Sito WordPress hackerato con redirect
Hai notato che le pagine del tuo sito reindirizzano verso siti spam e temi che il tuo sito WordPress sia stato hackerato con redirect? Il timore è giustificato, perché il rischio che le sue difese siano state bucate è davvero concreto. Ho appena affrontato e superato questo genere di disavventura, e di seguito cercherò di aiutarti a risolvere e a prevenire eventuali attacchi al tuo sito WordPress.
“Si stima siano circa 100.000 i siti WordPress colpiti in pochi giorni.”
Sito WordPress hackerato con redirect
Regolarmente effettuo un Check-Up per verificare la salute e il corretto funzionamento dei siti WordPress che gestisco. Durante uno di questi controlli ho fatto la spiacevole scoperta che uno di questi, avesse subito un attacco hacker con redirect. Nello specifico le pagine di questo sito (amilkare.it) reindirizzavano tutte verso un altro dominio.
Il tuo sito è stato hackerato con redirect? Come scoprirlo
Come spesso capita, il genere di attacco che ho subito è piuttosto subdolo, infatti, tanto per iniziare, solo un’attenta e costante verifica mi ha permesso di rendermene conto. Questo perché il problema non si verificava quando accedevo al sito come utente loggato, ma esclusivamente dalla ricerca Google. Ovviamente non è una casualità, ma frutto, per quanto malevolo, dell’ottimo lavoro dell’hacker, più avanti scoprirai il perché.
Si stima che siano circa 100.000 i siti WordPress colpiti, ma le informazioni su come risolvere un attacco hacker con redirect non sono moltissime (in italiano ancor meno) e molto generiche. Per questo ho deciso di pubblicare la mia esperienza diretta, sperando sia d’aiuto per risolvere il problema in linea generale e nello specifico il mio stesso attacco.
Cosa fare se il tuo sito WordPress reindirizza a siti spam
Essendo la prima volta che subivo un attacco simile, sono stato colto alla sprovvista e di conseguenza ho cercato supporto tra colleghi, al mio fornitore di hosting e sul web per consultare testimonianze e informazioni in merito. Col senno di poi, le modalità di azione sono due: per entrambe dovrai avere un minimo di conoscenza e praticità con la gestione del database, delle cartelle e dei file del sito. Avrai quindi bisogno di accedere al cpanel del tuo hosting e avere la possibilità di operare da lì. Vediamole nello specifico:
Metodo 1
Sostituire db e file attuali, con una versione recuperata da backup precedente all’attacco hacker con reindirizzamento. In questo caso, prima di procedere alla sostituzione dovresti accertarti che il malware non sia già presente nelle tua copia backup. Far ciò senza conoscere da dove è arrivata la minaccia è un po’ un “andare per tentativi”, ma se non hai abbastanza tempo e/o voglia, potresti essere fortunato e risolvere. Cosa non meno importante, se il sito attaccato è un e-commerce o un sito con modifiche e aggiornamenti frequenti, utilizzando una vecchia copia di backup potresti perdere irrimediabilmente tutti gli ultimi contenuti, quali: dati di vendita, aggiornamento sulle offerte dei prodotti, immagini, testi, ecc…
Note positive: veloce.
Note negative: rischio che il problema non sia risolto definitivamente, perdita di dati.
Metodo 2 > consigliato
Indagare sull’origine del problema ed eliminarlo alla radice. In questo caso ti dovrai armare di pazienza e probabilmente utilizzare più strumenti per l’indagine. Di seguito di cito i due che più mi hanno aiutato a scovare l’intruso. Per il resto, se non vuoi ricorrere al pagamento di questo o quell’altro servizio, dovrai sporcarti tu le mani e cercare i file corrotti(posso assicurarti che, a opera compiuta, è una vera goduria!).
Strumenti utili: Wordfence, l’unico plugin gratuito che è riuscito a darmi indicazioni su dove cercare il malware – Quttera, un ottimo sito per la scansione gratuita del tuo sito.
Note positive: eliminazione permanente del malware, nessuna perdita di dati.
Note negative: potrebbe richiedere diverse ore.
Come ho eliminato il malware che reindirizzava il mio sito su starbuck.xyz
Come consigliato in precedenza, ho iniziato ad indagare per capire com’è stato “bucato” il mio sito, qual è il comportamento del malware e come eliminare definitivamente la minaccia. Nel frattempo il mio sito WordPress continuava a reindirizzare i visitatori al link starbuck.xyz.
Ho seguito i consigli di guide e tutorial per ore… Dopo aver disattivato e rimosso uno a uno i plugin “a rischio” e non aver risolto niente, sono passato a spulciare file del core di WordPress e non solo (function.php, header.php, index.php, ecc…). Risultato? Nessun passo avanti. Allora ho installato un plugin per la scansione del database e uno per quella del sito. Quest’ultimo mi ha fornito una lista di circa 50 file sospetti. Controllati uno ad uno e…? Nessuna traccia di starbuck.xyz o di codici manomessi!
