Sito WordPress hackerato con redirect

sito wordpress hackerato con redirect

Hai notato che le pagine del tuo sito reindirizzano verso siti spam o landing page equivoche? Fai bene a temere che le sue difese siano state bucate perché, probabilmente, il tuo sito wordpress hackerato con redirect

Ho appena affrontato e superato questo genere di disavventura, e di seguito cercherò di aiutarti a risolvere e a prevenire eventuali attacchi al tuo sito WordPress.

La mia esperienza con il sito WordPress hackerato con redirect

Regolarmente effettuo un Check-Up per verificare la salute e il corretto funzionamento dei siti WordPress che gestisco. Durante uno di questi controlli ho fatto la spiacevole scoperta che uno di questi, avesse subito un attacco hacker con redirect. Nello specifico le pagine di questo sito (amilkare.it) reindirizzavano tutte verso un altro dominio.

Il tuo sito è stato hackerato con redirect? Come scoprirlo

Come spesso capita, il genere di attacco che ho subito è piuttosto subdolo, infatti, tanto per iniziare, solo un’attenta e costante verifica mi ha permesso di rendermene conto. Questo perché il problema non si verificava quando accedevo al sito come utente loggato, ma esclusivamente dalla ricerca Google. Ovviamente non è una casualità, ma frutto, per quanto malevolo, dell’ottimo lavoro dell’hacker, e più avanti scoprirai il perché.

Cosa fare se il tuo sito WordPress reindirizza a siti spam

Essendo la prima volta che subivo un attacco simile, sono stato colto alla sprovvista e di conseguenza ho cercato supporto tra colleghi, al mio fornitore di hosting e sul web per consultare testimonianze e informazioni in merito.

Col senno di poi, le modalità di azione sono due: per entrambe dovrai avere un minimo di conoscenza e praticità con la gestione del database, delle cartelle e dei file del sito. Avrai quindi bisogno di accedere al cpanel del tuo hosting e avere la possibilità di operare da lì. Vediamole nello specifico:

Metodo 1

Sostituire db e file attuali, con una versione recuperata da backup precedente all’attacco hacker con reindirizzamento. In questo caso, prima di procedere alla sostituzione dovresti accertarti che il malware non sia già presente nelle tua copia backup. Far ciò senza conoscere da dove è arrivata la minaccia è un po’ un “andare per tentativi”, ma se non hai abbastanza tempo e/o voglia, potresti essere fortunato e risolvere. Cosa non meno importante, se il sito attaccato è un e-commerce o un sito con modifiche e aggiornamenti frequenti, utilizzando una vecchia copia di backup potresti perdere irrimediabilmente tutti gli ultimi contenuti, quali: dati di vendita, aggiornamento sulle offerte dei prodotti, immagini, testi, ecc…

Note positive: veloce.

Note negative: rischio che il problema non sia risolto definitivamente, perdita di dati.

Metodo 2 > consigliato

Indagare sull’origine del problema ed eliminarlo alla radice. In questo caso ti dovrai armare di pazienza e probabilmente utilizzare più strumenti per l’indagine. Di seguito di cito i due che più mi hanno aiutato a scovare l’intruso. Per il resto, se non vuoi ricorrere al pagamento di questo o quell’altro servizio, dovrai sporcarti tu le mani e cercare i file corrotti(posso assicurarti che, a opera compiuta, è una vera goduria!).

Strumenti utili: Wordfence, l’unico plugin gratuito che è riuscito a darmi indicazioni su dove cercare il malware – Quttera, un ottimo sito per la scansione gratuita del tuo sito.

Note positive: eliminazione permanente del malware, nessuna perdita di dati.

Note negative: potrebbe richiedere diverse ore.

Si stima che siano circa 100.000 i siti WordPress colpiti, ma le informazioni su come risolvere un attacco hacker con redirect non sono moltissime (in italiano ancor meno) e molto generiche.

Per questo ho deciso di pubblicare la mia esperienza diretta, sperando sia d’aiuto per risolvere il problema in linea generale e nello specifico il mio stesso attacco.

Come ho eliminato il malware che reindirizzava il mio sito su starbuck.xyz

Come consigliato in precedenza, ho iniziato ad indagare per capire com’è stato “bucato” il mio sito, qual è il comportamento del malware e come eliminare definitivamente la minaccia. Nel frattempo il mio sito WordPress continuava a reindirizzare i visitatori al link starbuck.xyz.

