.
- Disabilita gli editor di temi e plugin – È una best practice. Ecco come disabilitare gli editor di temi e plugin in WordPress.
- Limita i tentativi di accesso in WordPress – Abbiamo recentemente trattato l'importanza di ciò e dovresti leggere come limitare i tentativi di accesso in WordPress.
- Proteggi con password la tua directory di amministrazione – Aggiungi un ulteriore livello di password alla tua area di amministrazione di WordPress. Vedi come proteggere con password la tua amministrazione di WordPress.
- Disabilita l'esecuzione di PHP in determinate directory – Aggiunge un ulteriore livello di sicurezza – ecco come disabilitare l'esecuzione di PHP tramite .htaccess.
E qualunque cosa tu faccia, mantieni sempre aggiornati il core di WordPress, i plugin e i temi! Per maggiori dettagli, consulta la nostra guida sull'ordine di aggiornamento corretto.
Ricorda, Google ha recentemente annunciato di aver apportato una nuova modifica all'algoritmo che influisce sui siti hackerati con risultati di spam. Quindi, assicurati di mantenere sicuro il tuo sito.
Speriamo che questa guida ti abbia aiutato a risolvere il tuo sito WordPress hackerato. Se hai ancora problemi, ti consigliamo vivamente di assumere un professionista o di chiedere alla tua società di hosting se possono aiutarti con la soluzione. Potresti anche voler consultare la nostra guida definitiva alla sicurezza di WordPress o le nostre scelte di esperti dei migliori plugin di sicurezza WordPress.
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Jiří Vaněk
In WordPress, i backup regolari sono senza dubbio la cosa più importante. Li gestisco usando Duplicator, che consente backup automatici che possono essere caricati su Google Drive. Se il sito web viene compromesso, è bene avere backup di almeno qualche settimana fa e, per maggiore sicurezza, un backup di base che funga da ripristino. Non è necessario che contenga tutto, ma dovrebbe includere una versione funzionante del sito web così come è stato inizialmente configurato. Per quanto riguarda i provider, come menzionato nell'articolo, possono spesso essere molto utili attraverso il supporto clienti gratuito. Molte volte, dispongono di strumenti professionali a pagamento per rilevare codice dannoso. Se non altro, possono almeno guidare il proprietario del sito web ai file dannosi e determinare se il problema risiede nel core, nei plugin o nel tema. Personalmente, sono stato grato per l'assistenza del provider e sono sempre stati molto utili, almeno con il rilevamento di base.
Dayo Olobayo
Sebbene questa guida sia eccellente per reagire a un attacco, la migliore difesa rimane ancora un attacco forte. Raccomando di implementare una soluzione di backup automatizzata che memorizzi i backup off-site. Inoltre, considera l'utilizzo di un plugin di sicurezza con monitoraggio del sito web per identificare le vulnerabilità prima che vengano sfruttate.
Jiří Vaněk
Sì, è corretto. La chiave per prevenire gli attacchi è principalmente la prevenzione. Come hai menzionato, i backup automatici sono essenzialmente un must per ogni proprietario di sito WordPress. WordPress è uno strumento fantastico, ma poiché alimenta il 40% di tutti i siti web, è il bersaglio numero uno per gli hacker. Per quanto riguarda gli strumenti di monitoraggio, non ne ho ancora trovato nessuno veramente efficace. Pertanto, mi sono affidato alla protezione di CloudFlare, ai miei backup e alla prudenza. Ciò significa principalmente aggiornamenti tempestivi dei componenti del sito web, misure di sicurezza di base e l'utilizzo di plugin e temi solo da fonti verificate (la minaccia più grande proviene dalle versioni nulled di plugin e temi).
mohadese esmaeeli
Se hai definito indirizzi email inutilizzati sull'host, assicurati di eliminarli. Il monitoraggio è un'attività cruciale per una migliore stabilità e dovrebbe continuare. Assicurati che il tema, il core e i plugin di WordPress siano aggiornati e che l'esistenza di bug di sicurezza non rappresenti un rischio per il tuo sito. Aumentare i livelli di sicurezza ridurrà la probabilità di essere hackerati.
