GNU/Linux >> Linux Esercitazione >  >> Panels >> Plesk

Come riparare un sito WordPress compromesso

Se il tuo sito WordPress è stato violato, niente panico! Proprio come tutto ciò che riguarda l'IT, risolvere questo è semplicemente una questione di seguire i passi giusti. La seguente guida ti aiuterà a riparare il tuo sito Web WordPress compromesso.

Informazioni sugli hack di WordPress

È importante tenere presente che la maggior parte degli hack di WordPress non lo sono mirato:è altamente improbabile che tu sia stato preso di mira e attaccato in modo specifico. Lo scenario più probabile è che qualche grande botnet (spesso migliaia di computer sotto il controllo di una persona o di un gruppo di hacker) disponga di uno strumento automatizzato che esegue la scansione delle vulnerabilità nei siti WordPress e tenta di sfruttarle in modo automatizzato.

Perché lo fanno? Alcuni possibili motivi:

  • Per un'ulteriore replica (diffusione) utilizzando your website per infettare anche altri siti web.
  • Per inviare enormi quantità di spam dal server del tuo sito web
  • Per creare un sito di phishing, ad esempio un'imitazione del sito Web di una banca, per cercare di indurre le persone a fornire a questi hacker le credenziali di accesso della banca.
  • Per ottenere un elenco di indirizzi email da aggiungere ai loro database di spam (dai tuoi utenti WordPress, in particolare con siti di abbonamento o e-commerce)

Sebbene sia possibile che stiano cercando i dati della carta di credito, è altamente improbabile poiché quasi tutte (se non tutte) le soluzioni di e-commerce che utilizzano WordPress tendono a utilizzare processori di carte di credito che non memorizzano i dettagli della carta di credito nel database di WordPress. Gli hacker lo sanno e tendono a evitare di preoccuparsi di tentare di raccogliere automaticamente questo tipo di dati.

Se non ti senti a tuo agio nel completare questo processo di riparazione in 6 passaggi, è del tutto comprensibile. Abbiamo un servizio "lo ripareremo per te" che va da $ 79 a $ 149 CAD a seconda dell'entità dell'hacking. Adatteremo anche il prezzo in base alla quantità di riparazioni che hai completato tu stesso, quindi sentiti libero di iniziare e di farci occupare in parte:assicurati solo di dirci tutto ciò che hai già fatto. Contattaci per saperne di più!

1. Disabilita il sito per proteggerne la reputazione

Se non sei in grado di occuparti immediatamente di questo problema, è imperativo che disattivi ora il tuo sito in Plesk. Come indicato sopra, molti hack tentano attivamente di diffondere copie di se stessi o di attaccare altri, e vorrai chiuderlo immediatamente fino a quando non sarai in grado di riparare.

A volte può essere difficile stabilire se l'hack stia attaccando attivamente gli altri. Nel caso in cui lo sia, e non interrompi immediatamente tale comportamento, puoi danneggiare la reputazione del tuo sito Web per settimane o addirittura mesi. I motori di ricerca (come Google) e i software antivirus come TrendMicro e McAfee bloccheranno quindi il tuo sito Web, causando un massiccio calo dei visitatori e potenzialmente anche un calo del posizionamento nei motori di ricerca. Questo è molto brutto , ed è esattamente il motivo per cui non dovresti consentire al tuo sito di continuare a funzionare fino a quando l'hack non sarà stato ripulito.

2. Fai un backup

Inizia sempre eseguendo il backup del tuo sito Web utilizzando il tuo metodo preferito. Perché vuoi eseguire il backup se includerà i file compromessi? Dal momento che dovrai modificare e rimuovere i file manualmente (e automaticamente utilizzando strumenti come WordFence), è importante disporre di un backup di tutto nel caso in cui sia necessario ripristinare uno o due file.

Assicurati che quando crei il backup, lo etichetti chiaramente come "compromesso" in modo da non ripristinarlo in futuro, pensando che sia un punto di ripristino OK. OPPURE elimina semplicemente il backup quando sei sicuro che il sito funzioni bene.

3. Ripara l'accesso amministratore del sito web

Il primo passo è vedere se riesci ad accedere al front-end del sito e all'amministratore di WordPress con le tue solite credenziali. In caso contrario, scopri cosa impedisce l'accesso. Di seguito sono riportati un paio di possibili scenari che potrebbero impedirti di accedere all'amministratore del tuo sito web. Se *puoi* accedere al tuo amministratore, puoi saltare questo passaggio.

Hai una schermata bianca della morte?

Questo è il nome di ciò che accade quando tenti di accedere al tuo sito Web o all'amministratore del sito Web e ottieni solo uno schermo bianco senza nulla sopra, piuttosto che la tua home page o la pagina di accesso dell'amministratore. Lo schermo bianco della morte si verifica quando si verifica effettivamente un errore sottostante, ma viene solo registrato, non mostrato sullo schermo. Questo è in realtà un buon comportamento, nonostante come potrebbe sembrare in questo momento, poiché molti plugin e temi registreranno avvisi e avvisi che non vuoi siano visibili ai tuoi utenti. Tuttavia, quando si tratta di un errore critico, non ottieni nulla sullo schermo:da qui lo schermo bianco!

