Come ripristinare un blog wordpress dopo un attaco hacker

Venerdi’ 23 aprile 2010 ore 17.28 attacco hacker su ” Guadagnare con un blog “

Penso sia la sensazione piu’ brutta che un blogger possa provare. Entrare nel proprio blog, cercare di fare login come sempre e trovarsi una bella pagina bianca, poi cerchi di riprovare ma nulla. A quel punto vai sul blog, e vedi che l’home page è bella funzionante e ti chiedi ma cosa mi è successo? Riprovi a fare login, ma nulla, inizi ad avere qualche sospetto, ma non ci vuoi credere, e ti poni la domanda…Sono stato attaccato da qualche virus? Provi a farti un giro sulle pagine del blog, e scopri la dura realtà, ogni pagina del blog, porta ad una pagina bianca ( come il colore della mia faccia in quel momento ).

Ecco, che arriva il momento di porsi delle domande:

  • Ho una copia salvata del database?
  • Ho una copia dei File del Template?

Io ti consiglio sempre di avere una risposta positiva alle domande di sopra, altrimenti potrebbero essere problemi seri, nel caso in cui si verificasse un problema simile al mio. Ti invito a leggere questo articolo ” Come eseguire e ripristinare un Backup “.

Ma ora veniamo a noi, perchè voglio illustrarti il problema e l’attacco che ho avuto al blog.

L’attacco si manifesta con l’inserimento di codice maligno in alcune pagine come index.php visualizzando una pagina bianca, dove possiamo trovare del codice simile a questo.

Cosa fare a questo punto e cosa ho fatto io personalmente?

  1. Accedere tramite FTP ai file del vostro blog e cercare di eliminare manualmente il codice maligno inserito;
  2. Controllare tutte le cartelle e file ed ordinarle per data ultima modifica, se ti accorgi che il file è modificato con una data recente, ti consiglio di verificare il file e la non presenza del codice;
  3. I file che ho trovato corrotti sono:
  • wp-content/index.php
  • wp-content/plugins/index.php
  • wp-admin/index.php
  • wp-content/themes/index.php
  • wp-admin/index-extra.php
  • wp-includes/default-filters.php
  • wp-includes/default-widgets.php

Inoltre grazie all’aiuto di Paki di www.msnscan.com ho scoperto di avere infetto anche il plugin Contact-Form 7.

Una volta eliminato il codice dai file corrotti, sono ritornato ad effettuare il login, e mi ha ridato la possibilità di accedere nuovamente al pannello di controllo. A questo punto :

  1. Ho verificato che non ci fossero nuovi utenti creati come amministratori;
  2. Ho modificato la password dell’accesso FTP, in quanto spesso, la vulnerabilità non dipende dalla Piattaforma WordPress, ma dallo spazio Ftp del gestore sul quale ho acquistato l’hosting.
  3. Ho modificato la password di accesso al blog.
  4. Ho aggiornato il blog all’ultima versione, per non andare incontro al rischio di aver dimenticato di eliminare del codice maligno da qualche file corrotto.

Spero di esserti stato di aiuto e se vuoi raccontare la tua esperienza, attendo un commento.

14 Comments
  1. Reply
    Red 26/04/2010 at 12:58

    Perché scusa a che versioni avevi WordPress ? O.o’

  2. Reply
    Paki 26/04/2010 at 19:50

    Ciao Vincenzo,
    grazie per avermi citato =)

    Volevo chiederti se sei su Aruba, dato che lo stesso problema l’hanno avuto centinaia di persone hostate presso i loro servers. Il codice da te riportato è quello, quindi magari potresti chiedere a loro una maggiore sicurezza, perchè a mio modo di vedere ne hanno davvero bisogno!

  3. Reply
    Mario Barbato 26/04/2010 at 20:16

    Cavolo Vincenzo l’hai scampata bella! Se posso darti un consiglio, utilizza questo plugin -> http://wordpress.org/extend/plugins/wp-db-backup/ è un plugin che fa in automatico i backup 😉

    Ci sentiamo!

  4. Reply
    Fare soldi 26/04/2010 at 22:20

    Mi sa che io ci sono andato a pelo. Da qualche giorno qualcosa non mi tornava. Mi hanno fatto rizzare le antenne dei commenti che partivano da alcuni miei post, e avevano come link al nick del commentatore l’ip del mio dominio.

    Come se mi fossi commentato da solo. Così ieri mi sono dotato di pazienza e backup di blog e database e ho aggiornato wordpress (spazio web a basso costo).

    Una decina di anni fa mi è andata peggio, sul sito di un cliente. In quel caso spazio web strapagato (100 MB a 200 milalire all’anno). Mi chiama il cliente e mi avvisa: vado a vedere e mi ritrovo diverse centinaia di pagine dirottate sulla home con un bel simbolo islamico e tanto di scritta (guerriglieri per la liberazione dell’islam). Se giro su qualche pc devo aver salvato ancora la schermata per ricordo. Fortunatamente anche in quel caso avevo copia di backup ed ho ripristinato subito.

    La miglior protezione con wordpress secondo me, oltre ai tuoi ottimi consigli, è quella di ridurre al minimo l’uso di plugin, eliminare la stringa che riporta la versione wordpress, rinominare l’utente Admin, e sopratutto usare una password di almeno 20 caratteri. Per la scelta io utilizzo mettere insieme più parole prese da canzoni dialettali della mia zona, ed inoltre a intervallare con sequenze irregolari il maiuscolo minuscolo. Spero non siano le ultime parole famose 🙂

  5. Reply
    Vincenzino80 27/04/2010 at 09:45

    @Paki: CI mancava che non ti citavo, sei stato cosi’ gentile da avvisarmi via mail del problema!!! Comunque non sono su Aruba, ma sono su netsons, ma ho avuto un blog infetto anche su tophost. Forse è il problema di spendere poco come hosting!! Risparmi prima e paghi di piu’ dopo.

    @Mario Barbato: Si l’ho scampata proprio a filo. Fortunatamente il plugin che menzioni l’avevo già installato, e non ho avuto la necessità di utilizzare il file creato con il plugin!!

    @Fare Soldi: In questi giorni stanno infettando migliaia di blog, quindi fai attenzione, in quanto non te ne rendi subito conto, la home page è completamente funzionante. Solo se tenti di fare login o di andare su qualche vecchio post, ti rendi conto di avere il nulla.
    Concordo con te, l’utilizzo al minimo del plugin, sono secondo me questi che permettono di avere un entrata all’interno dello spazio. Infatti io avevo il plugin per i contatti, completamente infetto. Ora l’ho rimosso, e chi vuole contattarmi può mandarmi anche semplicemente una mail all’indirizzo segnato.
    Comunque provvederò a seguire i tuoi ottimi consigli finali, sperando di non dover mai più pormi questo problema!!!

  6. Reply
    Paki 27/04/2010 at 11:02

    @Vincenzino80: 🙂

  7. Reply
    Fare soldi 27/04/2010 at 11:05

    Ragazzi mi state facendo venire l’ansia. Come dicevo prima, nei giorni scorsi ho trovato commenti che partivano da alcuni miei post, e avevano come link al nick del commentatore l’ip del mio dominio. Può essere sintomo di un tentato attacco?

  8. Reply
    Red 28/04/2010 at 10:45

    Personalmente anche se il mio sito si trova attualmente su altervista, certo di stare sempre più attento possibile alla sicurezza, non so come non facciate ad avere WP sempre aggiornato visto che è una delle prime cose da fare O.o’. Anche per un lamer è facile colpire siti con versioni vecchie, su internet si trovano exploit di versioni più obsolete di WP, in pochi secondi.

  9. Reply
    Giusepp 10/11/2010 at 00:23

    Salve

    Ho seguito questa ottima guida che mi ha aiutato a salvare il mio blog.
    La domanda che vorrei farle riguarda l’impostazione del plugin wordpress database backup.
    In pratica imposto il backup programmato per ricevere una copia ogni giorno sulla mia casella di posta elettronica ma, all’orario stabilito non ricevo nulla.
    Dove sbaglio?

    Grazie

    • Reply
      Vincenzino80 Admin 10/11/2010 at 11:04

      @Giusepp: Ciao Giuseppe, allora devi entrare nelle impostazioni del plugin e sotto la voce ” Scheduled Backup ” verificare che tu abbia inserito quando vuoi che ti arrivi il backup e su che mail. Per esempio io ho spuntato la casellina “once Weekly” ed inserito un indirizzo mail privato.

  10. Reply
    Fare Soldi 10/11/2010 at 11:04

    Assicurati innanzitutto che la tua casella di posta abbia lo spazio sufficente a contenere il database che, a seconda dei casi, potrebbe pesare anche diversi megabite o addirittura Gigabite.

  11. Reply
    Giusepp 10/11/2010 at 20:24

    Grazie per la risposta

    In effetti ho fatto come dici ho spuntato in programmazione una volta al giorno, o selezionato le caselle che voglio inserire nel backup, oltre a quelle di default, e inserito il mio indirizzo gmail sul quale inviare la copia…ma niente di fatto, oggi dovevo ricevere il backup alle ore 15,30 ma niente.
    Sto coprendo eseguendolo manualmente per il momento ma mi sarebbe stato più comodo che lo facesse in automatico.
    Colgo questa occasione per farti i complimenti per come scrivi e per quello che tratti, ho notato il tuo blog per caso e appena ho sfogliato un po’ di pagine ho capito la tua competenza.
    Infatti ti avevo contattato tramite email per invitatoad aggregarti sul mio sito che in quella stessa giornata a subito un danno.
    La tua risposta e’ stata il sito non funziona buon lavoro…meno male che mi hai avvertito.

    Scusa per il disturbo e speriamo possa risolvere.

    Ciao

  12. Reply
    Vincenzino80 Admin 11/11/2010 at 09:45

    @Giusepp: Arrivati a questo punto non saprei dirti da cosa dipende il problema, a me arriva puntuale come un orologio svizzero. Arrivati a questo punto continua a fare l’operazione manuale, perchè è sempre meglio perdere un minuto per scaricare il file che piangere di non averlo fatto dopo.
    Ti ringrazio davvero tanto per i complimenti, e spero di poterti dare sempre piu’ fiducia.
    Purtroppo il tempo è sempre poco, e non riesco mai a fare tutto cio’ che vorrei.
    Sinceramente non ricordo della mail, ma sono contento di averti segnalato in tempo un problema! Per qualsiasi cosa contattami che anche se ci metto un po’ rispondo sempre!
    Buon lavoro,
    Vincenzo

Leave a reply