Sito Web WordPress violato? 10 passaggi per rimetterti in carreggiata
Pubblicato: 2021-12-20Quando il tuo sito Web WordPress viene violato, un milione di cose ti passano per la mente. Cosa hanno trovato, cambiato e rubato gli hacker? Chi altro è in pericolo: anche i tuoi dipendenti, partner o clienti sono a rischio? E come sono entrati gli hacker nel tuo sito in primo luogo?
Prima di poter fare i passi successivi, devi mantenere la calma. La verità è che gli hack accadono, indipendentemente da quanto tu creda che il tuo sito sia ben protetto. La buona notizia è che questo è un evento comune e ci sono cose da fare stabilite per iniziare ad affrontare subito.
Inoltre, a volte i siti web impazziscono un po', non significa che sei stato violato. Un sito Web che si comporta in modo anomalo, un aggiornamento malfunzionante o un commento strano su un post del blog non sono segni infallibili che il tuo sito sia stato violato. Ti consigliamo di scavare più a fondo per assicurarti di sapere con cosa hai a che fare prima di provare a risolvere il problema sbagliato.
Come sapere se il tuo sito Web WordPress è stato effettivamente violato
Ecco i segni che hai a che fare con un hack in buona fede: si spera che tu possa dire "no" a tutto in questo elenco. (E se no? Abbiamo molto più aiuto per te.)
- Non riesci ad accedere al tuo sito Web WordPress.
- Hai notato un forte calo del traffico.
- Ci sono modifiche al sito web che non hai apportato.
- Il tuo sito web sta reindirizzando a un altro sito.
- Quando qualcuno tenta di accedere al sito Web o addirittura di cercarlo su Google, viene visualizzato un avviso.
- I registri del server mostrano attività insolite.
- Il tuo plug-in di sicurezza o il provider di hosting ti ha informato che si è verificata una violazione o un'attività insolita.
Entriamo un po 'di più in alcuni di questi.
Impossibile accedere al sito Web
Il motivo più comune per cui qualcuno non può accedere al proprio sito Web non è un hack: è perché ha dimenticato la password (o pensa di conoscerla ma in realtà non lo sa). Reimposta la password per vedere se è questo il problema.
Ora, se non riesci a reimpostare la tua password, ciò potrebbe indicare un potenziale hack. Gli hacker spesso rimuovono un utente o cambiano la password per impedirgli di accedere al sito. Se non riesci a reimpostare la password, potrebbe essere perché qualcuno ha rimosso il tuo account utente. I nomi utente che contengono quanto segue sono particolarmente facili da hackerare:
- amministratore
- Amministratore
- Radice
- Test
Inoltre, se sei in grado di reimpostare la tua password ma noti altre bandiere rosse che abbiamo elencato, potresti comunque essere vittima di un hack, quindi continua a leggere.
Calo del traffico
Quando un sito Web ad alte prestazioni smette di vedere un afflusso di traffico senza motivo noto, è possibile che sia stato violato. Il traffico reindirizzato, un'esperienza utente ridotta o l'inserimento nella lista nera del tuo sito da parte di Google possono causare il crollo del traffico.
Modifiche al sito Web non riconosciute
Spesso, gli hacker cambiano il tuo sito web in modi grandi e ovvi o piccoli e difficili da catturare. Potrebbe essere chiaro come la home page è sopraffatta dagli annunci o il tema è completamente diverso. Oppure, potrebbe essere difficile da trovare come piccoli collegamenti nascosti nel piè di pagina. È anche comune che il contenuto aggiunto sia di natura illegale.
Spesso, questo tipo di contenuto aggiunto e imprevisto non si adatta allo schema di progettazione o non tiene conto della presentazione. Ciò significa che potrebbe esserci un annuncio nero su una parte nera del sito Web, mantenendone gran parte nascosta.
Puoi anche vedere se sono state aggiunte pagine al tuo sito eseguendo una ricerca su Google per site:yoursite.com (sostituendo yoursite.com con l'URL effettivo). Scorri i risultati per vedere se c'è qualcosa che non riconosci.
Prima di presumere che si tratti del lavoro di un hacker, controlla con il resto del tuo team per scoprire se qualche amministratore o editore ha apportato la modifica. Anche un cambiamento stravagante avrebbe potuto essere un completo incidente.
Reindirizzamenti del sito Web da qualche altra parte
È normale che gli hacker aggiungano uno script al tuo sito Web che reindirizza i visitatori altrove, come un sito di incontri o qualcosa di spiacevole. Potresti non notarlo tu stesso, poiché alcuni hacker mostreranno i reindirizzamenti solo ai non amministratori, quindi ti sembrerà normale. Ma se ricevi feedback dai visitatori che vengono inviati a un altro sito, ascolta.
