Come ripristinare un sito WordPress hackerato?

Scoprire che il proprio sito WordPress è stato hackerato, spesso senza motivo, è una delle cose più fastidiose che può capitare a chi possiede un sito web.

Ma dopo l’aver superato la fase “perché proprio io?”, è importante rimboccarsi le maniche ed intervenire sul problema per limitare il più possibile i danni perché questo tipo di azione avrà una ricaduta sulla reputazione online e sui risultati dei motori di ricerca.

Vediamo allora quali sono i passaggi seguire per affrontare e risolvere il tuo problema di hacking.

Come ripristinare un sito WordPress hackerato

Fase Uno: Backup!

Non dimenticherai mai di fare un backup. Qualunque operazione si compia su un sito WordPress, che si tratti di un aggiornamento del tema o dell’installazione di un nuovo plugin, è fondamentale avere sempre una copia di backup.

Anche nel caso che il tuo sito WordPress sia stato hackerato è importante avere una copia dei dati, così da poter recuperare eventuali file perduti durante le operazioni di ripristino.

Se il tuo provider non effettua un backup automatico dello spazio web consentendoti di scaricarlo sul tuo pc ( cambialo! :) ) puoi utilizzare un software FTP, come Filezilla o Cyber Duck, per accedere al tuo spazio web.

Scarica quindi una copia del tuo sito sul tuo hard disk ed effettua una copia di backup del database accedendo al pannello di controllo del tuo sito web (lato provider). Terminato il backup? Possiamo iniziare.

Fase Due: Scarica una copia dei file di WordPress

Scarica ora l’ultima versione aggiornata di WordPress dalla repository principale su wordpress.com e verifica confronta le caratteristiche minime con quelle del tuo spazio web.

Ricorda: Durante la nostra operazione di ripristino del tuo sito WordPress hackerato non ci occuperemo di sovrascrivere i file, sarà invece fondamentale cancellare quanto esistente e ricaricare una nuova copia del CMS.

Accedi quindi via FTP, cancella tutti quanti i file che si trovano sulla root (ad esclusione del file wp-config.php, del file .htaccess e della cartella wp-content che vedremo in un secondo momento).

Attendi la fine del processo di cancellazione dei file e, solo al termine, procedi con ricaricare, dalla copia scaricata:

  • la cartella wp-admin
  • la cartella wp-include
  • il resto dei file presenti nella cartella (P.S. puoi evitare di caricare il file wp-config-sample.php)

Terminato il caricamento dei file prova ad accedere alla tua installazione WordPress, verifica che si veda il Pannello di Amministrazione (www.tuosito,estensione/wp-admin) e il front-end.

Se non dovesse vedersi in questo momento ancora non ci preoccupa, potrebbe semplicemente esserci un conflitto tra i plugin (vecchi) e la nuova versione WordPress.

Fase tre: Aggiorna i plugin

Il prossimo passaggio è quello di intervenire nella cartella plugin e nella cartella del tema per ripristinare, anche qui, i file che possono essere stati corrotti dalla hackeraggio.

Accedi via FTP alla cartella dei plugin (wp-content/plugin) e verifica che non ci siano cartelle con nomi “strani” o che non ti convincono, ( Se cosi fosse copia e incolla il nome su google e verifica se corrisponde a qualcosa di sensato).

Procedi scaricando i plugin Free dalla repository di WordPress e quelli Premium dai siti degli sviluppatori dove lì hai acquistati.

Nel caso tu non li abbia acquistati singolarmente ma insieme al tema li installeremo in un secondo momento.

È fondamentale, anche in questa fase, cancellare e ricaricare le cartelle senza sovrascrivere quelle esistenti. Spesso gli hacker intervengono modificando file esistenti e creandone di nuovi e, in caso di sovrascrittura senza cancellazione, rischieremmo di non eliminare i file nuovi ma solamente dei sovrascrivere quelle esistenti, rischiando di lasciare delle falle nel nostro sito.

