La sicurezza è una delle principali preoccupazioni dei proprietari di siti WordPress, e a ragione: ogni ora si registrano oltre 7,5 milioni di attacchi informatici ai siti WordPress. Non sorprende che la natura open-source e la flessibilità di WordPress lo rendano vulnerabile a una serie di attacchi diversi. Ma il suo nucleo è abbastanza sicuro, poiché il team di WordPress si dedica a preservare l'integrità strutturale dell'applicazione. Lo stesso, tuttavia, non si può dire per tutti i temi e i plugin di WordPress.
John Castro di Sucuri ha recentemente scoperto un attacco malware. Il malware inserisce 10-12 righe di codice nella parte superiore dei file header.php dei temi WordPress vulnerabili per reindirizzare i visitatori a siti dannosi.
Questo articolo fornisce i dettagli dell'attacco e i suggerimenti per proteggere il vostro sito da attacchi di questo tipo in futuro.
Come funziona l'attacco malware
Come accennato in precedenza, il malware inserisce 10-12 righe di codice nella parte superiore del file header.php di un tema WordPress attivo. Il codice appare come segue:
Il malware reindirizza i visitatori a default7 .com (non la destinazione finale del reindirizzamento) alla loro prima visita. Quindi imposta il cookie "896diC9OFnqeAcKGN7fW" per tracciare i visitatori di ritorno per un anno e verifica la presenza di crawler dei motori di ricerca. Se non ci sono crawler, procede a controllare l'intestazione dell'agente utente.
I reindirizzamenti sono casuali per tutti. Inoltre, default7 .com è solo la prima destinazione di reindirizzamento. I visitatori vengono ulteriormente reindirizzati ai seguenti domini (a seconda dell'indirizzo IP e del browser):
- test246 .com
- test0 .com
- distinctfestive .com
- ableoccassion .com
Particolarmente interessante è il comportamento del malware su Internet Explorer. Quando il visitatore utilizza Internet Explorer, viene reindirizzato a un sito che fornisce un aggiornamento Flash o Java dannoso.
Un altro comportamento interessante si verifica su Facebook. Quando si condivide il link di un sito infetto su Facebook, è possibile che venga visualizzato lo snippet del post da un altro sito, uno dei cinque siti di reindirizzamento. Facebook continuerà a reindirizzare le persone al sito dannoso, anche dopo aver rimosso il malware dal sito. Questo perché la cache è condivisa. È possibile ripristinare la cache qui.
Forse vi sorprenderà sapere che questo tipo di infezione è piuttosto comune quando gli hacker riescono ad accedere all'interfaccia di amministrazione di WordPress. Con le giuste credenziali, sono in grado di modificare (abbastanza facilmente) un file di tema.
Quali sono i siti infetti?
Il recente exploit non è in realtà l'unica minaccia malware presente nei siti infetti. Nella maggior parte dei casi, i siti infetti presentavano diverse vulnerabilità di sicurezza che hanno portato a una serie di altre infezioni. Solo in una minoranza di siti l'infezione è stata riscontrata solo nel file header.php del tema.
Come rilevare il malware
Il codice del malware non è privo di difetti. Spesso, infatti, esegue dei test per parametri che non esistono, generando un errore PHP. Poiché su alcuni server le notifiche PHP sono disattivate, l'errore non viene sempre visualizzato; ma una ricerca su Google di "Notice: Indice non definito: 6FoNxbvo73BHOjhxokW3" può rivelare il codice malware sul vostro server.
Sucuri ha condiviso che alcuni risultati di ricerca su Google potrebbero rivelare errori nel file footer del tema. Questo perché il malware ha precedentemente infettato i file footer.php e ha inserito un codice di reindirizzamento simile nella parte superiore di tali file. L'attacco si è spostato sui file header.php e ha reinfettato i siti che avevano il codice malware nel file footer.php. Anche se il malware è stato aggiornato, i reindirizzamenti inviano i visitatori alle stesse identiche pagine.
Come rimuovere il malware
La rimozione del malware è un processo in più fasi per il quale è consigliabile consultare un esperto di WordPress. Se non siete esperti di sicurezza, è probabile che peggioriate solo le cose. Le aziende specializzate in WordPress , come il nostro team Semper Fi Web Design, possono risolvere tutti i vostri problemi di sicurezza.
Ma per il momento, diamo un'occhiata a ciò che si può fare in generale per proteggere il proprio sito da tali attacchi.
Come mantenere sicuro il vostro sito WordPress
Proteggere l'interfaccia amministrativa di WordPress
Il pannello di amministrazione di WordPress è una miniera d'oro per i criminali. Pertanto, è necessario limitarne il più possibile l'accesso: solo chi ha bisogno di accedervi deve poterlo fare. In ogni caso, dovreste limitare la possibilità per tutti di apportare modifiche al file header.php.
