Luigi Sabbetti

Il mondo del web a 360 gradi

Come capire se un sito wordpress è stato hackerato

Sito WordPress hackerato: 10 modi per capirlo


di // Pubblicato il: 11 maggio 2018

WordPress è una piattaforma molto sicura: ha un core molto robusto e difficilmente penetrabile. WordPress, quindi, è di per sè molto sicuro, tuttavia la possibilità di estendere il core aggiungendo plugin sviluppati da terzi e la mancanza di aggiornamenti costanti da parte dei web master, espone la piattaforma a seri rischi.

Molti, purtroppo, sono i siti web wordpress hackerati. Sicuramente starai pensando che a te non capiterà mai. Fidati, sono davvero molte le persone che mi contattano per risolvere questo tipo di problematiche e ti assicuro che sono molto più diffuse di quanto tu possa immaginare. Oggi analizzeremo proprio questo aspetto, andando a stilare un decalogo di segnali che possono farci capire se un sito WordPress è stato hackerato. Vedremo, successivamente, quali precauzioni adottare e cosa fare nel caso in cui ci trovassimo di fronte all’irreparabile.

Indice

1. Strani contenuti in homepage

La prima pagina che, solitamente, gli hacker prendono di mira è l’homepage del sito web. Ci sono casi eclatanti e altri in cui è più difficile riconoscere del contenuto sospetto in Homepage.

Nei casi più eclatanti l’hacker modificherà totalmente la nostra homepage sostituendo il contenuto con uno custom, creato sostanzialmente per permettere al povero web master di mettersi in contatto con l’hacker e pagare un riscatto per avere di nuovo accesso ai suoi dati.

In altri casi, invece, è più difficile accorgersi che l’homepage è stata in qualche modo hackerata. Gli hacker, solitamente, effettuano operazioni sugli utenti non loggati e se noi eseguiamo sempre l’accesso come admin potremmo non accorgerci di nulla.

L’unica cosa che possiamo fare è quella di controllare sempre l’url della nostra homepage per assicurarci che non siano stati aggiunti strani parametri e visitare di tanto in tanto il nostro sito da sloggati. Possiamo, inoltre, controllare attraverso la console dev di chrome le richieste della nostra homepage attraverso la tab network.

Assicuriamoci da qui che le richieste non partano da domini strani, che non riconosciamo.

2. Crollo delle visite

Un segnale molto forte può venire dai dati di Google Analytics. Uno dei primi sintomi di un sito web hackerato, infatti, è la perdita improvvisa di visite.

E’ sintomatico poiché un hacker, nella maggior parte dei casi, hackera un sito per dirottare il traffico dello stesso verso siti web scam. Molti browser, inoltre, sono in grado di segnalare agli utenti contenuto non sicuro e, chiaramente, questi utenti staranno alla larga per un bel pò dal nostro sito.

Insomma, analytics è un ottimo indicatore. Controlliamo bene le statistiche e assicuriamoci sempre che non ci siano cali improvvisi di visite, non imputabili ad operazioni fatte recentemente sul sito.

Dati anomali nella frequenza di rimbalzo possono indicare seri problemi da risolvere. Attenzione però a non confondere un calo delle visite improssivo causato da fattori esterni con quello dovuto all’hackeraggio di un sito. Il tuo sito può aver perso traffico per tantissime motivazioni ciò non vuol dire che sia stato per forza hackerato.

3. Problemi nella ricezione/invio mail

Un altro segnale da non trascurare è l’impossibilità improvvisa di inviare e ricevere mail dal nostro dominio.

Questa problematica può presentarsi per diversi motivi, tuttavia uno di questi è rappresentato dall’invio massivo di mail da parte di qualche malintenzionato. Un hacker, infatti, potrebbe hackerare il vostro sito per poi sfruttare le vostre caselle di posta per inviare mail spam massive.

Un invio massivo di mail spam non passa inosservato agli occhi di un hosting provider ragion per cui vi ritroverete in blacklist nel giro di pochissimo tempo.

Assicuratevi dunque che le vostre form di contatto continuino a funzionare correttamente e che non vi siano problemi nell’invio e nella ricezione della posta. Se pensate vi sia qualcosa di strano, contattate immediatamente il vostro hosting provider. Loro sapranno di sicuro darvi delle informazioni dettagliate accedendo ai log.

4. Attività anomale nei log

I log sono dei files di testo che tracciano in background ogni attività insolita che avviene sul nostro sito.

Sono molto facili da inviduare: alcuni hosting provider li posizionano nella root principale del nostro sito sotto la dicitura error.log mentre, in altri casi, sono raggiungibili attraverso cpanel oppure plesk.

Consultiamo spesso questi files poiché, come accennato, contengono informazioni molto importanti. Possono rivelarci, infatti, errori PHP e attività pericolose messe in atto da malintenzionati come il lancio di cronjob o l’invio massivo di mail.

5. Files sul server

Un altro fattore molto importante, da tenere in forte considerazione, è la presenza di files anomali sul server. Un hacker, infatti, può riuscire tranquillamente ad effettuare l’upload di files sul nostro server, così da compromettere le funzionalità del sito. Il mio consiglio, dunque, è quello di stare attenti e confrontare periodicamente i files sul vostro server con quelli originali di WordPress che trovate sul Codex.

Non è facile, ovviamente, controllare manualmente la presenza di files sospetti. Per fortuna ci viene incontro questo plugin Integrity Checher che ci permette di verificare l’integrità del nostro core WordPress sia nel files che nel database.

Se il nostro core è stato in qualche modo compromesso nei files possiamo scaricare nuovamente una versione pulita di wordpress dal sito ufficiale e ricaricarla sul nostro server. In questo caso dovremo cancellare e ricaricare le cartelle wp-admin e wp-includes.

Non cancellate la cartella wp-content o perderete tutti i vostri dati!

6. Apertura popup

Se il nostro sito è stato hackerato, potrebbe verificarsi un’insolita apertura di popup, soprattutto con offerte aggressive di carattere commerciale.

Molte volte, strano ma vero, potremmo non accorgerci della presenza di questi popup. Come dicevo prima, infatti, le modifiche potrebbero colpire solo gli utenti non loggati, inoltre molti utilizzano adblock e questo potrebbe prevenirne l’apertura.

Ho constato personalmente, in diversi occasioni, che a volte l’apertura dei popup si verifica soltanto visitando il sito attraverso Google e non digitando direttamente l’url all’interno della barra degli indirizzi. Facciamo dunque molta attenzione e apriamo bene gli occhi!

7. Manomissione dei risultati di ricerca

Un segnale molto forte può venire da Google stesso. Se notiamo, infatti, delle modifiche nelle SERP di ricerca, in particolar modo cambiamenti strani nel title e nella description di alcune pagine del sito, dovremmo iniziare seriamente a preoccuparci.

Difficile capire esattamente cosa gli hacker inseriranno nel title della pagina, basti pensare che mi è capitato di imbattermi in siti con il title trasformato in giapponese. Gli hacker sono dunque imprevedibili, analizziamo con cura come Google indicizza il nostro sito ed avremo un ottimo indicatore a nostra disposizione.

Per visionare tutte le url indicizzate su Google, ci bastà inserire nell’input di ricerca di google.com la seguente stringa “site:miosito.com” (sostituendo ovviamente miosito.com con l’indirizzo del vostro sito).

Con questo comando diremo a Google di mostrarci tutte le url indicizzate. Questo metodo è molto utile poiché, oltre ad evidenziare immediatamente falle nella sicurezza del nosto sito, ci fornisce informazioni utili per migliorare la SEO e l’aspetto che otteniamo sui motori di ricerca.

8. Sito inspiegabilmente lento

Se il vostro sito è lento, c’è sicuramente qualcosa che non va. Non sto dicendo che il vostro sito sia stato per forza hackerato, sono tanti infatti i problemi che possono causare un’insolita lentezza.

A tal proposito ti consiglio di dare un occhio alla mia guida dedicata a migliorare le prestazioni un sito WordPress.

Potrebbe essere, però, che la lentezza sia causata proprio da un contenuto malevolo presente sul tuo sito. In questi casi è necessario rimuoverlo al più presto anche perché gli utenti sono portati ad abbandonare immediatamente un sito troppo lento da raggiungere.

9. Nuovi user con privilegi da admin

Una delle prime operazioni che farà un hacker è quella di crearsi una bella utenza da admin all’interno del vostro WordPress.

Così facendo potrà fare il buono e il cattivo tempo senza che voi ve ne accorgiate. Controllate, dunque, periodicamente le utenze attive sul vostro sito. Farlo è molto semplice. Dall’admin recatevi nella tab “utenti” e visionate con cura gli account attivi. Cancellate immediatamente account sospetti!

Se non siete arrivati in tempo, probabilmente, non riuscirete già più ad accedere al login del vostro WordPress. Non preoccupatevi, nell’ultimo capitolo vedremo questo aspetto nel dettaglio.

10. Impossibilità nel loggarsi

L’ultimo aspetto che andremo ad analizzare oggi è l’impossibilità nell’effettuare il login. Se vi trovate in una situazione del genere, non allarmatevi!

Molte volte gli hacker modificano semplicemente il contenuto del file wp-login.php ma, di fatto, non eliminano la vostra utenza che, in ogni caso, può essere ricreata tramite database o linea di comando.

Conclusioni

Abbiamo visto assieme ben 10 campanelli d’allarme che possono presagire l’avvenuto hackeraggio del nostro sito. La verità è che non esiste una piattaforma invunerabile e sicura al 100%.

Pubblicando i nostri contenuti sul web siamo sempre a rischio. Il mio consiglio è quello di prevenire, piuttosto che curare. A tal proposito ti consiglio di leggere la mia guida su come proteggere il tuo sito WordPress da attacchi. Se conosci altri metodi per capire se un sito WordPress è stato hackerato, scrivili pure nei commenti.

Ti è piaciuto questo articolo? Votalo!
[voti: 2 - Media voto: 5]

About Author

Mi chiamo Luigi Sabbetti e da circa dieci anni svolgo la professione di Web Designer. Profondamente amante della scrittura, mi piace condividere le mie conoscenze informatiche attraverso il mio sito web. Amo correre, guardare il mare e il buon cibo. Scopri di più nella mia