Ho seguito i consigli di guide e tutorial per ore… Dopo aver disattivato e rimosso uno a uno i plugin “a rischio” e non aver risolto niente, sono passato a spulciare file del core di WordPress e non solo (function.php, header.php, index.php, ecc…). Risultato? Nessun passo avanti. Allora ho installato un plugin per la scansione del database e uno per quella del sito. Quest’ultimo mi ha fornito una lista di circa 50 file sospetti. Controllati uno ad uno e…? Nessuna traccia di starbuck.xyz o di codici manomessi!

Ero praticamente finito in un vicolo cieco, quando ho trovato Quttera.com che non conoscevo e grazie al quale ho scansionato il sito. Beh, non un grandissimo aiuto perché non fornisce molte informazioni sul malware, ma almeno ne ha constatato l’esistenza e la presenza su tutte le pagine del mio sito.

starbuck.xyz

Nel frattempo avevo installato e iniziato la scansione con Wordfence (uno dei plugin per la protezione del sito più conosciuti, ma che ho sempre evitato perché, a mio avviso, eccessivamente pesante). Quando per caso una cartella situata tra quelle dei plugin ha attirato la mia attenzione: zend-font-wp.

La causa del sito WordPress hackerato con redirect è zend-font-wp e non starbuck.xyz o qualsiasi altro dominio

Se come il mio, il tuo sito wordpress è stato hackerato con redirect su starbuck.xyz, nei file e nel codice non troverai niente che riguarda starbuck.xyz. Il tuo nemico è molto probabilmente il finto plugin zend-font-wp. Quindi scovalo nella cartella dei plugin ed eliminalo insieme al file del database wp_wzen_time_table. Così avrai finito di penare e il tuo problema sarà risolto.

Zend-font-wp: info e curiosità sul finto plugin di WordPress

Strano a dirsi, ma una volta che non è più pericoloso per il mio sito, provo una certa ammirazione nel lavoro meticoloso e capace di chi lo ha ideato.

  • LO SCOPO: Il suo scopo è senza dubbio quello di portare traffico su siti spam o altri domini, magari con l’intento finale di acquisire dati sensibili del malcapitato. Di conseguenza è deprecabile, ma quello che mi affascina è la capacità di ideare un sistema all’apparenza semplice, ma sofisticato in grado di bucare anche siti costantemente aggiornati.
  • COME ENTRA NEL SITO: L’unico dubbio che mi resta infatti di tutta questa faccenda, è il come sia riuscito ad entrare nel mio sito. Ma se leggi il secondo dei due consigli da portare sempre con te potrai scoprire il modo per cui questo non accada più.
  • DOVE TROVARLO E COME È PROGETTATO: il malware che permetteva il reindirizzamento del mio sito, si finge un plugin di WordPress. Infatti simula perfettamente dall’esterno, e non solo, l’aspetto di un plugin. Addirittura il file dove è inserito il codice dannoso, è “abbellito” da commenti html. Per trovarlo basta andare nella cartella dei plugin del tuo sito, da lì inietta codice php a tutte le pagine che verranno reindirizzate automaticamente al sito spam. A parte questo, si nasconde bene. Infatti dalla tua bacheca di WordPress non troverai nessuna traccia e l’unico altro indizio che lascia è un file database nominato wp_wzen_time_table. È grazie a quest’ultimo che riesce a rubare i dati dell’utente loggato al sito e a stabilire che questo, una volta avuto accesso al sito, non si accorga del reindirizzamento.

Due consigli da portare sempre con te:

  • Cerca il giusto compromesso tra prestazione e protezione. È ovvio, maggiore è il controllo manuale che puoi avere sui tuoi siti, minore è la necessità di plugin che ti avvisano di eventuali pericoli e che appesantiscono il tuo sito. A te la scelta, ma ricorda che non esistono siti web impenetrabili o strumenti che li rendono tali.
  • Come promesso il metodo perché sorprese del genere non colpiscano più il tuo sito WordPress: crea un nuovo file .htaccess nella cartella “upload” e incolla il seguente codice:

<Files *.php>
deny from all
</Files>

Se questo articolo ti è stato d’aiuto, ti è piaciuto o hai domande, lascia un commento e aiutami a condividerlo con più persone. Se hai bisogno di aiuto con sito wordpress hackerato con redirect, non esitare a contattarmi!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna su