KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
Diventa Autore per CoreTech | Scopri di più

Come ripristinare un sito Wordpress hackerato

Se vi accorgete che il vostro sito Wordpress è stato bucato, o hackerato, niente paura: se si agisce tempestivamente e con metodo non tutto è perduto.

Per prima cosa contatteci: provvederemo a sospendere momentaneamente il vostro sito, se non è già stato sospeso e abbiamo già provveduto ad avvisarvi, così potrete lavorare direttamente sullo spazio hosting a vostra disposizione e il vostro ranking nei motori di ricerca non verrà ulteriormente penalizzato. Verrà visualizzata una pagina di cortesia. Sia che usiate Hosting Controller o Plesk la procedura è la stessa. In alcuni casi potreste ricevere una nostra comunicazione che vi avvisa della sospensione temporanea del sito qualora riscontrassimo un hack. La guida di riferimento che vi è stata indicata nella comunicazione è questa.

Passaggi preliminari

Seguite questi passaggi preliminari prima di cominciare con le operazioni di bonifica.

  • Eseguite l’upgrade di Wordpress. Guida di riferimento
  • Controllate questa lista di estensioni https://wpvulndb.com/ e assicuratevi che non sia presente nessun componente di terze parti installato sul vostro sito. Nel caso, disinstallatelo: potrebbe essere questo la causa dei problemi. Dopo la disinstallazione controllate che non sia rimasta traccia tra i file di Wordpress e tra le tabelle del database.
  • Eseguite una scansione su tutte le macchine da cui avete fatto accesso a Wordpress, al pannello di controllo dell’account Web Hosting, all’ftp e alle caselle di posta elettronica associate al sito in cerca di malware, virus e affini.
  • Cambiate le credenziali (username e password) associate agli accessi al vostro sito (email, pannello di controllo, ftp).
  • Controllate i permessi sui file e cartelle: assicuratevi che siano 644 per i file, 444 per l’importantissimo file wp-config.php e 755 per le cartelle. Guida di riferimento
  • Assicuratevi che gli utenti di Wordpress siano solo quelli da voi definiti.
  • Controllate il file .htaccess e assicuretevi che non contenga direttive strane, cioè diverse da quelle contenute nel file .htaccess standard fornito da Wordpress o da quelle che avete aggiunto.
  • Verificate che non ci siano attività strane e non impostate da voi nella cron tab
  • Verificate che ciascun file non-Wordpress, cioè immagini, pdf, file da scaricare, documenti, sia genuino e parte lecita del vostro sito (ossia non è stato caricato dall’hacker).
  • Scaricate e controllate i log disponibili.

Un’installazione di Wordpress è composta da due componenti: i file di sistema di Wordpress e i file caricati (immagini, documenti, etc..) e il database. Entrambe le parti vanno scaricate tramite client ftp (i file) o phpMyAdmin (database) o strumento dedicato del piano hosting scelto.

Infezione identificata?

Se siete sicuri della natura dell’infezione, allora potete semplicemente sistemarla senza apportare ulteriori modifiche al sito. Ad esempio un plugin non aggiornato è stato bucato: disinstallatelo e controllate che non ci sia più traccia sia nei file di Wordpress che nel database. Se invece non avete idea da dove provenga l’infezione, o non siete sicuri di averla risolta del tutto, continuate a leggere.

Backup a disposizione?

Consigliamo sempre di avere un backup a disposizione, che potete fare con un plugin o con la funzione dedicata del pannello di controllo. Il metodo di intervento consigliato si basa sul ripristino di un backup; consultate questo articolo per pianificare una strategia vincente di backup.

Cancellate sia il contenuto di Wordpress che il database, quindi procedete con una nuova installazione di Wordpress (con un database nuovo), caricate i file del backup scegliendo di non sovrascrivere quelli esistenti (così avete i file di Wordpress nuovi e il contenuto da voi caricato) e modificate il file wp-config.php in modo da riflettere le credenziali del vecchio database. Infine caricate il vecchio database con phpMyAdmin.

Akeeba Backup, una soluzione comoda

Banner

Se affidate i vostri backup al plugin Akeeba Backup, il ripristino è molto semplice. Andate nella sezione dei plugin, scegliete Akeeba Backup e scaricate un backup: attenzione a che risalga ad una versione non hackerata del sito. Cancellate il database e il sito; create un nuovo database con le vecchie credenziali. Scaricate Akeeba Kickstart, disponibile all’indirizzo https://www.akeebabackup.com/products/akeeba-kickstart.html Estraete il file kickstart.php e caricatelo sul vostro sito; accedete a questo file da browser. Un wizard vi guiderà nella restore del backup. A questo punto avrete a disposizione il vostro sito riferito alla versione backuppata e non contenente alcun hack.

Altri plugin per il backup includono BackupBuddy, VaultPress, BackWPup, CodeGuard, UpdraftPlus, BackUpWordPress, Duplicator e WP-DB-Backup (che però esegue solo il backup del database).

Ripristino con una copia pulita

Se il vostro database non è stato corrotto, procedete in questo modo.

Cancellate tutto il contenuto della cartella in cui il vostro sito è installato dopo aver fatto un backup del contenuto (che serve per recuperare alcune informazioni contenute nel file wp-config.php e tutti i file che sono stati caricati dall’utente: foto, immagini, pdf, documenti, etc..) ma non il database.

Create un nuovo database (con nome e credenziali diverse da quello vecchio) e installate una nuova versione di Wordpress con le estensioni di terze parti che adottate; da phpMyAdmin o pannello di controllo aggiungete l’utente del nuovo database al vecchio database e modificate il file wp-config.php adattando questa riga ai dati relativi al vecchio database: define( 'DB_NAME', nome_vecchio_db);

Fate login con le credenziali inserite durante l’installazione (nuova) di Wordpress, verificate che l’account amministratore funzioni regolarmente e cancellate il vecchio account admin: l’hacker potrebbe essere in possesso delle credenziali.

In alternativa potete esportare il contenuto del vecchio database ed importarlo in quello nuovo, però così facendo perderete le credenziali dell’account amministratore del nuovo account, quindi createne uno nuovo e cancellate quello vecchio.

Infine, caricate il contenuto del sito con un client ftp scegliendo di non sovrascrivere i file già esistenti, così da non toccare quelli nuovi di Wordpress ma aggiungere solo quelli caricati da voi (immagini, documenti, etc..).

Database infetto? Se invece avete motivo di sospettare che il vostro database sia stato infettato, allora potete cercare di rimediare cercando le tabelle infettate e sistemandole manualmente, naturalmente bisogna avere una buona conoscenza del linguaggio SQL.

Ma attenzione: lavorare su un database è un’operazione delicata che potrebbe compromettere il ripristino del sito; in casi come questi è da valutare l’intervento di un professionista.

Una volta ripristinato il sito, verificato il corretto funzionamento e adottato delle credenziali sicure (quindi nome utente diverso dai soliti admin, administrator, webmaster etc.. e password complessa, almeno 12 caratteri alfanumerici, ovviamente gestita attraverso password manager come Keepass), occorre verificare che nel frattempo non sia finito su blacklist di siti pericolosi dalle quali a volte è difficile uscire.

Se l’hack è stato scoperto per tempo e il sito è stato reso non disponibile repentinamente, ci sono buone probabilità di non incorrere in questi problemi, ma se è trascorso diverso tempo tra l’avvenuto hack e la bonifica, allora è meglio controllare le principali blacklist, Google Webmaster Tools (https://www.google.com/webmasters/tools/home ) e Google Safe Browsing (http://www.google.com/safebrowsing/diagnostic?site=nomesito ).

Banner

Infine, un importante consiglio: spesso ci si trova faccia a faccia con problemi già affrontati da altre persone, quindi una ricerca con Google è senz’altro d’aiuto se vi trovaste in panne.

I passaggi contenuti in questa guida dovrebbero essere sufficienti a ripristinare un sito realizzato con Wordpress dopo che è stato hackerato; è di capitale importanza rinforzare la sicurezza del sito onde evitare un nuovo hackeraggio.