Rimuovere malware da un sito WordPress

In questo articolo andremo a vedere come rimuovere malware da un sito WordPress, ma prima però dobbiamo capire cos’è un malware e soprattutto come funziona.

Che cos’è un malware?

Il termine malware è molto ampio e può essere utilizzato per descrivere molte diverse vulnerabilità di sicurezza, come virus informatici, spyware, adware, software intrusivi, ecc. Questo di solito è sotto forma di codice eseguibile e script che sono progettati per accedere segretamente un sistema senza la conoscenza dell’utente. In genere le persone pensano al malware come a qualcosa che infetta il proprio computer o laptop, che richiede quindi un software anti-virus. Ma il malware funziona allo stesso modo su server web e siti web. Se si scarica un plugin con un virus in uno dei file e poi si installa quel plugin sul proprio sito WordPress, può infettare l’intero sito web e diffonderlo esattamente come nel computer.

Cosa comporta la presenza di un malware sul tuo sito?

Prima di andare a vedere come rimuovere malware da un sito WordPress, andiamo ad analizzare tutti i problemi che può comportare un malware una volta che si è insinuato nel tuo sito web.

Uso eccessivo delle risorse del server

Quando il tuo server viene hackerato e compromesso, significa che qualcun altro (in questo caso un hacker) utilizza parzialmente o interamente le risorse del tuo server a loro vantaggio. Potrebbero usarlo per fare un sacco di cose diverse come:

Attaccare altri siti web

L’utilizzo di una singola macchina per attaccare i siti web è rischioso perché può essere facilmente rilevata e inserita nella lista nera di Google. Il rilevamento di un gran numero di macchine però è difficile, motivo per cui gli hacker sono costantemente alla ricerca di nuovi host. Si sa persino che gli hacker utilizzano siti web popolari per attaccare siti mirati in modo che non generino immediatamente allarme.

Nella maggior parte dei casi, gli attacchi malware non vengono rilevati perché lo scopo di tali attacchi è quello di utilizzare le risorse del server senza attirare l’attenzione. Tuttavia, puoi rilevare se il tuo sito web viene sfruttato notando se il rendimento del tuo sito è in ritardo. Noterai che il tuo sito ha subito un rallentamento improvviso.

Forse vedrai che il tuo server web non è disponibile per i visitatori del tuo sito perché la maggior parte del tuo server viene utilizzata per eseguire attività indesiderate. Ci sono molti altri modi in cui l’hacking influisce sul rendimento del tuo sito. Ti suggeriamo di tenere d’occhio qualsiasi cambiamento improvviso nel tuo sito web e di agire immediatamente.

Invio di e-mail di spam

Lo spam di posta è inevitabile. Milioni di rapporti di spam vengono inviati ogni giorno e rappresentano il 59,56% del traffico su Internet.

Gli hacker utilizzano siti web compromessi per inviare centinaia e migliaia di e-mail di spam per diversi scopi. I server di posta elettronica in tutto il mondo utilizzano metodi diversi per gestire lo spam. Monitorano gli IP dei server inviando email di spam e inserendoli nella blacklist. Pertanto, gli hacker sono sempre alla ricerca di indirizzi IP con un record pulito, cioè che gli IP non sono bloccati dai provider di posta elettronica più diffusi.

In diversi casi, ci siamo imbattuti in casi in cui i proprietari di un sito web sono completamente inconsapevoli di ciò che sta accadendo fino a quando l’host non identifica qualcosa di strano e li avverte su di esso. A questo punto, potrebbe essere troppo tardi e i domini sono già nella lista nera dei servizi di watchdog dello spam.

Se il tuo sito viene violato e migliaia di e-mail di spam vengono inviate tramite il tuo server, il tuo servizio di hosting può anche sospendere il tuo account fino a quando non lo pulisci e rimuovi tutto il malware, che è una delle peggiori cose che possa accadere a qualsiasi sito web.