Avvisi del browser o di Google
Sì, un avviso del browser che dice che il tuo sito è stato compromesso potrebbe indicare che il tuo WordPress è stato violato... o potrebbe significare che c'è del codice in un plugin o in un tema che deve essere rimosso. Potrebbe anche esserci un problema di dominio o SSL, che probabilmente il tuo host può aiutarti a capire. L'avviso del browser potrebbe fornire alcune informazioni che puoi utilizzare per iniziare a risolvere il problema.
Un avviso di Google è simile, anche se più semplice: probabilmente dirà "Questo sito potrebbe essere stato violato". Ciò può accadere quando la mappa del sito di un sito Web viene violata, il che influisce sul modo in cui Google esegue la scansione del sito. Come con un avviso del browser, devi prendere tutte le informazioni che ti vengono fornite per iniziare a diagnosticare il problema.
Se continui a sentire dagli utenti che il tuo sito è segnalato, è possibile che stiano ricevendo un avviso dal loro prodotto antivirus. Anche se Google ti inserisce nuovamente nella whitelist, dovrai seguire le istruzioni per i prodotti antivirus per rimuoverti dall'elenco dei siti Web pericolosi.
Attività insolita nei registri del server
Se sei preoccupato di essere stato violato, accedi al tuo cPanel tramite il tuo provider di hosting. Ci sono due tipi di log da esaminare:
- Registri di accesso: chi ha effettuato l'accesso al tuo sito WordPress e attraverso quale IP.
- Registri degli errori: errori che si sono verificati durante la modifica dei file di sistema di WordPress.
Cerca qualsiasi attività insolita. Se trovi indirizzi IP che non dovrebbero avere accesso al tuo sito, bloccali.
Capire perché e come vengono hackerati i siti Web WordPress
Ci sono una serie di ragioni per cui WordPress è violato. I primi tre sono:
- Password non sicure: ogni utente del tuo sito, insieme ai tuoi account FTP e di hosting, ha bisogno di una password altamente sicura.
- Software obsoleto: i plug-in , i temi e l'installazione di WordPress devono essere aggiornati regolarmente ogni volta che esce una nuova versione. Senza aggiornamenti, lasci le vulnerabilità di cui gli hacker possono trarre vantaggio.
- Codice non sicuro: plugin e temi WordPress di bassa qualità possono mettere a rischio il tuo sito.
Esistono diversi metodi esperti utilizzati dagli hacker e le tecniche migliorano continuamente. Man mano che i siti diventano più sicuri, gli hacker diventano più intelligenti e più creativi. Ecco solo alcuni dei percorsi principali che vengono presi per hackerare WordPress:
- Backdoor: un hack backdoor aggira tutti i metodi tradizionali per accedere al tuo sito. L'hacker può trovare un modo per entrare attraverso file o script nascosti.
- Tentativi di accesso a forza bruta: l' automazione viene utilizzata per capire la tua password e accedere al tuo sito. Più debole è la password, più facile sarà decifrare.
- Cross-Site Scripting (XSS): questa è una vulnerabilità che si trova spesso nei plugin. Vengono iniettati script che consentono a un hacker di inviare codice dannoso al browser dell'utente.
- Denial of Service (DoS): se c'è un bug o un errore nel codice del sito web, l'hacker può usarli per sopraffare un sito fino a quando non si rompe.
- Reindirizzamenti dannosi: una backdoor viene utilizzata per reindirizzare il tuo sito.
- Pharma Hacks: il codice canaglia viene inserito in una versione di WordPress non aggiornata.
10 passaggi per recuperare un sito Web WordPress che è stato violato
Se sei stato violato, procedi come segue il prima possibile. Cerca di mantenere la calma mentre scorri questo elenco: il panico renderà solo più difficile lavorare in modo efficiente e potresti perdere passaggi importanti lungo il percorso.
Metti il tuo sito in modalità di manutenzione
Se riesci ad accedere al tuo sito web e ad effettuare il login, mettilo in modalità di manutenzione. (Abbiamo un articolo approfondito sulla modalità di manutenzione qui.) Vuoi farlo anche se non c'è nulla di ovvio che gli utenti vedranno quando visitano il tuo sito. Mentre ci stai lavorando, la modalità di manutenzione protegge i loro dispositivi e informazioni, oltre a tenere nascosto il fatto che hai a che fare con un hack.
Trova il tuo backup
Nel passaggio successivo contatterai il tuo provider di hosting, ma a volte, quando un host scopre che sei stato violato, elimina immediatamente il sito per evitare ulteriori problemi. Ecco perché prima hai bisogno di backup del tuo sito e database.
