WordPress violato: cosa fare?

Il vostro sito web ha cambiato aspetto senza il vostro in­ter­ven­to o il login a WordPress non funziona più? Questi possono essere segnali che il vostro sito WordPress è stato violato. For­tu­na­ta­men­te, potete risolvere il problema in pochi passaggi.

Spesso è im­pos­si­bi­le capire di­ret­ta­men­te se un sito WordPress è stato violato. Tuttavia, ci sono alcuni indizi che vi per­met­to­no di capirlo.

• Il login non funziona: se non riuscite più ad accedere, ciò potrebbe indicare che il vostro sito web è stato violato e che chi ha ef­fet­tua­to l’attacco ha anche cambiato la password. Tuttavia, provate prima a reim­po­sta­re la password di WordPress per as­si­cu­rar­vi che non abbiate di­men­ti­ca­to i vostri dati di accesso.
   
• Avvisi del browser: può capitare che il vostro browser emetta un avviso quando cercate di accedere al vostro sito web WordPress. Anche questo può essere un indizio di un attacco hacker. Tuttavia, il motivo dell’avviso potrebbe essere anche un problema di SSL o di plugin WordPress non ag­gior­na­ti.
   
• Avvisi del motore di ricerca: ana­lo­ga­men­te agli avvisi del browser, anche quelli dei motori di ricerca possono indicare che il vostro WordPress è stato violato. In par­ti­co­la­re, tali avvisi possono indicare la presenza di attacchi alle sitemap.
   
• Rein­di­riz­za­men­ti: se provate ad accedere al vostro sito web e venite im­me­dia­ta­men­te rein­di­riz­za­ti a un’altra pagina, anche questo è un segnale che il vostro sito WordPress è stato violato. Chi effettua gli attacchi spesso aggiunge script ai siti web che impostano rein­di­riz­za­men­ti a siti web di loro scelta.
   
• Il vostro sito web ha un aspetto diverso: anche l’aspetto del vostro sito WordPress può co­sti­tui­re l’in­di­ca­to­re di un attacco. Se notate modifiche che non avete apportato voi, dovreste fare at­ten­zio­ne. I cam­bia­men­ti non devono essere par­ti­co­lar­men­te evidenti: anche singoli link a pagine per le quali non avevate impostato un col­le­ga­men­to possono indicare un’attività sospetta.

Ci sono diversi motivi per cui il vostro sito WordPress potrebbe essere vittima di un attacco hacker. Le cause più comuni degli attacchi hacker sono password poco sicure, software mo­di­fi­ca­ti o codici non sicuri. Se uti­liz­za­te temi e plugin pro­ve­nien­ti da fonti incerte o non ag­gior­na­te re­go­lar­men­te il software in uso, possono ve­ri­fi­car­si falle di sicurezza sfrut­ta­bi­li dagli hacker. Anche i provider di hosting poco af­fi­da­bi­li, che non pro­teg­go­no i loro server da attacchi esterni, sono un possibile punto di accesso.

Se il vostro sito WordPress è stato violato, ci sono una serie di misure che potete adottare. Le azioni da in­tra­pren­de­re e i passi da compiere dipendono, tra le altre cose, dal tipo di attacco hacker. Se il vostro login admin di WordPress non funziona più e non riuscite nemmeno a reim­po­sta­re le password, vale la pena di vedere se potete ancora accedere al contenuto del database con strumenti come ph­p­MyAd­min.

Per prima cosa, dovreste mettere il vostro sito in modalità ma­nu­ten­zio­ne di WordPress o metterlo ad­di­rit­tu­ra com­ple­ta­men­te offline. In questo modo, vi as­si­cu­ra­te che l’utenza non possa più accedere al vostro sito web mentre risolvete i problemi dell’attacco hacker.

Vale anche la pena di ef­fet­tua­re un backup di WordPress, così potrete accedere a tutti i file in qualsiasi momento ed even­tual­men­te annullare le modifiche. Un backup è una buona idea anche per pre­ser­va­re le prove. Se riuscite a in­di­vi­dua­re l’attacco hacker in tempo, potreste ad­di­rit­tu­ra avere la pos­si­bi­li­tà di ripiegare su un backup creato prima dell’attacco. Na­tu­ral­men­te, questo funziona solo se non sono state apportate modifiche so­stan­zia­li al sito da quel momento.

Se il vostro WordPress è stato violato, il problema potrebbe non ri­guar­da­re il sito stesso. È possibile che gli hacker abbiano uti­liz­za­to un computer locale come punto di accesso per l’hacking, ad esempio iniet­tan­do un malware che spia le password. Pertanto, as­si­cu­ra­te­vi di con­trol­la­re il vostro PC per ve­ri­fi­ca­re la presenza di tale software. Gli antivirus possono aiutarvi a ri­co­no­sce­re e rimuovere i malware.

È anche im­por­tan­te reim­po­sta­re tutte le password e so­sti­tuir­le con password sicure. Se la password di WordPress è stata uti­liz­za­ta anche per altri accessi, è ne­ces­sa­rio cambiare i dati di accesso anche sugli altri siti web. Al­tri­men­ti, correte il rischio che anche gli altri account vengano violati.