Utilizzo di una grande quantità di spazio su disco

Gli hacker possono avere diversi scopi in mente quando accedono al tuo sito. Alcuni hacker potrebbero aver violato il tuo sito per archiviare milioni di file. Questi file occupano una grande quantità di spazio su disco. Il peso di quei file sconosciuti tende a impantanarsi nel tuo sito web.

Per coloro che non lo sanno, i piani di hosting illimitati hanno un limite. Ciò può portare a situazioni in cui non è possibile aggiungere alcun contenuto. Inoltre, il mantenimento del tuo sito diventerà una sfida con un sacco di file indesiderati disseminati sul sito. Inoltre, il tuo server web può sospendere o vietare il tuo account a causa di attività dannose sul tuo sito.

Rallentamento del sito

Quando i visitatori fanno una richiesta per caricare una pagina dal tuo sito, gli hacker possono recuperare file da altri server e caricarli insieme alla tua pagina. Questo può danneggiare le prestazioni del tuo sito perché l’intero processo richiede molto tempo.

Deterioramento dell’esperienza utente / prestazioni del browser

I malware in WordPress possono influenzare il modo in cui i visitatori vedono il tuo sito web. L’esperienza utente in un sito è importante per il successo del sito (o dell’azienda). Se i tuoi utenti non sono soddisfatti del rendimento del tuo sito, potrebbero non tornare (o usare il tuo servizio – se ne stai offrendo uno).

I siti web diventano lenti

Gli studi dimostrano che l’attenzione media degli uomini si è ridotta da dodici secondi nel 2000 a otto secondi in questa era digitale. Pertanto, i siti web lenti sono dannosi per le aziende.

Abbiamo discusso in precedenza su come un uso eccessivo delle risorse del server rallenti il ​​tuo sito. Se il tuo sito web impiega troppo tempo per essere aperto, è probabile che le persone ne usciranno entro pochi secondi. In questo modo, perderai dei visitatori prima di averne. Inoltre, può avere effetti disastrosi sul business online come i siti di e-commerce.  Nel 2013 per esempio, il gigante Amazon ha perso 66.240 $ al minuto durante un periodo di inattività di trenta minuti.

Mining di criptovalute

Probabilmente hai sentito parlare di Bitcoin – la criptovaluta più popolare. Esso viene generato attraverso un processo chiamato “mining“. Negli ultimi due anni le criptovalute hanno guadagnato popolarità e sempre più persone le acquistano e le vendono.

Poiché il Bitcoin è aumentato di prezzo, questo processo è popolare tra gli hacker che vogliono arricchirsi rapidamente.
Gli hacker infettano siti web con malware e installano minatori di criptovaluta. Usano i browser dei tuoi visitatori per estrarre la criptovaluta ogni volta che aprono il tuo sito. Il tuo sito web potrebbe essere uno di questi siti sfortunati. Se stai riscontrando un improvviso cambiamento delle prestazioni del tuo sito web, è possibile che gli hacker sfruttino la potenza del processore della tua macchina allo scopo di estrarre la criptovaluta.

Blacklist di Google

Google è il più grande motore di ricerca sul web e mira a fornire ai propri utenti la migliore esperienza utente. Migliaia di siti web sono inseriti nella lista nera dal gigante dei motori di ricerca ogni giorno. Molti di questi siti sono aziende legittime (come la tua). Il tuo sito web potrebbe sembrare aderire alle linee guida di Google e tuttavia ti trovi improvvisamente nella lista nera.

La blacklist si verifica spesso a causa dell’inserimento di un codice malevolo nel sito web senza la tua autorizzazione. Una volta inserito il tuo sito WordPress nella blacklist, i tuoi visitatori non potranno accedere al tuo sito. Google impedirà agli utenti di visitare un sito compromesso al fine di proteggere il proprio computer dall’infezione.

A seguito dell’inserimento nella lista nera di Google, il tuo sito web non sarà raggiungibile per giorni. Avrà un impatto negativo sul tuo SEO e finirai per perdere il ranking della ricerca, con conseguente calo del traffico organico. Sfortunatamente, danneggerà anche la reputazione che hai lavorato così duramente per costruire.

Come verificare la presenza di malware?

La difficoltà di trovare un malware è in realtà capire come è arrivato nel tuo sito! Andiamo a vedere come rimuovere malware da un sito WordPress. Iniziamo col considerare che il codice malevolo si trova più spesso in:

• Manutenzione: prima di tutto, bisogna indirizzare il malware a una pagina di manutenzione e eseguire il backup del sito. Non utilizzare la manutenzione predefinita di WordPress o un plugin di manutenzione poiché questi eseguiranno ancora WordPress sul server. Vuoi assicurarti che nessuno stia eseguendo alcun file PHP sul sito. Mentre ci sei, controlla il tuo file .htaccess sul server web per assicurarti che non ci siano codici che potrebbero reindirizzare il traffico.
• Cerca i file del tuo sito tramite SFTP o FTP e identifica le ultime modifiche ai file in plugin, temi o file core di WordPress. Apri quei file e cerca eventuali modifiche che aggiungano script o comandi Base64 (usati per nascondere l’esecuzione dello script del server).
• Confronta i principali file WordPress nella directory principale, nella directory wp-admin e nelle directory wp-include per vedere se esistono nuovi file o file di dimensioni diverse. Risolvi ogni singolo file. Anche se trovi e rimuovi un malware, continua a cercare perché molti hacker lasciano backdoor per infettare nuovamente il sito. Non semplicemente sovrascrivere o reinstallare WordPress, gli hacker spesso aggiungono script dannosi nella directory radice e chiamano lo script in un altro modo per far funzionare nuovamente l’hack. Gli script di malware meno complessi in genere inseriscono semplicemente i file di script in header.php o footer.php. Gli script più complessi modificheranno effettivamente ogni file PHP sul server con il codice di re-injection in modo da avere difficoltà a rimuoverlo.
• Rimuovi gli script pubblicitari di terze parti che potrebbero essere la fonte.
• Controlla la tabella del database dei tuoi post per gli script incorporati nel contenuto della pagina. Puoi farlo effettuando semplici ricerche utilizzando PHPMyAdmin e cercando gli URL di richiesta o i tag di script.

 Come rimuovere malware da un sito WordPress: vari plugin di scansione

Molti plugin possono eseguire la scansione del tuo sito WordPress alla ricerca di malware. Poiché funzionano all’interno del tuo sito WordPress, possono eseguire la scansione dei file e del database del tuo sito. Tali scansioni del malware sono più accurate delle scansioni remote. Andiamo a vedere altri modi per rimuovere malware da un sito WordPress e diamo un’occhiata ad alcuni dei plugin di scansione di sicurezza migliori di WordPress.

• Sucuri Security include uno scanner di malware alimentato da Sucuri SiteCheck. Analizza anche iframe, collegamenti, script e file modificati.
• Wordfence analizza i file di base, i temi e i plugin contro le versioni del repository di WordPress.org per verificarne l’integrità. Esegue la scansione di malware, inclusi backdoor e trojan. Esegue anche la scansione degli URL di phishing.
• My WordPress Health Check controlla se il tuo server sta eseguendo software obsoleto, se il tuo sito WordPress sta eseguendo software obsoleto, se il tuo sito ha delle vulnerabilità e se il tuo sito segue altre best practice di sicurezza di WordPress.
• Anti-Malware e Brute-Force Firewall esegue la scansione delle minacce alla sicurezza note e degli script backdoor.

In questo articolo abbiamo visto tutte le caratteristiche di un malware, abbiamo visto come capire se il nostro sito web è stato infettato e abbiamo scoperto come rimuovere malware da un sito WordPress. Se la sicurezza del tuo sito web ti preoccupa,  richiedi una consulenza gratuita!