Come rimuovere un malware dal sito WordPress
Nel precedente articolo abbiamo parlato di come proteggere il sito WordPress da attacchi. Se il tuo sito è già stato attaccato (o come si dice in questi casi “bucato”) puoi consultare questo articolo dove abbiamo spiegato i passaggi principali da seguire per rimuovere l’infezione.Innanzitutto non facciamoci prendere dal panico, anche se esistono diversi tipi di malware la procedura di rimozione è molto simile.
Perchè il sito viene attaccato?
Quando un sito wordpress viene bucato è perchè da qualche parte c’è una falla. Le principali criticità possono essere:
- Versione di WordPress non aggiornata
- Plugin non aggiornati
- Tema non aggiornato
- Plugin installato con poco trust
- Versione PHP obsoleta
- Password di accesso troppo semplice
- Falla su hosting provider
I sintomi nella maggior parte dei casi sono popup pubblicitari o reindirizzamenti verso siti terzi. A volte capita anche che vengano creati centinaia di contenuti spammosi sotto forma di pagine, articoli e commenti.
Ripristino backup
Se abbiamo un backup di sito e database e non abbiamo effettuato modifiche recenti, la cosa più veloce da fare è procedere al ripristino. Al giorno d’oggi la maggior parte dei provider hosting fornisce un sistema di backup automatico. Di solito viene fatto un backup completo giornaliero poi, a seconda del fornitore, vengono resi disponibili in un periodo che varia dagli ultimi 7 giorni ai 60. Se ripristinando il backup di sito e database il malware scompare abbiamo risolto, diversamente proseguire con la lettura dell’articolo.
Procedura rimozione malware WordPress
1 Scaricare WordPress
Scarichiamo una versione pulita di wordpress che ci servirà per sostituire alcuni file e cartelle. WordPress è disponibile a questo indirizzo.
2 Backup sito e Database
Prima di fare qualsiasi cosa effettuiamo un backup del sito e del database, è possibile effettuare questa operazione manualmente o tramite plugin terzi. Se effettuiamo a mano il backup basterà salvare tutti i file che troviamo nel nostro spazio FTP, per quanto riguarda invece il Database dobbiamo entrare nel Phpmyadmin e fare l’export completo. Se preferiamo utilizzare un plugin il più conosciuto è BackWpUp scaricabile qui.
3 Rimozione e ripristino file
A questo punto apriamo il nostro spazio FTP. Se non abbiamo mai effettuato questa operazione, per entrare nell’ftp occorre avere un programma (il più conosciuto è Filezilla reperibile qui) ed avere i parametri di accesso forniti dal provider hosting. I parametri che ci servono sono 3
- Host ftp (può essere un indirizzo ip oppure un nome tipo ftp.nomesito.ext)
- Nome utente ftp
- Password ftp
Una volta entrati procediamo a cancellare queste due cartelle: wp-admin e wp-includes
cancelliamo anche tutti i files che iniziano con wp- (es wp-activate.php) tranne il file chiamato wp-config.ed il file chiamato index.php
A questo punto prima di procedere dobbiamo fare una cosa molto importante. Apriamo la cartella di wordpress che abbiamo scaricato poco fa e controlliamo i file al suo interno. Nello spazio ftp devono esserci gli stessi file che ci sono li dentro + il file wp-config.php. Dobbiamo effettuare questo controllo perchè spesso succede che vengano creati dei file aggiuntivi malevoli. Non esiste una regola ma potrebbero avere nomi tipo admin.php, backup.php, ecc ecc. Se troviamo questi file all’interno dello spazio ftp dobbiamo eliminarli.
Fatta anche questa operazione dobbiamo andare a caricare i file e le cartelle che abbiamo cancellato. Basterà trascinarli dalla cartella wordpress originale fino allo spazio ftp.
4 Accesso al backend WordPress
A questo punto accediamo al backend di WordPress. Una volta entrati dobbiamo fare alcuni controlli:
- Verifichiamo nella sezione “articoli” se non ci sono articoli sospetti, nel caso procediamo alla cancellazione;
- Verifichiamo nella sezione “commenti” che non ci siano commenti sospetti, nel caso procediamo alla cancellazione;
- Verifichiamo nella sezione “commenti” che non ci siano commenti sospetti, nel caso procediamo alla cancellazione;
- Andiamo a controllare nella sezione “utenti” che non ci siano utenti che non ci risultano. Alcuni malware creano nomi utenti come wp-backup, admin, adminbackup, e così via
5 Scansione del sito
Installiamo a questo punto il plugin “Wordfence” (va benissimo anche la versione gratuita) e procediamo con la scansione. Al termine della scansione eliminiamo eventuali file ritenuti dannosi e ripetiamola.
6 Modifica password e accessi
Modifichiamo le password di accesso wordpress e la password ftp. Per aumentare ulteriormente la sicurezza modifichiamo la url di login. Possiamo usare ad esempio WPS hide login scaricabile qui.
La procedura descritta in questo articolo funziona nella maggior parte dei casi. Se il malware continua a infestare il nostro sito dobbiamo effettuare altre operazioni di check, ecco le principali:
- Verificare che non ci siano plugin malevoli installati. Già possiamo accorgerci se qualcosa non va dopo la scansione di Wordfence. Se sul nostro sito c’è qualche plugin installato nulled o con una scarsa reputazione è buona cosa cancellarlo;
- Entrare nel database wordpress tramite phpmyadmin e fare un check generale. Questa è un’operazione più complicata ma per esperienza le casistiche in cui accade di doverci mettere mano sono piuttosto basse;
Se anche queste operazioni non portano al risultato sperato il consiglio è di aprire un ticket con il vostro provider spiegando passo passo tutte le operazioni che avete eseguito per tentare la bonifica. I malware sui siti wordpress sono piuttosto diffusi perchè alla maggior parte dei siti non viene fatta una corretta manutenzione. Se hai un sito WordPress e desideri che sia sempre aggiornato ed efficiente, contattaci senza impegno per una quotazione.