La rimozione manuale dei malware su WordPress

Eliminare malware e virus da WordPress

Se un sito WordPress viene infestato da un malware, i plugin di sicurezza contro virus e malware eventualmente installati sono compromessi, e soprattutto non più affidabili per cercare di risolvere il problema.

Esistono diversi plugin per la sicurezza di WordPress, il più noto probabilmente è Wordfence.

In genere questi plugin riescono a prevenire diversi tipi di intrusioni, specie quelle che cercano di sfruttare l’imperizia e la leggerezza di certi amministratori di siti, come gli attacchi di tipo brute force.

Il problema è che i malware davvero pericolosi sono quasi sempre un passo avanti, e succede che un sito WordPress viene violato ugualmente, magari per una falla di sicurezza sull’hosting o per l’uso di temi o plugin discutibili, nonostante la presenza di plugin per la sicurezza.

Qui cominciano i guai…

I malware più “furbi”, quando si insidiano, verificano la presenza di detti plugin di sicurezza, alterando le loro capacità diagnostiche e difensive, e poi si mettono a fare il loro sporco lavoro.

In questi casi il plugin di sicurezza, reso inoffensivo, continuerà a dirti che è tutto a posto.

Di conseguenza, anche cercare di eliminare un malware in un sito WordPress, utilizzando strumenti presenti sul sito al momento della violazione, è molto probabile che sia una soluzione poco efficace.

La rimozione manuale di un malware si rivela ancora la strada più efficace, secondo la mia esperienza.

Rimozione di un malware da un sito WordPress

Ho scritto WordPress, ma in realtà riguarda tutti i siti gestiti da CMS o script proprietari.

Dopo aver verificato che un sito è stato violato, e scoprendo magari da che tipo di violazione, occorre procedere alla sua bonifica, che riguarda sia i file che il database.

In genere una violazione può modificare e/o aggiungere diversi file, ovviamente vanno individuati tutti.

Roberto Rota esperto WordPress e WooCommerceHai bisogno di aiuto con questo articolo?
Se hai bisogno di assistenza per il tuo sito WordPress, per mettere in pratica queste istruzioni, contattami!

Spesso, ordinando le cartelle per data, si possono facilmente individuare i file modificati e/o aggiunti di recente, e molto probabilmente si riesce anche a scoprire la data precisa della violazione.

Potrebbe non bastare, allora se si dispone di una copia “pulita” dell’installazione, si può fare un confronto dei singoli file per individuare quelli modificati o aggiunti.

Se si ha accesso al terminale, il comando “diff” è preciso e veloce.

Purtroppo non è molto semplice da utilizzare, la sola parola “terminale” spaventa i più, esistono però applicazioni e utilities analoghe per tutti i sistemi operativi, con interfaccia grafica alla portata dei meno esperti.

In genere però basta sapere su che file guardare per trovare le righe si codice incriminate: index.php, index.html, header.php, footer.php, functions.php e .htaccess sono i primi file da controllare.

Vanno poi cercati eventuali file, in genere con estensione php, che possono essere stati aggiunti.

Tutto questo in ogni cartella del sito, compresa la cartella degli upload.

Dato che le stringhe di codice inserite di solito hanno molti elementi in comune, se non sono addirittura uguali, anche in questo caso se si dispone di un accesso da terminale, e sapendolo usare un minimo, si ha vita facile nella ricerca e nella bonifica.

Attenzione ai permessi su files e cartelle: trovare dei files o delle cartelle con permessi pericolosi, aperti alla scrittura anche all’esterno, potrebbe essere un altro indizio pesante.

I malware vanno cercati anche nel database

Ripulire solo i files non basta, la ricerca dei malware va effettuata anche e soprattutto nel cuore delle installazioni, il database.

Gli strumenti qui sono più complicati, terminale o phpmyadmin che sia bisogna conoscere un po’ le query mysql e sapere dove mettere le mani.

La tabella wp_options è probabilmente la più interessata, ma potrebbe non essere l’unica.

Con un po’ di fortuna, se si tratta di malware semplici, i codici php malevoli sui file possono aiutare a scoprire in che tabelle e campi del database vanno a scrivere.

Santo backup, beate precauzioni di sicurezza…

Avere un backup totale del sito, effettuato regolarmente, ti toglie da molti impicci.

Rispettare le più elementari regole di sicurezza spesso aiuta, ma prendere qualche precauzione in più ti salva.

Tags: , , , ,

Nessun commento ancora.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.