Sito in WordPress redirige a contenuti inadeguati
Tabella dei contenuti
Ti è mai capitato di vedere il tuo sito WordPress redirezionare a siti malevoli?
Per esempio fai una ricerca con una parola chiave (che ovviamente non c’entra nulla con il core business del tuo sito e in questo caso era “diflucan”) seguito dal nome del tuo dominio e il risultato appare come l’immagine qui sopra?
Praticamente la SERP ti offre dei risultati che apparentemente mandano al tuo sito ed in realtà redirigono verso siti malevoli.
Questo comportamento, oltre a penalizzare il suo sito, lo metterà all’indice dei siti malevoli di Google, segnalandolo a tutti i tuoi visitatori.
Non è di certo una cosa piacevole!!!
Cosa è successo?
Il caso sopra esposto si chiama “Pharma Hacks”.
Si tratta di un exploit che sfrutta le vulnerabilità di WordPress o di Joomla che causa l’apparizione nelle ricerche di Google ed, in generale, dei motori di ricerca di link che “sembrano” essere sicuri e che facciano parte del nostro sito ed invece redirigono in siti malevoli. In questo caso era un ecommerce straniero, non sicuro, di vendita di medicinali.
Perchè succede che il tuo sito rediriga verso un altro che risulta essere malevolo?
Le cause di questo comportamento sono, di solito, tra le seguenti:
Il core di WordPress (Joomla) non aggiornato e non sicuro
Plugin e temi WordPress (Joomla) non aggiornati e non sicuri o dismessi
File o cartelle aggiunte o riscritte
E’ fondamentale aggiornare in maniera costante e ragionata il tuo sito WordPress.
Il motivo è semplice: gli sviluppatori di Wp si accorgono delle sue vulnerabilità e vi pongono rimedio, effettuando delle fix, chiudendo delle Backdoors, evitando l’abuso di Span sull’invio di email non volute. Non aggiornando, purtroppo si incorre a questo tipo di problemi che sono risolvibili e anche a grattacapi molto più gravi, per esempio Pishing o peggio ancora il furto di dati sensibili e, alla peggio, di identità.
Come si procede dopo un attacco hacker?
La prima cosa necessaria e programmata, naturalmente, è aggiornare il core ed i plugin di WordPress. Consiglio sempre la disinstallazione e la rimozione di tutti i plugin e i temi che non servono al sito per due motivi:
si allegerisce il lavoro del server
si evita di lasciare dei plugin o dei temi non aggiornati: anche se disattivati questi script potrebbero lasciare aperte delle porte e lasciare entrare qualche hacker malintenzionato
Non sempre però tutto questo è sufficiente.
Gli aggiornamenti riscrivono i file aggiornati dagli hacker e quindi li correggono, togliendo eventuali script malevoli, ma, per esempio, non riscrivono l’htaccess, che potrebbe avere dei redirect o il w
p-config che contiene i dati di connessione al data base e potrebbe essere stato riscritto o tutti i file personalizzati del tema figlio (sempre che ce ne sia uno).
Inoltre, potrebbero esserci delle cartelle o dei file in più aggiunti appositamente per ospitare del contenuto malevolo.
Infatti, nel mio esempio, questo era una parte dello script che appariva in wp-config.
Chi ha un po’ di dimestichezza con WordPress riconosce che tutto quello che segue le chiavi di sicurezza non fa parte di codice del Cms ma è qualcosa di aggiunto e di malevolo.
Cosa si fa in caso di riscrittura del wp-config?
Si procede con la rimozione del codice malevolo e soprattutto si cambiano le chiavi di Wp ricreandone di nuove perchè, molto probabilmente, se un hacker è riuscito ad accedere a questo file e a riscriverlo, molto probabilmente ha indovinato le chiavi e le ha usate per i suoi scopi.
E’ sufficiente?
No. Bisogna comunque effettuare una scansione del sito con alcuni plugin di sicurezza. Per esempio Wordfence. Il problema è che molto spesso, soprattutto le versioni gratuite di questi plugin, sono fallaci e possono non indicarti tutti i file riscritti. Proprio in questo caso, a me è successo.
Vai su Google e digita nella sua barra di ricerca: “site:nomesito.it” senza virgolette. Questa ricerca chiede al motore di ricerca di mostrarti tutte le url indicizzate del tuo sito nel suo indice.
Se, tra i risultati, non vedi nulla di strano, allora tutte le operazioni qui descritte sono andate a buon fine.
Questa operazione è valida anche all’inizio per conoscere se il tuo sito è stato attaccato o è sicuro per questo tipo di hacking.
Contattami per affidarti ad un professionista che saprà liberarti dal problema del sito hackerato.
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!