Se i tuoi backup sono archiviati sullo stesso server del tuo sito Web, è probabile che siano spariti una volta che sei stato violato. Tuttavia, considera di controllare questi punti nel caso in cui ne hai uno salvato anche lì:
- Il tuo plug-in di backup: se utilizzi un plug-in di backup, probabilmente c'è un backup archiviato nel servizio cloud del provider.
- Il tuo account cloud: verifica se hai salvato manualmente un backup di un sito Web sul tuo servizio cloud, come Dropbox o Google Drive.
- Il provider di hosting: è possibile che il provider di hosting che utilizzi abbia un backup del tuo sito a cui puoi ancora accedere.
Contatta il tuo host
A seconda del tipo di pacchetto di hosting che hai, il tuo provider potrebbe essere in grado di prendere le redini e gestire un hack per te. All'inizio, contatta il tuo host per (a) fargli sapere che il tuo sito Web WordPress è stato violato e (b) scoprire quale aiuto offre. Se non sei in grado di ottenere alcun accesso al tuo sito, potresti aver bisogno dell'aiuto dell'host per arrivare ovunque.
Reimposta le password di WordPress
Non saprai quale password è stata violata, quindi è più sicuro cambiarle tutte al più presto. Già che ci sei, reimposta tutte le password associate al tuo WordPress, come il database, l'host e le password SFTP. Inoltre, contatta immediatamente gli utenti a livello di amministratore e chiedi loro di cambiare anche le loro password. Andando avanti, punta a cambiare il tuo login di WordPress ogni due mesi circa.
Aggiorna tutto
Assicurati che l'installazione, i plugin e i temi di WordPress siano tutti aggiornati. Farlo all'inizio significa che potresti correggere una vulnerabilità che gli hacker hanno inizialmente superato. Se aspetti troppo a lungo per eseguire questo passaggio, potresti affrontare il problema di riparare il tuo sito solo per farlo hackerare di nuovo tramite lo stesso plugin o tema obsoleto.
Oltre ad aggiornare i tuoi plugin e temi, procedi come segue:
- Disattiva ed elimina tutto ciò che non usi.
- Sei preoccupato che uno di loro provenga da un fornitore inaffidabile? Disattivalo ed eliminalo.
- Rimuovi e reinstalla quelli che ritieni possano darti problemi. O, meglio ancora, rimuovi il plugin o il tema e poi sostituiscilo con qualcos'altro dalla directory ufficiale.
- Controlla le pagine di supporto per i temi e i plugin che hai installato. Potrebbero esserci commenti recenti di persone che hanno lo stesso problema.
Se desideri eliminare i plug-in dal tuo SFTP anziché dalla dashboard di WordPress, puoi farlo. Assicurati di eliminare l'intera directory per il plug-in, non i singoli file. Cercherai wp-content/plugins/[plugin name] ed eliminerai l'intera directory e tutto ciò che contiene.
Puoi fare lo stesso per i temi non utilizzati andando su wp-content/plugins/[plugin name] . Tieni presente che se stai utilizzando un tema figlio, probabilmente hai due directory da conservare in modo che il tuo tema rimanga intatto.
Rimuovi gli account amministratore non necessari
Controlla tutti gli account amministratore del sito ed elimina quelli che non riconosci o che non sono più rilevanti. Per coloro che hanno ancora bisogno di accedere al tuo sito ma non sono amministratori, cambia il loro livello di accesso. Inoltre, è una buona idea verificare con gli amministratori per scoprire se hanno modificato i dettagli del proprio account prima di eliminare un account effettivamente legittimo.
Rimuovi i file che non dovrebbero essere presenti
Probabilmente avrai bisogno di un plug-in di sicurezza per questo passaggio. L'esecuzione di una scansione del sito dovrebbe avvisarti dei file che sono presenti ma non dovrebbero esserci. Abbiamo raccolto i sei migliori plugin di sicurezza di WordPress per il tuo sito.
Pulisci e invia nuovamente la tua mappa del sito
Se la tua mappa del sito è stata violata, potrebbe contenere collegamenti dannosi o caratteri estranei. Il tuo plug-in SEO dovrebbe consentirti di rigenerare una mappa del sito fresca e pulita. Dovrai quindi inviarlo a Google tramite Google Search Console. Fai sapere a Google che il tuo sito deve essere nuovamente scansionato.
L'operazione può richiedere fino a due settimane, quindi tieni presente che l'avviso di ricerca potrebbe non essere cancellato fino ad allora. Per verificare se il tuo sito è tornato in regola, puoi andare a questo URL: http://www.google.com/safebrowsing/diagnostic?site=http://yourwebsite.com/
Reinstalla WordPress Core
Quando nient'altro sembra funzionare, l'unico modo per riparare il tuo sito quando WordPress è stato violato è reinstallarlo completamente. Puoi farlo tramite la dashboard di amministrazione o tramite il tuo file manager. Spieghiamo come farlo nel nostro articolo sulla correzione dell'errore interno del server 500 sul tuo sito Web WordPress.