Per prima cosa, dovreste reim­po­sta­re la password dell’account admin di WordPress. È inoltre ne­ces­sa­rio mo­di­fi­ca­re la password SFTP, quella del database e del provider di hosting. Se avete altri am­mi­ni­stra­to­ri o altre am­mi­ni­stra­tri­ci che operano sul vostro sito WordPress, anche loro do­vreb­be­ro cambiare le loro password il prima possibile.

Se sul vostro sito WordPress trovate account admin sco­no­sciu­ti, dovreste ri­muo­ver­li. Potrebbe trattarsi di account creati dagli hacker per apportare modifiche al vostro sito web. Andate su “Utenti” e poi su “Am­mi­ni­stra­to­re”. Rimuovete dall’elenco tutti gli account che non ri­co­no­sce­te.

Come passo suc­ces­si­vo, ag­gior­na­te tutti i temi e i plugin di WordPress uti­liz­za­ti per il sito. Infatti, potrebbe non essere stato violato l’intero sito web, ma solo una delle esten­sio­ni che uti­liz­za­te. Vale quindi la pena di provare questo passaggio prima di seguire i sug­ge­ri­men­ti che seguono, così da ri­spar­mia­re lavoro inutile.

Dovreste anche ri­con­si­de­ra­re l’utilizzo di temi o plugin scaricati da fornitori terzi poco sicuri. È meglio uti­liz­za­re solo plugin cer­ti­fi­ca­ti ed evitare del tutto i software di terze parti.

È possibile che gli hacker abbiano apportato modifiche ai file centrali o ad­di­rit­tu­ra iniettato file che mo­di­fi­ca­no il vostro sito WordPress. Per trovare i file in­de­si­de­ra­ti, può venirvi in aiuto un plugin per la sicurezza di WordPress come WordFence.

Oltre al file .htaccess, i file che spesso sono infettati da codice nocivo sono so­prat­tut­to index.php, footer.php, function.php o header.php. Se scoprite modifiche in uno di questi file, dovreste as­so­lu­ta­men­te so­sti­tuir­li.

Un motivo comune per cui i motori di ricerca mandano avvisi è una sitemap del sito violata. Pertanto, dovreste con­trol­la­re at­ten­ta­men­te il file sitemap.xml dopo un attacco hacker ed even­tual­men­te ricrearlo. Ad esempio, esistono dei plugin di WordPress per la SEO che ri­ge­ne­ra­no la sitemap per voi. Tuttavia, dovrete ancora informare ma­nual­men­te i motori di ricerca come Google che i problemi del vostro sito web sono stati risolti, in modo che il sito possa essere nuo­va­men­te scan­sio­na­to. Purtroppo, questo processo può ri­chie­de­re fino a due settimane di tempo e non può essere ac­ce­le­ra­to.

Se tutte le misure finora descritte non vi hanno aiutato, allora dovrete rein­stal­la­re il core di WordPress. In questo caso, dovreste evitare di usare un programma di in­stal­la­zio­ne au­to­ma­ti­ca, che so­vra­scri­ve­reb­be il database. Piuttosto, caricate ma­nual­men­te i singoli file tramite SFTP e so­vra­scri­ve­te i vecchi file.

As­si­cu­rar­si che il vostro sito WordPress sia il più sicuro possibile non è una buona idea solo in caso di attacco hacker, ma a pre­scin­de­re. Solo così potrete ridurre si­gni­fi­ca­ti­va­men­te il rischio di attacchi. Sebbene non esista una pro­te­zio­ne assoluta contro la pos­si­bi­li­tà che il vostro sito web diventi vittima di hacker, una com­bi­na­zio­ne di varie misure di pro­te­zio­ne assicura che la pro­ba­bi­li­tà sia si­gni­fi­ca­ti­va­men­te ridotta. Tali misure di pro­te­zio­ne sono, ad esempio:

• Password sicure: as­si­cu­ra­te­vi di uti­liz­za­re password forti. Un password manager vi aiuterà non solo a ricordare, ma anche a creare le vostre password sicure. Anche l’au­ten­ti­ca­zio­ne a due fattori con­tri­bui­sce ad aumentare la sicurezza.
   
• Ag­gior­na­men­ti: mantenete ag­gior­na­to il software che uti­liz­za­te. Dovreste anche in­stal­la­re re­go­lar­men­te gli ag­gior­na­men­ti di WordPress.
   
• Eli­mi­na­zio­ne di software inutili: dovreste eliminare tutti quei plugin o temi di WordPress che non uti­liz­za­te, poiché for­ni­sco­no una base po­ten­zia­le di attacco.
   
• SSL/TLS: pro­teg­ge­te il vostro sito web tramite SSL o TLS.
   
• Firewall: i firewall possono essere con­si­de­ra­ti come barriere per gli hacker. Se impostate un firewall per il vostro sito web, si riduce anche la pro­ba­bi­li­tà di attacchi DDoS.
   
• Provider di hosting af­fi­da­bi­li: un provider di hosting af­fi­da­bi­le come IONOS protegge i vostri server dagli attacchi nel miglior modo possibile.