wordpress hacker

Il tuo blog wordpress è stato hackerato?

Ci sono molti segnali di allarme che indicano che il tuo sito è stato infettato e, in linea di massima, è possibile individuare una serie di anomalie comuni su WordPress:

  •     Scrivendo su google site:miosito.com ti ritrovi con pagine SPAM
  •     Google, Yandex o Yahoo ti inviano delle email di warning
  •     Il tuo host ti sospende anche temporaneamente il sito
  •     Usando il browser ti accorgi che il sito è troppo lento
  •     Crollano le visite giornaliere
  •     I files di Log diventano enormi
  •     Ci sono dei contenuti strani sulla homepage
  •     Si aprono delle finestre Popup
  •     Il posizionamento su Google peggiora di colpo
  •     Ti ritrovi con nuovi utenti come amministratore
  •     Non riesci ad accedere al tuo blog
  •     Ti accorgi che dei files del core di WordPress appaiono modificati

Essere hackerati non è una esperienza gradevole perchè mette a rischio la tua reputazione sul web. Se qualcuno è riuscito a creare silenziosamente decine di account dai nomi bizzarri questo è il primo segno che qualcosa non va per il verso giusto. Come esserne sicuri?  Intanto installa di corsa, se non lo hai già fatto il plugin Wordfence che ti  permette di controllare le funzioni base del blog anche in versione free.

Dopo vai sul cruscotto di wordpress e in basso vedrai la icona di Wordfence, clicca e scegli SCAN per iniziare la scansione.Come secondo provvedimento di “urgenza” installa Audit Log, vai sulla icona del plugin, in genere in alto e clicca su “Audit log viewer” e controlla gli accessi sospetti falliti e i gli accessi ripetuti alla pagina 404.

Ritorna quindi a Wordfence e clicca su TOOLS e controlla gli avvisi segnalati in rosso.
Rilancia la scansione cliccando su SCAN. Se ci sono dei file di sistema modificati o nuovi utenti o attività sospette questi due plugin ti avvertono anche per email.

Con questi primi interventi potrai almeno decidere se è il caso di ripristinare delle copie di backup. Il programma che consiglio per i backup è ManageWP, la versione a pagamento costa appena 2 euro al mese e ti consente di ripristinare il sito ripartendo da una data qualsiasi, meglio una settimana prima di avere avuto problemi al blog.

 

Il miglior consiglio che ti posso dare è di installare questi tre plugin fin dall’ inizio e magari attivare Wordfence nella versione Premium. Se non usi servizi di hosting tipo Bluehost o Siteground e hai una VPS (come capita con il blog che stai leggendo) ti consiglio invece di seguire questa procedura:

  • installa unhide:  sudo apt-get install unhide
  • lancia l’editor VI:  vi controllo
  • premi il tasto “i” per inserire e scrivi:
    for i in $(echo sys proc brute); do unhide $i; done
  • chiudi VI con la sequenza “ESC” e “ZZ”
  • esegui:  sudo sh controllo
  • ti ritroverai con dei messaggi tipo:

Unhide 20130526
Copyright © 2013 Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version 3 or later
http://www.unhide-forensics.info
NOTE : This version of unhide is for systems using Linux >= 2.6
Used options:
[*]Searching for Hidden processes through getpriority() scanning
[*]Searching for Hidden processes through getpgid() scanning
[*]Searching for Hidden processes through getsid() scanning
[*]Searching for Hidden processes through sched_getaffinity() scanning
[*]Searching for Hidden processes through sched_getparam() scanning
[*]Searching for Hidden processes through sched_getscheduler() scanning
[*]Searching for Hidden processes through sched_rr_get_interval() scanning
[*]Searching for Hidden processes through kill(..,0) scanning
[*]Searching for Hidden processes through comparison of results of system calls

Se non sei stato hackerato (come da questa scansione) non avrai nessun warning particolare.

In ogni caso segui i consigli per “blindare” la tua VPS come spiegato da  questo articolo scritto dai sysadmin di Linode. Se vuoi approfondire l’ uso di UNHIDE dai una occhiata a questo  articolo,  molto specialistico pubblicato su Pcfreak oppure  a  questo altro articolo che ho trovato su Dedoimedo, davvero imperdibile se sei appassionato di sicurezza informatica.

Lascia un commento

Scroll Up