Non ricordi o non sai quali sono i plugin installati?

Se hai accesso all’area di amministrazione del tuo sito WordPress procedi così:

  1. Clicca sulla voce “Plugin”
  2. Sotto il nome del plugin troverai un pulsante “Visualizza” dettagli
  3. Nella finestra che si aprirà clicca sulla voce “Pagina dei plugin di WordPress.org o su Homepage del plugin”
  4. Scarica un nuova copia del plugin
  5. Decomprimi il file scaricato (in genere è in formato zip)
  6. Apri il tuo software FTP e accedi alla cartella plugin (wp-content/plugin)
  7. Cancella la singola cartella del plugin e ricarica quella appena scaricata

Se non hai accesso al backend del tuo sito:

  1. Apri il tuo software FTP e accedi alla cartella plugin (wp-content/plugin)
  2. Copia il nome esatto della cartella su Google
  3. Scarica il plugin corrispondente
  4. Decomprimi il file scaricato (in genere è in formato zip)
  5. Verifica che il nome della cartella sia lo stesso della cartella presente dentro l’FTP
  6. Se i nomi corrispondono cancella la cartella via FTP e ricarica quella nuova

Consiglio: per praticità ordino le cartelle per data modifica. in questo modo so sempre quali sono i plugin su cui ho già lavorato e quali quelli da lavorare. Cancello la cartella e  subito ricarico quella nuova per evitare che in questi passaggi possa sfuggirmi un plugin.

Fase quattro: Aggiorna il tema

Passiamo quindi all’aggiornamento del tema, anche in questo caso dovremmo andare a riscaricare il tema originale dal sito dove l’abbiamo preso, che sia acquistato oppure scaricato dalla repository di WordPress, e procedere ricaricandolo da zero.

Nel caso tu non sia stato ligio alle “Buone pratiche della realizzazione di un sito WordPress” e non abbia creato un tema Child, dovrai ricordarti di appuntare tutte quante le modifiche che hai fatto al tema principale.

Ricorda: è importante creare sempre un tema Child e non lavorare mai sul tema originale. Questo passaggio ci consente di apportare le modifiche necessarie al nostro sito e di continuare ad aggiornare il tema principale con i rilasci fatti dai creatori del tema, senza rischiare di perdere il nostro lavoro nelle fasi di aggiornamento.

Quindi, anche in questo caso, scarichiamo il tema originale, cancelliamo dalla cartella, tramite FTP, il tema e ricarichiamo quello scaricato (puoi trovare i temi nel percorso wp-content/themes).

Se il tema è completamente personalizzato, invece, puliscilo da eventuali infezioni tramite la verifica manuale del file (spesso vengono compromessi inserendo in testa ai files delle funzioni che accettano comandi esterni tramite $_POST o $_GET).

Quindi cancella e ricarica i file puliti tramite FTP.

Fase cinque: La cartella uploads

Procedi quindi a verificare quanto contenuto nella cartella degli upload, cartella che contiene le immagini del tuo sito (generalmente suddivise per anno e mese) ed elimina tutti i files estrani (come i *.php che non dovrebbero esserci).

Volendo scarica tutta la cartella sul tuo pc/mac ed esegui anche una scansione con un buon antivirus e successivamente ricarica via FTP la cartella, cancellando sempre la precedente. Questa cartella deve contenere solo ed esclusivamente file di immagine o file pdf.

Nella cartella potrebbero essere presenti delle cartelle specifiche create dai plugin installati, in questo caso dovrai scaricare e verificare manualmente il contenuto dei file.

Fase sei: Wordfence plugin

Se tutto è andato bene a questo punto accedi al Backend di WordPress e verifica che il tema, lato utente, sia visibile e funzionante in tutte le sue parti. Nel caso in cui il sito non si vedesse potresti avere un problema di incompatibilità con la versione di php installata o di conflitto tra tema e plugin.