Dai un'occhiata al nostro articolo sulla riparazione dello schermo bianco della morte per scoprire come risolvere questo problema, quindi torna qui per continuare a ripulire l'hacking.

Un hack che abbiamo visto di recente, ha manomesso il file principale di WordPress index.php aggiungendo una riga "include" per includere un altro file. Sfortunatamente (o fortunatamente) il file che stava cercando di includere mancava, causando un errore. Il registro degli errori indicava qualcosa sulla falsariga di "impossibile trovare il file". Pertanto, la rimozione della riga "include" da index.php ha risolto il problema e riportato il sito Web online. Detto questo, non ha chiarito l'intero hack, quindi assicurati di non aggiustare questa cosa e dire "Ho finito!" — probabilmente c'è molto di più.

Una volta risolto il problema, prova a visitare il sito e/o ad accedere nuovamente all'amministratore. Se non riesci ancora ad accedere alla home page o alla pagina di login, dopo aver corretto l'errore riscontrato nei log, probabilmente hai semplicemente riscontrato un altro errore diverso. Spesso sarà necessario ripetere questo processo alcune volte, modificando file diversi ogni volta in base all'errore fornito nei log, prima di poter riottenere l'accesso completo.

La password non funziona?

Se la tua password di amministratore non funziona, l'hacker (o più probabilmente lo strumento di hacking automatizzato) ha modificato la password di amministratore. Il prossimo passo è quindi reimpostare la tua password di amministratore! Ecco come reimpostare la password dell'amministratore di WordPress per riottenere l'accesso.

4. Misure amministrative di WordPress

  1. Scansioni malware di WordFence: Installa WordFence ed esegui una scansione. WordFence potrebbe non essere sempre il migliore nel prevenire un attacco, ma può essere decente nell'aiutare a ripulirlo.
  2. Password amministratore: Cambia tutte le password utente "amministratore" di WordPress in sicure i valori. Ciò significa che sono preferiti almeno 20 caratteri e generati casualmente. Se stai chiedendo "come ricorderò mai quelli?" allora probabilmente non stai usando un gestore di password come LastPass, e dovresti assolutamente esserlo. Non sorvolare su questo; le password deboli sono probabilmente il motivo principale per cui i siti vengono violati.
  3. Aggiorna tutti i plugin e i temi: Se disponi di plug-in e temi commerciali che non si aggiornano utilizzando il programma di aggiornamento integrato di WordPress (non va bene), assicurati di aggiornarli manualmente, quindi imposta un'attività ricorrente per aggiornarli ogni mese e chiedi allo sviluppatore la funzionalità di aggiornamento automatico ! Se non desideri il lavoro extra dell'aggiornamento manuale, cambia il tema o il plug-in in uno che si aggiorna automaticamente.
  4. Ispezione visiva: Guarda le pagine dell'amministratore di WordPress per vedere se trovi qualcosa che non va. Cerca temi e plug-in che potrebbero essere stati caricati in modo imprevisto. Cerca cose che non ricordi esistessero in precedenza; potrebbero darti un indizio su dove si trova la vulnerabilità o su cosa è stato modificato dall'hack. Se, ad esempio, vedi un comportamento strano da un particolare plug-in, sii aggressivo ed elimina completamente il plug-in, quindi reinstalla una nuova copia da Plugin> Aggiungi nuovo. Ciò garantisce che se anche i file del plug-in fossero infetti, verranno sostituiti da file puliti.

5. Reimposta i file principali

Innanzitutto, scarica una nuova copia di WordPress sul tuo computer ed estraila, se il tuo sistema non lo ha fatto automaticamente. Quindi accedi a Plesk e vai a "File" OPPURE connettiti tramite FTP per ottenere un elenco di file in tempo reale del tuo sito web. (Il file manager Plesk è più semplice a meno che tu non abbia già familiarità con l'utilizzo di FTP).

Opzione A:ispezione visiva/trova le differenze

Confronta l'elenco dei file live tramite FTP o nel file manager Plesk con ciò che vedi dal set di file WordPress appena scaricato sul tuo computer. (Questi file saranno simili a wp-config.php, wp-settings.php, ecc.).

Nota che non è necessario aprire i file; stiamo solo controllando se ci sono altri file che l'hack potrebbe aver messo in atto che non hanno bisogno di essere lì.

Se noti qualcosa di diverso, scaricalo sul tuo computer* (nel caso in cui non sia effettivamente dannoso, avrai una copia salvata che puoi ripristinare) ed eliminalo dal server. Ripeti l'operazione finché non sei sicuro che l'installazione di WordPress non contenga file estranei non essenziali.