Ero praticamente finito in un vicolo cieco, quando ho trovato Quttera.com che non conoscevo e grazie al quale ho scansionato il sito. Beh, non un grandissimo aiuto perché non fornisce molte informazioni sul malware, ma almeno ne ha constatato l’esistenza e la presenza su tutte le pagine del mio sito.
Nel frattempo avevo installato e iniziato la scansione con Wordfence (uno dei plugin per la protezione del sito più conosciuti, ma che ho sempre evitato perché, a mio avviso, eccessivamente pesante). Quando per caso una cartella situata tra quelle dei plugin ha attirato la mia attenzione: zend-font-wp.
La vera causa del sito WordPress hackerato con redirect
Se come il mio, il tuo sito wordpress è stato hackerato con redirect su starbuck.xyz, nei file e nel codice non troverai niente che riguarda starbuck.xyz. Il tuo nemico è molto probabilmente il finto plugin zend-font-wp. Quindi scovalo nella cartella dei plugin ed eliminalo insieme al file del database wp_wzen_time_table. Così avrai finito di penare e il tuo problema sarà risolto.
Zend-font-wp: info e curiosità sul finto plugin di WordPress
Strano a dirsi, ma una volta che non è più pericoloso per il mio sito, provo una certa ammirazione nel lavoro meticoloso e capace di chi lo ha ideato.
– Lo scopo
Il suo scopo è senza dubbio quello di portare traffico su siti spam o altri domini, magari con l’intento finale di acquisire dati sensibili del malcapitato. Di conseguenza è deprecabile, ma quello che mi affascina è la capacità di ideare un sistema all’apparenza semplice, ma sofisticato in grado di bucare anche siti costantemente aggiornati.
– Dove trovarlo e come è stato progettato
Il malware che permetteva il reindirizzamento del mio sito, si finge un plugin di WordPress. Infatti simula perfettamente dall’esterno, e non solo, l’aspetto di un plugin. Addirittura il file dove è inserito il codice dannoso, è “abbellito” da commenti html. Per trovarlo basta andare nella cartella dei plugin del tuo sito, da lì inietta codice php a tutte le pagine che verranno reindirizzate automaticamente al sito spam. A parte questo, si nasconde bene. Infatti dalla tua bacheca di WordPress non troverai nessuna traccia e l’unico altro indizio che lascia è un file database nominato wp_wzen_time_table. È grazie a quest’ultimo che riesce a rubare i dati dell’utente loggato al sito e a stabilire che questo, una volta avuto accesso al sito, non si accorga del reindirizzamento.
– Come entra nel sito
L’unico dubbio che mi resta infatti di tutta questa faccenda, è il come sia riuscito ad entrare nel mio sito. Ma se leggi il secondo dei due consigli da portare sempre con te potrai scoprire il modo per cui questo non accada più.
2 consigli da portare sempre con te
Non mi dilungo ancora. Ma se ti sta prendendo un’irrefrenabile voglia di apparire sul web col tuo sito internet, dedica alla scelta del fornitore il tempo necessario, consulta più professionisti o agenzie, indaga su queste, e diffida dai fornitori di siti web low-cost.
1 – Cerca il giusto compromesso tra prestazione e protezione. È ovvio, maggiore è il controllo manuale che puoi avere sui tuoi siti, minore è la necessità di plugin che ti avvisano di eventuali pericoli e che appesantiscono il tuo sito. A te la scelta, ma ricorda che non esistono siti web impenetrabili o strumenti che li rendono tali.
2 – Come promesso, ecco il metodo perché sorprese del genere non colpiscano più il tuo sito WordPress: crea un nuovo file .htaccess nella cartella “upload” e incolla il seguente codice:
<Files *.php>
deny from all
</Files>
Se questo articolo ti è stato d’aiuto, ti è piaciuto o hai domande, lascia un commento e aiutami a condividerlo con più persone. Se hai bisogno di aiuto con sito wordpress hackerato con redirect, non esitare a contattarmi!
Grazie! mi hai salvato
Grande! Mi fa piacere che l’articolo ti sia stato d’aiuto!
Grazie! Questo articolo ha salvato anche me, purtroppo non sono un esperto del codice quindi che wordfence mi indicava quali potrebbero avere il virus mi aiutava ben poco purtroppo…però ho ripristinato un backup antecedente al virus, e dopo poco veniva di nuovo infettato, invece ripristinando di nuovo il backup e mettendo quel file .htaccess nella cartella upload dove hai specificato non è più accaduto per fortuna, sei un grande grazie!
Ciao Danilo e grazie! Mi fa piacere che sia riuscito a risolvere grazie a questa guida. Se dovessi avere problemi in futuro non esitare a contattarmi!