Il tuo WordPress è compromesso? Ecco i migliori suggerimenti per te

WordPress ha smesso di funzionare? La cosa migliore è quella di seguire i suggerimenti di questa pagina, provenienti direttamente dal sito ufficiale (e dalla nostra esperienza diretta).

Mantenere la calma!

Per quanto possa sembrare un’osservazione superflua, è il primo passo da compiere in queste situazioni, in quanto riduce sensibilmente la possibilità di commettere errori (che potrebbero essere irreversibili, in questi casi). Nonostante l’apparente gravità della situazione che avete davanti, in molte situazioni sarà possibile risolvere – ad esempio in presenza di errori 403, 404, pagine vuote impreviste oppure password di sistema smarrite.

Fate una scansione in locale del vostro PC

In certi casi i siti possono essere compromessi da software malware che si è installato subdolamente sul vostro PC: per questa ragione è opportuno partire da una scansione con appositi antivirus-antimalware. Questo tipo di accorgimento, comunque, rimane valido esclusivamente se state lavorando su un PC che installa una qualsiasi versione di Windows, e non garantisce con certezza assoluta che il file malevolo possa essere realmente individuato.

Come trovare i file infetti? In teoria è possibile individuare i contenuti sospetti elencando tutti i file .exe sul vostro PC, visto che solitamente il malware si annida dietro questa estensione (anche se non sempre, visto che ci sono virus in grado di auto-rinominarsi): tuttavia questa pratica richiede un certo livello di esperienza e non è affatto consigliabile per i principianti, e questo perchè potreste cancellare file di sistema importanti peggiorando, eventualmente, la situazione. Se comunque notate ad esempio dal vostro router un incremento sospetto del traffico internet anche nei periodi di inattività, è possibile che siate state infettati e che la cosa possa essersi estesa al vostro WordPress compromesso (vedi qui per maggiori dettagli).

Contattare il vostro provider di hosting

Se state utilizzando un hosting condiviso è possibile che il problema sia esteso a tutti i siti che risiedono sul server: la cosa migliore da fare, in questa terza fase, è quella di contattare il vostro provider di hosting facendo presente il problema: tenete comunque conto del fatto che non è detto che sia immediato identificare le cause del problema, ma l’assistenza può farvi capire se si tratta di un hack eseguito singolarmente sul vostro sito oppure se, ad esempio, è solo un problema temporaneo di rete o di server.

Modificare tutte le vostre password

Se il vostro sito è stato compromesso qualcuno potrebbe aver trovato o indovinato le vostre password: cambiate quindi tutte quelle che utilizzate per accedere al blog, al client FTP e quelle per gli utenti MySQL.

Rinnovare le chiavi segrete del sito

Se la password del vostro blog è stata trovata da qualche altro utente malevolo, sarà necessario invalidare i suoi cookie in modo che non possa più rimanere connesso: se cambiate solo la password, infatti, la sua sessione remota potrebbe essere ancora attiva e potrebbe quindi disporre di privilegi che non gli competono. Per una potenziata sicurezza sarà dunque necessario cambiare le chiavi segrete di accesso contenute nel file wp-config.php. Come prima cosa, quindi, generate delle nuove chiavi (basta copiare il contenuto dell’intera pagina) e successivamente andate a sostituirle nel file in questione.

Effettuare un backup della versione attuale del sito

Per effettuare un backup del vostro sito sarà sufficente copiare via FTP in una cartella locale tutti i file della root e, successivamente, effettuare un dump – cioè esportare in formato testo .sql – il contenuto del database. Ricordatevi ovviamente di etichettare questo backup come sospetto per evitare confusione in seguito: si tratta di una misura precauzionale che vi eviterà di peggiorare irreversibilmente la situazione.

Consultare gli articoli del nostro sito

Data l’importanza e la diffusione di WordPress, abbiamo inserito numerosi articoli sul tema sicurezza e recupero dati: di seguito riportiamo i più interessanti per voi. Vi suggeriamo di consultarli attentamente per disporre di maggiori strumenti con cui potere intervenire sul vostro blog WordPress. Se riuscite a salvare i vostri dati sarebbe inoltre opportuno postare la procedura su qualche forum specializzato, in modo che rimanga a disposizione di altri webmaster.

• Tool per la scansione di un sito dal malware
• Mettere in sicurezza il proprio sito in WordPress
• Suggerimenti di Google per la sicurezza
• Come recuperare le password smarrite
• Risolvere i problemi di visualizzazione lato amministrazione di WP
• Problemi di memoria: cosa fare?
• Come risolvere i problemi derivanti dal Warning: Cannot modify header
• Come accedere all’amministrazione di WP in presenza di errore 404

Controllare il vostro file .htaccess da eventuali modifiche malevole

In certi casi il sito WordPress potrebbe essere stato compromesso dalla modifica malevola del file .htaccess che, ad esempio, potrebbe imporre un redirect forzato ad una pagina differente da quella dell’indirizzo reale del blog. Se andate a guardare il contenuto di questo file, di fatto, dovreste riuscire a trovare qualche redirect sospetto e potete eventualmente rimuoverlo. Ricordiamo che, a meno che non stiate utilizzando plugin particolari di WP, la versione solitamente standard di .htaccess è la seguente:

 # BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress

Alla fine riportate sempre i permessi di .htaccess a 644 mediante FTP o CHMOD. Nota: rimuovere il file .htaccess implica che, in linea di massima, i permalink SEO-friendly potrebbero smettere di funzionare. Cliccare su Impostazioni->Permalink per stabilire gli URL di WP e rigenerare il file .htaccess eventualmente corrotto o accidentalmente cancellato, oppure ripristinare quello di default riportato sopra.

Considerare l’opportunità di cancellare completamente e reinstallare da zero il vostro sito

Sarà anche una misura drastica ma in certi casi è l’unico modo per rimuovere il malware: se non riuscite a trovare altri modi, valutate la possibilità di spazzare via il vostro WordPress attuale e reinstallare tutto daccapo, database incluso. Naturalmente per attuare questa strategia dovrete disporre di un backup precedente perfettamente funzionante: per questa ragione vi invitiamo a salvare spesso delle copie di backup del vostro sito (e tenerle sempre a portata di mano) per poter fronteggiare situazioni del genere senza troppi problemi.

Sostituire i file del core di WP con quelli più aggiornati.

Potete provare a sostituire tutti i contenuti di wp-admin e wp-includes con quelli di un’installazione “fresca”: la cosa migliore per operare in questo senso è rinominare le due cartelle come wp-admin.tmp e wp-includes.tmp ed effettuare l’upload delle cartelle originali che avrete precedentemente scaricato sul vostro PC. Dopo aver effettuato questa operazione, le versioni più recenti di WP imporranno di effettuare un upgrade del sistema via interfaccia web.

Cambiare nuovamente le password dopo aver ripristinato il sito

Se siete riusciti a riprendere a far funzionare il vostro blog in WordPress, ricordatevi di cambiare le password di accesso un’altra volta: questo vi metterà davvero al sicuro da futuri attacchi.

Disattivare tutti i plugin e lasciare solo un tema standard attivo

Un modo per approcciare alle problematiche oggetto dell’articolo è quello di disattivare tutti i plugin: in molti casi ve ne sono alcuni che creano backdoor o comunque aprono le porte ad utenti malintenzionati. Per farlo è sufficente rinominare, via FTP, la cartella plugins all’interno di wp-content, mentre i temi possono essere rimossi sempre da FTP cancellando le cartelle sempre dentro wp-content e lasciandone soltanto quella di un tema standard (presumibilmente non infetto).

Scaricare i log del vostro sito e analizzarli (o farli analizzare)

Dopo aver messo in sicurezza il vostro blog in WordPress, è opportuno cercare di capire cosa sia successo – anche se in molti casi se ne occuperà il vostro hosting provider. Ad ogni modo strumenti open source come OSSEC possono aiutarvi in questo genere di analisi per capire cosa e quando sia successo.

Effettuare regolarmente dei backup

Dopo essere usciti da questa spinosa situazione sarà opportuno fare in modo di salvare periodicamente i contenuti del vostro sito: vi sono svariati plugin che possono aiutarvi a farlo, oppure potete più semplicemente sfruttare la funzione di cPanel che lo permette.

Nota: Keliweb mette a disposizione tra le sue funzionalità aggiuntive anche quella dei backup.