Unarine Leo Netshifhefhe
La società di hosting mi ha fornito un elenco di file che potrebbero essere infetti, quindi li ho cancellati tutti ma vedo ancora lo stesso errore quando provo ad aprire il sito dal mio admin... C'è ancora quel reindirizzamento a una pagina con vinci un concorso, come posso essere sicuro che tutto sia stato ripulito?
Supporto WPBeginner
Consiglieremmo le opzioni in questo articolo per controllare i file e chi consiglieremmo per assistenza professionale.
Amministratore
ChayanChakrabarti
Il mio WordPress è stato hackerato e me ne sono accorto qualche giorno fa. Stavo cercando soluzioni su Internet e poi ho trovato un articolo che mi dava istruzioni chiare. Implementerò questi passaggi e scriverò un altro commento con la soluzione.
Supporto WPBeginner
Glad our guide could be helpful
Amministratore
NancyL
Ciao, a che punto rinunci a un sito web, compri un nuovo dominio e un nuovo webhost??? Ci sto provando da 2 settimane. Non riesco ad accedere al cpanel o all'area admin di wp. L'email di 'suggerimento' per cambiare la mia password del cpanel ha ovviamente un'email di hacker. Ho eseguito una scansione Norton a pagamento sul mio computer locale e dice che va bene. Se cambio la mia password nell'area admin di wp, ricevo l'email, e poi appare una grande schermata rossa di avviso che dice che non è sicura. Suggerimenti? Il mio webhost ha eliminato tutti gli utenti/membri e ha cambiato il prefisso del database. CONTINUO a ricevere email di hacker che cercano di cambiare la mia password.
Supporto WPBeginner
Per proteggerti da parte di questo, dovresti guardare al passaggio 2 nel nostro articolo qui:
https://www.wpbeginner.com/wp-tutorials/11-vital-tips-and-hacks-to-protect-your-wordpress-admin-area/
per proteggere con password la tua area wp-admin. Per il tuo cpanel dovresti contattare il tuo provider di hosting e loro saranno in grado di aiutarti a impostare quella password. Per quel messaggio non sicuro, c'è normalmente una ragione sotto l'avviso che indicherebbe il problema, come il fatto che il tuo sito non sia su https
Amministratore
Don
Hack di WordPress. Ho ricevuto il seguente messaggio da Dreamhost:
I seguenti file sono stati identificati specificamente come malware aggiunto dall'attaccante. Dovrai controllare questi file e sostituirli con versioni note e corrette o rimuoverli del tutto:
/home/unused_domains/sitename.com/plugin.php
/home/unused_domains/sitename.com/system.php
Come potrei sostituirli? E con cosa? Questo è un po' al di sopra delle mie competenze ed è probabilmente una domanda stupida, ma sono completamente all'oscuro riguardo a questo.
Supporto WPBeginner
Puoi usare FTP per rimuovere quei file: https://www.wpbeginner.com/beginners-guide/how-to-use-ftp-to-upload-files-to-wordpress-for-beginners/
A meno che tu non abbia una configurazione che ha aggiunto quei file, questi non sono tipicamente file normali di WordPress da avere sul tuo sito.
Amministratore
Arthur
Non riesco nemmeno ad accedere al mio sito, cgi-sys/suspendedpage.cgi appare alla fine del link e dice che l'account è sospeso
Supporto WPBeginner
Normalmente è qualcosa aggiunto dal tuo provider di hosting, dovresti contattare il tuo host per farlo rimuovere.
Amministratore
Karissa Skirmont
Ciao Syed,
Sapevi che questo articolo è collegato da Google come risorsa per le persone il cui sito è stato violato?
Stavo affrontando un problema simile e sono rimasto piacevolmente sorpreso quando il link che ho cliccato in fondo all'email era questo.
Era il secondo punto:
[…]
Ulteriore assistenza?
• Leggi le nostre risorse per siti violati per informazioni dettagliate su come riparare il tuo sito.
• Pulisci i contenuti violati in modo che il tuo sito soddisfi le Linee guida per i webmaster di Google.