Opzione B:sostituzione dei file (più rapida)

Una tattica estremamente efficace consiste nell'eliminare semplicemente ogni file e cartella che inizia con "wp-" tranne wp-config.php e wp-content. Assicurati di non eliminare quei due in quanto contengono una buona parte di ciò che fa apparire il tuo sito così com'è. Dopo aver rimosso i file wp-*, carica le nuove copie dal set di file WordPress scaricato. Assicurati di caricarli tutti e di non sovrascrivere wp-content né wp-config.php!

In questo modo si garantisce che se i file principali di WordPress sono stati infettati, sicuramente non lo saranno più.

Si consiglia quindi di ripetere questo processo con ogni cartella di plugin trovata in wp-content/plugins/ e ogni cartella di temi trovata in wp-content/themes (nota:probabilmente non ne troverai una per *ogni* tema), solo assicurati di eseguire prima un backup, nel caso in cui sia necessario ripristinarli. Se il tuo sviluppatore ha svolto bene il proprio lavoro, tutte le personalizzazioni che ha implementato sono nei temi figlio e pertanto non saranno interessate da un aggiornamento del tema principale o da un aggiornamento del plug-in.

Una volta che hai fatto questo con i file core di WordPress e ogni cartella di plugin e temi, le cose si fanno un po' più complicate. Non possiamo semplicemente sostituire il resto dei file con nuove copie in quanto non ci sono nuove copie:ciò che rimane sono i contenuti unici e gli elementi di design che compongono il tuo sito!

Il meglio che puoi fare da qui è esaminare manualmente il resto delle cartelle del contenuto wp per vedere se trovi qualcosa che non dovrebbe essere lì. Ecco alcuni suggerimenti:

  1. wp-content/uploads deve contenere solo cartelle, immagini e documenti. Non dovresti trovare alcun file .php o .js o altri tipi di file di codice, tranne forse HTML non elaborato.
  2. Se tu o il tuo sviluppatore avete utilizzato un tema child in wp-content/themes/ durante la creazione del vostro sito, dovrete (o il vostro sviluppatore dovrà) ispezionare ciascuno dei file all'interno del child cartella del tema per vedere se è stato inserito del codice dannoso.

Come versione non conclusiva, ma rapida di questo... la maggior parte degli hack tende a inserire codice all'inizio o alla fine dei file, quindi il 99% delle volte sarà sicuro controllare semplicemente all'inizio e alla fine di ogni file in il tema child.

*In tutti i casi di siti Web compromessi che abbiamo visto, non devi preoccuparti che i file compromessi infettino il tuo computer. Questi file infetti devono quasi sempre essere eseguiti su un server Web per essere efficaci nel fare qualsiasi cosa. Detto questo, assicurati di non fare doppio clic/eseguirli per ogni evenienza!

6. Manutenzione finale

Ora che hai ripulito l'hacking

  1. Modifica le chiavi di sicurezza in wp-config.php per forzare la chiusura di tutte le sessioni di accesso
  2. Reimposta la tua password FTP in Plesk, per ogni evenienza.
  3. Cambia la password del tuo database. Inizia modificandolo nel tuo pannello di controllo. Ecco come farlo in Plesk. Quindi, una volta ottenuta la nuova password del database, devi informare WordPress della modifica aggiornandola in wp-config.php.
  4. Elimina tutti i plug-in che consentono un facile accesso diretto ai file da WordPress, come il plug-in "wp-file-uploader" che abbiamo visto utilizzato in molti hack.
  5. Segui i passaggi qui per rafforzare la tua installazione di WordPress, che se rimani aggiornato su tutto quanto descritto in quell'articolo, impediranno che il tuo sito venga nuovamente violato.
  6. Chiedi al tuo host web WordPress di eseguire una scansione antimalware per eventuali file infetti aggiuntivi che potresti aver perso. Se sei ospitato con Websavers, puoi rivedere le nostre scansioni malware settimanali in Plesk! Basta accedere a Plesk, nella scheda Siti web e domini predefinita, cercare Imunify360 nell'angolo in alto a destra e fare clic su di esso per esaminare tutti i malware rilevati.
  7. Assicurati di fare un backup del tuo sito appena pulito!
  8. Controlla le liste nere dei siti web comuni per assicurarti di non finire intrappolato in una di esse. Se lo hai fatto, segui le loro istruzioni per farti rimuovere. Consulta la sezione "Attenzione alle liste nere dei siti Web" nelle FAQ sugli hacker di WordPress qui per maggiori dettagli.

Risorse

  • Domande frequenti di WordPress:"Il mio sito è stato violato"

Plesk

  1. Come clonare un sito Web WordPress in Plesk

  2. Come creare un sito Web con SitePad

  3. Come installare WordPress con cPanel in 5 minuti

  4. Come aggiungere Google Analytics al tuo sito Web WordPress

  5. Come trasferire un sito Web da wordpress.com a WordPress self-hosted

Come utilizzare la dashboard di WordPress in hPanel?

Come installare WordPress utilizzando Auto Installer?

Come eseguire il backup e il ripristino di un sito Web WordPress

Come configurare il tuo primo sito Web WordPress

Come proteggere o rafforzare il tuo sito Web WordPress

Come creare un ambiente di staging WordPress