Come abbiamo visto con il recente attacco di reindirizzamento, gli hacker con le credenziali di amministrazione del vostro sito possono modificare direttamente e facilmente il file header.php del vostro tema. È possibile disabilitare senza problemi la possibilità per un utente di modificare i file PHP nell'interfaccia di amministrazione modificando il file wp-config.php. È sufficiente copiare e incollare il seguente codice nel file wp-config.php:
# Disabilitare la modifica del tema define( 'DISALLOW_FILE_EDIT', true );
Altri suggerimenti per mantenere sicura l'interfaccia di amministrazione:
- Utilizzare password forti
- Cambiare periodicamente tutte le password
- Limitare il numero di tentativi di accesso
- Verificare che non siano stati creati account di amministrazione fasulli.
- Non utilizzare "admin" come nome utente dell'amministratore.
- Abilitare l'autenticazione a due fattori
Aggiornare WordPress, i temi e i plugin alle ultime versioni
È fondamentale aggiornare WordPress e tutti i vostri temi e plugin alle versioni più recenti. Oltre a migliorare le funzionalità, la maggior parte degli aggiornamenti viene fornita per risolvere problemi di sicurezza e vulnerabilità, quindi aggiornate alle ultime versioni non appena sono disponibili.
Assicurarsi che il computer sia privo di virus e malware
Tutte le misure precauzionali adottate per proteggere il vostro sito dalle minacce informatiche sono nulle se il vostro computer contiene virus o malware. Infatti, un hacker potrebbe accedere ai dati di accesso del vostro sito dal vostro computer e procedere rapidamente a infettare il sito. Pertanto, è importante installare un buon programma antivirus su tutti i computer che utilizzate per accedere al vostro sito WordPress.
La maggior parte di noi ama WordPress per la sua flessibilità, oltre che per molte altre ragioni. È infatti il sistema di gestione dei contenuti (CMS) open-source più diffuso. Tuttavia, le ragioni per cui lo amiamo così tanto sono quelle che lo rendono vulnerabile agli attacchi informatici. È importante esserne consapevoli e adottare le misure necessarie per proteggere il proprio sito.
Vuoi provare AIOSEO gratuitamente?
Inserite l'URL del vostro sito web WordPress per installare AIOSEO Lite.
Divulgazione: I nostri contenuti sono sostenuti dai lettori. Ciò significa che se cliccate su alcuni dei nostri link, potremmo guadagnare una commissione. Raccomandiamo solo prodotti che riteniamo possano apportare un valore aggiunto ai nostri lettori.
Wow, 7,5 milioni ogni ora, questo è inquietante, interessante post Arnaud, grazie per l'avvertimento 🙂 Salute Tracy
È un piacere assoluto, Tracy. Grazie per il feedback!
Articolo utile. Grazie mille.
Qual è il vettore di attacco iniziale? Si tratta semplicemente di ottenere l'accesso all'amministrazione?
Mi chiedo se esista una regola di modsecurity che possa essere creata per evitare questo problema.
Un set di regole di modsecurity intelligente e ben configurato è un vero e proprio incubo per gli hacker 😀
Grazie ad alcune regole intelligenti che ho scritto... se devo dirla tutta 😉 i colpi degli hacker sui miei siti WP sono diminuiti significativamente nell'ultimo anno.
Grazie ancora.
Ciao Mike
Innanzitutto, grazie per aver lasciato un commento.
L'obiettivo degli hacker è quello di implementare circa 12 righe di codice in modo che i visitatori vengano reindirizzati verso altri siti (eventualmente dannosi).
Questo, tuttavia, è possibile solo se hanno già ottenuto l'accesso a un login WordPress in grado di modificare i file PHP del tema.
È possibile risolvere questo problema disabilitando i permessi degli utenti di modificare i file PHP tramite wp-admin. Implementare il seguente frammento di codice nel file wp-config.php per disabilitare questa funzione:
# Disabilitare la modifica del tema
define( 'DISALLOW_FILE_EDIT', true );
Ma soprattutto, dovete proteggere le vostre credenziali di WordPress.
Se doveste essere colpiti da un attacco, è importante cambiare tutte le password, controllare se i file sono stati modificati ed eseguire una scansione per individuare gli account di amministrazione non autorizzati se avete più amministratori.
Ancora qualche consiglio per rendere sicuro il vostro accesso a WordPress:
- Cambiare il nome utente "admin" con qualcosa di meno identificabile.
- Cambiare l'URL della pagina di login rispetto a quello predefinito di wp-login-php
- Creare password complesse
- Limitare il numero di tentativi di accesso in un determinato periodo di tempo
Salute
Arnaud
Cambiate anche le password FTP nel caso in cui l'aggressore abbia avuto accesso in questo modo.