Per verificare la versione di php installata accedi al pannello di controllo del tuo spazio web presso il provider e controlla la versione attiva. Provider come Serverplan o Aruba ti consentono di gestire in autonomia la versione PHP.

Se il tuo provider non ti consente la modifica manda un ticket all’assistenza chiedendo l’aggiornamento del PHP alla versione più recente (o quella compatibile con la tua versione di WordPress installata ).

Presupponendo che il tuo sito sia visibile e funzionante (se cosi non fosse contattaci per un’analisi del tuo sito WordPress) accedi quindi al pannello al pannello di amministrazione di WordPress e installa il plug-in Wordfence (Plugin –> Aggiungi nuovo ).

Il plugin Wordfence

Configura il plugin con la licenza che preferisci ( l’esempio è con la  licenza gratuita ) e apri la voce “All Options” .

Nella sezione Scan Options apri la tab “General Options” e seleziona tutte le voci disponibili.

Accedi quindi alla sezione Scan, avvia la scansione del sito e attendi il risultato.

Se tutto quanto è andato a buon fine non dovresti trovare file Critici ( segnalati in rosso ) ne file Medi ( segnalati in giallo ) perché tutti i Plugin sono stati aggiornati.

Nel caso in cui ci fossero invece segnalazioni clicca sulla voce “dettaglio” presente su ogni errore riscontrato e verificando il file è il tipo di errore. In alcuni casi sarà il plugin stesso ad indicare la correzione o a riparare il file su tua richiesta, in altri casi dovrei intervenire manualmente.

Nel momento in cui Wordfence non rileva nessun file corrotto e se il tuo sito si vede regolarmente la pulizia del sito è avvenuta in modo corretto.

Ricordati, al termine della pulizia, di fare un backup di sicurezza perché potrà sempre tornare utile in futuro.

Consiglio: Terminata questa operazione, e verificato che il sito si vede regolarmente, cancella la copia di backup che hai fatto all’inizio di questo tutorial, conserva giusto la copia della cartella Uploads ripulita.

Fase sette: controlla il provider

Nell’ultima fase della pulizia del nostro sito WordPress Hackerato è importante effettuare una verifica nel pannello di controllo del provider. Accedi quindi al pannello di controllo e monitora alcune di queste situazioni che ci sono capitate nel corso del tempo:

  • Verifica che non siano state create delle mail fasulle, degli alias di posta o che nelle tue mail attive non siano stati importati Forward/Inoltri sconosciuti o filtri che non hai mai attivato.
  • Se presente, accedi alla sezione dei CronJob, verifica e cancella i processi Cron sconosciuti. Spesso è capitato che venissero impostati dei processi che ricreavano i file appena cancellati, rendendo la pulizia appena terminata inefficacia. Nel caso in cui tu stia vivendo questa situazione e non puoi operare nei Cron contatta subito l’assistenza del tuo provider
  • Se disponibile esegui una scansione antivirus all’interno del tuo spazio web.
  • Cambia la password di accesso al pannello di controllo del provider e al tuo ftp e, se possibile, attiva l’autenticazione a 2 fattori o blocca gli accessi FTP da IP sconosciuti.

Conclusioni

Portati a termine questi 7 passaggi possiamo considerare il sito pulito. Sarà nostra cura verificare nelle settimane a seguire che la problematica non si verifichi nuovamente.

Lo step successivo a questa a questi passaggi è verificare che l’attacco hacker al nostro sito WordPress non abbia compromesso il posizionamento del nostro sito e che i nostri utenti riescano a raggiungere il nostro dominio senza ricevere alert dai loro sistemi antivirus.

Ma questo è il prossimo tutorial :)

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Sentitevi liberi di contribuire!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito è protetto da reCAPTCHA e da Googlepolitica sulla riservatezza e Termini di servizio fare domanda a.