Come identificare un sito WordPress violato

Pubblicato: 2017-04-14

Un sito WordPress violato il più delle volte mostra diversi sintomi. In questo post descriveremo quali sono questi sintomi e ti forniremo alcuni strumenti per identificare se il tuo sito Web è interessato da uno o da tutti.

I sintomi di un sito WordPress violato

La maggior parte dei sintomi implica che il tuo sito Web si comporta in modo strano, così come file dall'aspetto strano e codice HTML che iniziano a comparire a destra ea sinistra. Vediamoli uno per uno!

1. Il tuo sito web inizia a inviare spam

Sebbene sia molto più facile identificare lo spam in entrata che in uscita, ci sono un paio di cose che puoi fare per vedere se qualcuno sta usando il tuo sito per inviare spam:

  • Controlla i tuoi log di posta (di solito si trovano in /var/log). Visualizzazione di una quantità insolita di e-mail bloccate con un messaggio di errore 550 Sender vietato dal messaggio di errore SPF è considerato sospetto. Soprattutto se hai record SPF configurati per il tuo dominio. Allora è sicuramente una bandiera rossa.
  • Esistono vari siti Web, come MXToolbox e UltraTools RBL Database LookUp, che possono dirti se il tuo sito è stato inserito nella lista nera come fonte di spam. Ce ne sono molti disponibili e devi cercarne quanti ne trovi. Non essere nella lista nera in uno non significa che sei chiaro al 100%.

2. Il tuo sito web ti reindirizza da qualche altra parte.

Questo è probabilmente il sintomo più facile da individuare. Quando visiti il ​​tuo sito web, invece di visualizzare la tua pagina web, vieni reindirizzato in un posto strano. Prima di tutto, controlla se i tuoi record DNS sono cambiati e ora punta a un indirizzo IP diverso.

 Se i tuoi record DNS sembrano a posto, è molto probabile che ci sia qualcosa nella tua pagina HTML che causa quel reindirizzamento. Prova a disabilitare il supporto Javascript del tuo browser e controlla di nuovo se il tuo sito web ti sta reindirizzando. Se il reindirizzamento persiste, è un segno che altre aree del tuo sito Web sono molto probabilmente manomesse (il tuo database, il file .htaccess del tuo sito Web o la configurazione del tuo server Web).

3. Il tuo sito web contiene iframe sospetti.

Un iframe è un documento HTML "incorporato" all'interno di un altro HTML, che viene utilizzato per visualizzare il contenuto da un'altra fonte, solitamente pubblicità. Gli iframe visibili sono facili da individuare, tuttavia, la maggior parte di essi è così piccola (a volte richiede solo un paio di pixel!) che puoi facilmente perderli. Apri il tuo file HTML in un editor e cerca i tag <iframe> che tentano di connettersi a URL sconosciuti o dall'aspetto sospetto. Commentarli inserendoli all'interno di tag di commento HTML <!–. Non dovresti fermarti qui, perché probabilmente se hai dei file HTML manomessi, significa che il tuo sito web è decisamente compromesso e che potrebbero esserci altri punti in cui il tuo sito web è stato manomesso.

4. Il tuo sito Web apre i popup al caricamento.

Anche questo è un segnale facile da individuare. Il tuo sito Web carica finestre pop-up che sono chiaramente fuori posto. Alcuni di loro, chiamati pop-under, sono più insidiosi. Questi non sono visibili quando visiti il ​​tuo sito web ma vengono caricati in background. Tuttavia, se riduci a icona il browser, li vedi immediatamente, occupando solitamente gran parte dello schermo.

Ospita il tuo sito web con Pressidium

GARANZIA DI RIMBORSO DI 60 GIORNI

GUARDA I NOSTRI PIANI

5. File PHP confusi e dall'aspetto strano.

Scoprire file PHP che sembrano incomprensibili come il seguente esempio è sempre un chiaro segnale di avvertimento che qualcuno ha manomesso il tuo sito web:

<?php eval(“\145\166\141\154\050\142\141\163'==QfgsDdphXZgsTKog2c1xmZgszJ+QHcpJ3Yz […]

Il termine tecnico per questi tipi di file è "offuscato". L'offuscamento è una tecnica comune utilizzata dagli hacker per nascondere l'origine di un codice solitamente malevolo o rendere molto difficile la lettura e la comprensione della sua funzione

6. Backdoor, webshell, account amministratore

Le Webshell sono programmi che possono essere utilizzati dagli hacker per connettersi in remoto e ottenere l'accesso amministrativo completo al tuo sito web. Questi programmi consentono l'accesso web remoto alla shell del tuo server (da cui il termine webshell) in modo che chiunque si connetta ad essi possa eseguire comandi. È probabile che se trovi un file PHP offuscato da qualche parte, è una webshell.

Gli hacker possono anche creare account con diritti amministrativi per utilizzarli come backdoor. Questi sono relativamente facili da trovare poiché sono visibili nel backend di WordPress o nel tuo database.

Strumenti per aiutarti a identificare attività sospette

Esistono diversi strumenti che possono aiutarti a identificare se il tuo sito Web è stato manomesso. Se pensi di essere stato compromesso o infettato, è una buona idea controllare il tuo sito web utilizzandoli tutti. In questo modo otterrai una visione più arrotondata, perché non tutti questi servizi controllano le stesse cose. Tutte le risorse seguenti sono gratuite e richiedono solo di digitare l'URL del tuo sito web.

In particolare, se ritieni di essere stato infettato da iframe, popup, reindirizzamenti e altre bestie javascript dannosi, i seguenti siti Web te lo faranno sapere immediatamente:

  1. SiteCheck di Sucuri e unmaskparasites . Questi controlleranno la presenza di malware noto, se il tuo sito Web è nella lista nera e molto altro.
  2. Rapporto sulla trasparenza di Google . Questo ti mostrerà se il tuo sito web è considerato "pericoloso da visitare" secondo Google.
  3. VirusTotal è un servizio gratuito in grado di analizzare URL e file per verificare se contengono contenuti dannosi.
  4. Scanner di malware per siti Web online gratuito di PC Risk. Cerca nel tuo sito ""codice dannoso, iframe nascosti, exploit di vulnerabilità, file infetti e altre attività sospette".
  5. Scanner di malware per siti Web gratuito di Quttera . Cerca nel tuo sito "script sospetti, media dannosi e altre minacce alla sicurezza web nascoste in contenuti legittimi e che si trovano su siti web". Produce un rapporto sulla sicurezza, con ogni risultato classificato in base al livello di minaccia.

Esistono anche diversi plugin per WordPress che ti aiutano a mantenere sicuro il tuo sito WordPress. Assicurati di controllare anche questa eccellente guida ai 7 migliori plugin di sicurezza per WordPress di InfoSec.

È della massima importanza ripulire il tuo sito non appena trovi contenuti dannosi e correggi le sue vulnerabilità. Un sito Web compromesso significa interruzioni o comportamenti anomali che possono e in definitiva influenzeranno il sostentamento della tua attività!