Ottimo suggerimento!
Arnaud,
Grazie per le preziose informazioni. Apprezzo il fatto che abbia fornito una soluzione e dei suggerimenti nella sua risposta a Mike. Sono informazioni preziose per me.
Buona giornata! =)
Non c'è di che Diana!
Quindi sta dicendo che dovrebbero accedere tramite password, è corretto? Non c'è altro modo per entrare. Non possono saltare il passaggio della password?
È la più comune, ma esistono anche altri metodi per accedere ai file del vostro sito. L'FTP è un ottimo esempio.
Quale plugin di sicurezza consiglieresti e non causerà un conflitto con All in One SEO Pack?
WordFence è un ottimo prodotto e non ha problemi di compatibilità con All in One SEO Pack.
Consigliamo vivamente anche iTheme Security.
Mmmn! Molto utile. La scorsa settimana sono sfuggito per poco a un attacco.
Grazie per il post utile! Penso che dobbiamo fare attenzione all'utilizzo di temi o plugin gratuiti o nulli.
Ho trovato questo post perché c'è uno script che viene iniettato nell'header.php di ogni sito sul server. Ogni pochi giorni devo controllare header.php e rimuovere il blocco di testo sopra, di solito con una tonnellata di spazi sopra di esso. È insopportabile! Se lo script non viene rimosso, Google e altri scanner di sicurezza inseriscono il sito in una lista nera per alcuni giorni finché non viene rimosso e chiedono a Google di rifare la scansione del sito. Sta incidendo negativamente sulle classifiche!
Finora:
1. Cancellato tutti i file core di WP e ricaricato i file core della versione più recente.
2. Eliminato i plugin inutilizzati.
3. Controllato ogni directory /uploads per i file .php (dato che dovrebbero esserci solo immagini).
4. Cambiato il nome utente dell'amministratore.
5. Cambiato le password.
6. Rimosso gli utenti spam.
7. Modifica della password FTP.
8. Installato il plugin Sucuri e reso tutto più sicuro, installato Wordfence, installato Bad Behavior.
Nessuno dei plugin di sicurezza lo blocca e nessuno di essi segnala che header.php è stato modificato. CONTINUA A VERIFICARSI SU BASE SETTIMANALE.
Domande:
1. Come fanno a iniettare questo script in tutti i siti dell'account di hosting allo stesso tempo, anche se questi siti non utilizzano gli stessi plugin, ecc? Questa è la cosa più frustrante e fastidiosa perché tutti i siti devono essere rimossi dallo script e tutti i siti vengono inseriti nella lista nera di Google, ecc.
2. Se riescono a entrare nei vostri file e a incollare questo script nell'header.php e si accorgono che continuate a rimuoverlo, che cosa impedisce loro di modificare tutti i file o di cancellare le cose?
Per rispondere alle vostre domande:
1. Non sono sicuro che si tratti dello stesso problema descritto in questo articolo. In ogni caso, se gli articoli continuano a essere iniettati di codice, probabilmente si tratta di un'infezione di uno script dannoso sul server web. Potreste voler fare un backup di tutti i vostri siti, ripulirli uno per uno e fare un wipe completo del vostro server prima di ripristinare nuovamente i vostri siti.
2. Non c'è nulla che possa impedirglielo, ma per la maggior parte degli hacker non c'è alcun guadagno nel distruggere o infettare completamente un sito. Vogliono comunque che le persone visitino e utilizzino le funzionalità/informazioni del vostro sito.
Ciao Arnaud,
Grazie per la condivisione. Potrebbe essere questo il motivo per cui ricevo troppi commenti di spam?
No, i commenti di spam sono solo bot o blogger che cercano di aumentare il loro SEO creando backlink da altri siti web verso il loro.
Si tratta di un metodo che in genere non funziona, perché i motori di ricerca vedono questo inganno e possono verificare la qualità dei backlink.
Se utilizzate WordPress, vi consiglio di installare un plugin come Akismet per filtrare i commenti validi e quelli non validi.
È difficile trovare persone esperte su questo argomento,
ma tu sembri sapere di cosa stai parlando! Grazie
Salve, il mio sito web è stato violato qualche mese fa e lo abbiamo ripulito completamente, ma quando inserisco un'aggiunta in Facebook con un link al mio sito web, la prima volta viene reindirizzato a un sito web dannoso. Ho sentito dire da qualcuno che questo reindirizzamento avviene sempre 1 volta per IP. Dovrebbero esserci ancora dei file infetti che creano questo reindirizzamento?
Sì, sembra che il vostro sito sia ancora infetto da malware. Forniamo un servizio di pulizia dal malware, potete contattarci qui per informazioni - https://aioseo.com/contact/
Ottima spiegazione.