Pulisci il database
Infine, ripulisci il database. Il tuo plug-in di sicurezza dovrebbe essere in grado di dirti se il database è stato compromesso e potrebbe anche essere in grado di ripulirlo e ottimizzarlo.
Come evitare di essere hackerati in futuro
Sappiamo che non vorrai mai più affrontare tutto questo. Ecco cosa puoi fare per evitare che il tuo sito WordPress venga violato in futuro.
Imposta password sicure e autenticazione a due fattori
Se non l'hai già fatto, o se l'hai fatto ma ti sei affrettato perché eri in preda al panico, assicurati che tutte le password per il tuo sito siano forti. Quindi, aggiungi l'autenticazione a due fattori al tuo sito, il che renderà più difficile per un hacker creare un account falso.
Utilizzare un plug-in o un servizio di sicurezza
Ne abbiamo già parlato così tante volte che ormai saprai che hai bisogno di un plug-in di sicurezza per il tuo sito. Il più grande vantaggio di questo tipo di plugin è che ti avviserà se c'è un problema in modo che tu possa prendere misure preventive prima che sfugga di mano.
Hai bisogno di una protezione ancora maggiore? Esistono servizi di sicurezza che monitoreranno il tuo sito per te e risolveranno eventuali problemi che si presentano. E se in futuro verrai violato di nuovo, gestiranno tutti i passaggi per la risoluzione dei problemi per te.
Mantieni aggiornato il tuo sito web
Tutto sul tuo sito dovrebbe essere aggiornato, dalla versione di WordPress a tutti i plugin e temi che hai installato. Gli aggiornamenti di solito hanno patch di sicurezza, quindi lasciarli obsoleti significa che gli hacker possono facilmente trovare la loro strada. Se non ti trovi regolarmente nel tuo sito per eseguire la manutenzione, usa un aggiornamento automatico per gestirlo per te.
Usa SSL sul tuo sito web
SSL è standard con la maggior parte dei pacchetti di hosting e aggiunge un altro livello di sicurezza al tuo sito. Verifica con il tuo host se è incluso SSL. In caso contrario, puoi installare un plug-in SSL dedicato o verificare se il plug-in di sicurezza lo include.
Usa un firewall
Un firewall funge da buttafuori tra il tuo sito e il resto del mondo, bloccando qualsiasi cosa pericolosa prima che abbia la possibilità di causare un problema. Puoi utilizzare un plug-in o un servizio di sicurezza, ma prima controlla con il tuo host per vedere quale tipo di protezione firewall hai già.
Fai attenzione a ciò che installi
Installa solo plugin e temi che provengono da fonti affidabili: la directory ufficiale di WordPress è la soluzione migliore. E anche in questo caso, assicurati che ciò che stai scegliendo sia stato testato con la tua versione di WordPress. Evita plugin e temi da siti di terze parti. Se devi ottenerne uno da qualche parte diversa dalla directory di WordPress, fai una ricerca per scoprire se il venditore ha una buona reputazione.
Pulisci la tua installazione di WordPress
Tutto ciò che è in giro e che non ti serve da nessuna parte dovrebbe essere eliminato, inclusi:
- File che non usi più
- Plugin inattivi o attivi ma non utilizzati
- Temi inattivi che non utilizzerai più
- Vecchie installazioni di WordPress
- Database inutilizzati
Le vecchie installazioni di WordPress sono particolarmente vulnerabili. Spesso i tuoi backup vengono conservati in una sottodirectory del tuo sito. Quindi, mentre il tuo sito Web principale potrebbe essere sicuro, un hacker può entrare attraverso quelle vecchie installazioni.
Prova a seguire questa routine di pulizia regolarmente, ad esempio ogni tre mesi, per mantenere il tuo sito web più protetto contro gli hacker.
Avvolgendo
Quando il tuo sito Web WordPress è stato violato, il tuo sito spesso non è disponibile per i tuoi visitatori, il che potrebbe avere un impatto su tutto, dalla reputazione del tuo marchio alle tue entrate. Agire in modo rapido e intelligente è necessario per rimettere in funzione il tuo sito. Quindi, la prossima questione più urgente è come mantenere il tuo sito sano e privo di hack andando avanti.
Fortunatamente, molti dei suggerimenti di manutenzione che abbiamo trattato sono un gioco da ragazzi. Probabilmente sai già che password più forti e plug-in aggiornati significano un sito più sano, solo per citare un paio di migliori pratiche. Seguendo i consigli in questo articolo, hai maggiori possibilità di riparare il tuo sito WordPress dopo che è stato violato ed evitare lo stesso mal di testa in futuro.
Consulta il nostro articolo su come condurre un audit di sicurezza di WordPress.