• Poni domande nel nostro forum per ulteriore aiuto – menziona il tipo di messaggio [WNC-633200].
[…]
Supporto WPBeginner
Ehi Karissa,
Glad to hear that and thanks for sharing
Amministratore
Anna Mary
Il mio sito web è stato hackerato, ho provato a reimpostare la password ieri sera e ho ricevuto un codice di sicurezza nella mia email da cPanel. Ho inserito questo codice di sicurezza e ho premuto il pulsante di reimpostazione, ma sfortunatamente la mia connessione internet si è interrotta improvvisamente. Oggi, quando provo a reimpostare di nuovo questa password e inserisco il mio stesso indirizzo email, cPanel mi risponde che "La tua email non corrisponde ai nostri record".
Cosa fare
Per favore, aiutami
Supporto WPBeginner
Ciao Anna Mary,
Si prega di contattare la società di hosting di WordPress. Potrebbero essere in grado di aiutarti a recuperare il tuo account.
Amministratore
Ravi Kumar
Il mio sito web è stato hackerato, non sono riuscito ad aprire il pannello di amministrazione, mostra l'errore "Questo sito non è raggiungibile", qualcuno può aiutarmi a risolvere questo problema.
Rishabh Jain
Potresti aver dimenticato la password!
Adam
Di solito succede quando si utilizza un hosting economico o si lascia il sito WordPress obsoleto e non presidiato.
asifawan
grazie… è molto molto utile per i principianti.. grazie mille
vaishali
Ciao.. Il mio sito WordPress è stato hackerato. Sto rimuovendo tutti i tipi di errori e codici dannosi. Ma quando ho cercato il mio sito su Google, il primo indice mostrava alcuni caratteri giapponesi.
Per favore, aiutami a rimuoverli...
Paul Prem
Recentemente il mio sito è stato completamente hackerato. Era costruito in WordPress. Gli hacker hanno preso il controllo del mio sito web. Usavano per inviare email di spam in massa dal server. Il mio account è stato sospeso più volte. Il provider di hosting mi ha detto che gli hacker stavano generando email di spam tramite alcuni plugin. Ero letteralmente confuso e senza idee. Successivamente ho cambiato nome utente e password per admin, cpanel, mysql ecc. ma continuavano a inviare spam. Dopo alcune ricerche, ho aggiunto sicurezza aggiuntiva e limitato l'accesso ai file. Vediamo come funziona…
G.P. Gautam
Ho spostato il mio sito su WordPress e dopo pochi giorni ho visto un messaggio – “Hacked by Mr.XaaD” quando cercavo il mio sito sui motori di ricerca. Cos'è e come risolverlo. Al momento non riesco a vedere il mio sito sui motori di ricerca. Ma riesco ad accedere al mio account wp e all'account di hosting.
Timothy
Ciao, il mio sito è appena stato hackerato. Al momento non riesco ad accedere al mio account e non voglio contattare la mia società di hosting perché invece di aiutare, sono soliti sospendere gli account. Per favore, cosa posso fare perché non posso nemmeno permettermi di pagare per l'aiuto in questo momento.
ed williams
A lot of these articles seem to focus on fixing instead of preventing
I host my site at a managed hosting provider for this reason. Here is what a hosting provider can do to keep you safe:
Tom Horn
Google mostrava il mio blog come potenzialmente hackerato. Ho usato Sucuri per ripulire il mio sito e Google ha rimosso questa etichetta. Durante tutto questo, le visualizzazioni di pagina del mio sito sono crollate e non riesco a riportarle a dove erano. Qual è il processo migliore per riportare il traffico del tuo blog al livello precedente?
Federico
Perché non menzioni mai iPage? Apprezzerei i tuoi commenti, se ce ne sono, per favore!
Grazie!
Kathy O'Dowd
Back Up Buddy vende prodotti che non includono istruzioni su come usarli. Non ti sembra una truffa?
Supporto WPBeginner
BackupBuddy ha una vasta documentazione disponibile sul proprio sito web.
Amministratore
Sourav Saha
Ma come proteggere un sito WordPress dall'iniezione SQL?