Quando si gestisce un sito web o più di uno, magari per qualche cliente, può capitare di prendersi un virus su WordPress o addirittura sul server stesso che ospita il sito. Questo può succedere per diversi motivi, ad esempio se si ha installato su WordPress un tema non più supportato e quindi non aggiornato, un plugin o il core stesso di WordPress non aggiornato da molto tempo.
Questi esempi su citati possono creare eventuali vulnerabilità nella sicurezza del tuo sito web che un hacker può sfruttare per caricare installare una backdoor e caricare tramite essa virus nel tuo spazio hosting o iniettare codice nelle tue pagine web o nei file di installazione di WordPress che verrà così infettato. In alcuni casi l’hacker può anche prendere il controllo del server, acquisendo i privilegi di root della tua VPS o server.
Come rimuovere malware da WordPress
Dall’introduzione di questo articolo capisci l’importanza di rimuovere subito il malware da WordPress e in seguito di tenere in sicurezza il tuo server, ma anche le tue installazioni di WordPress, con sistemi di sicurezza a più livelli (Server, IP, WordPress ecc.).
Quindi cosa puoi fare se il tuo sito web creato con WordPress è stato infettato o violato in qualche modo? In questo articolo ci concentreremo sui 2 step principali da seguire in questo caso:
- come scoprire se il proprio sito è stato violato
- come rimuovere il malware da WordPress.
Iniziamo subito e buona lettura.
Scopri se WordPress è stato violato
Scoprire se la tua installazione di wordpress è stata violata o corrotta non è sempre facile, perché gli hacker cercano in tutti i modi di coprire le loro tracce una volta che hanno violato un sito. Tuttavia, le tracce o le conseguenze di una violazione sono ben visibili se si sa dove guardare.
Usa Google Analytics
Se il tuo sito web è stato violato una delle prime cose che farà l’hacker è quello di creare dei redirect malevoli verso dei siti web di suo interesse. Questo lo farà creando delle url di pagine che in WordPress non troverai, ma che sono visibili su Google Analytics in quanto costituiscono comunque un hit al tuo sito web.
Di seguito trovi uno screenshot di una schermata Google Analytics, di un blog di animali, che contiene degli url malevoli creati da un virus su WordPress.
Come puoi vedere sono presenti diverse url con caratteri strani e numeri random alla fine della url stessa. Questo è segno che il WordPress è stato infettato o corrotto e sono state generate delle fake url che effettuano un redirect verso un altro sito scelto dall’hacker.
Questo di solito è la conseguenza del fatto che la cache della sitemap del sito è stata corrotta. Infatti se controlliamo le url indicizzate su google cercando site:nomedominio su Google possiamo vedere come il blog presenti delle url fake su Google.
Queste due situazioni descritte sopra indicano che c’è stata una violazione di WordPress o che è stato corrotto in qualche modo. Di conseguenza è necessario controllare e disinfettare l’installazione di WordPress.
Non riesci a fare login
Un’altro sintomo della violazione del tuo sito web è l’impossibilità di effettuare login in WordPress nonostante tu inserisca nome e password corretti. Questo significa che l’hacker con tutta probabilità ha ottenuto in qualche modo l’accesso al tuo database MySql e ha potuto cambiare il tuo nome utente, la password e probabilmente anche la mail dell’utente WordPress. In questo modo si è assicurato che nessun altro possa ne entrare in WordPress e nemmeno chiedere un reset della password via mail.
L’impossibilità di non poter accedere al tuo WordPress non è di per se un fattore che da solo può dare certezza di violazione, infatti dovresti prima accertarti che nessun altro che amministra il sito abbia aggiornato la password e controllare se stai usando veramente la password corretta.
Il sito infetto invia mail di spam
Un’altro fattore che può indicare la presenza di virus in WordPress è l’invio di email spam o con virus a tutti gli utenti registrati nel tuo sito o anche ad altri indirizzi email sconosciuti. Questo non solo può indicare la violazione del sito, ma mira anche a screditare la credibilità e la sicurezza del tuo sito web. Infatti se un utente del tuo sito (magari un e-commerce) dovesse ricevere una mail del genere, difficilmente tornerà a visitarlo quantomeno a breve, complice la paura di potersi prendere anche lui un virus o peggio ancora che i dati della sua carta vengano rubati.
Altri sintomi di WordPress corrotto
I sintomi di un wordpress corrotto da un virus o una violazione sono moltissimi. Elencarli tutti sarebbe molto lungo e anche difficile. Però di seguito vi elenchiamo alcune delle altre conseguenze che potresti sperimentare se il tuo WordPress venisse infettato da un virus:
- Calo drastico della SEO del sito e delle visite
- Aumento drastico delle visite (dovute a fake url)
- Il sito cambia radicalmente aspetto
- Notifiche da parte di Google search Console
- Notifiche dal browser con cui visiti il sito
- Comparsa di nuovi account utente non creati da te
Come rimuovere Virus da WordPress
Ora che hai la certezza dell’infezione devi iniziare a rimuovere il malware da WordPress. Prima di iniziare a pulire WordPress dal malware, dovresti controllare se il tuo server contiene dei virus. Questo perché se rimuovi il virus da WordPress, ma non dal server, WordPress si potrebbe infettare di nuovo in poco tempo e quindi sarebbe stato tutto inutile.
In questo articolo ci concentreremo sulla rimozione virus di WordPress e non dal server. Mentre qui puoi trovare una guida su come controllare il tuo server e pulirlo dai virus.
Una volta che si è certi che il proprio server non è più infetto ed è ben protetto e aggiornato puoi procedere con la rimozione virus e messa in sicurezza di WordPress.
La prima cosa che devi fare è quella di riottenere accesso come amministratore al tuo WordPress. Per far questo potresti dover intervenire sul tuo database MySql tramite phpmyadmin. In questo articolo spieghiamo come ripristinare un utente amministratore WordPress via phpmyadmin.
Rimozione malware WordPress con Wordfence
Una volta effettuato l’accesso al tuo WordPress come amministratore la prima cosa da fare è installare il plugin Wordfence tramite la dashboard WordPress -> Plugin -> Aggiungi plugin -> cerca Wordfence.
Installato e attivato il plugin di Wordfence verrà richiesta una registrazione gratuita per poter utilizzare il plugin. Fornisci una mail valida alla quale verrà inviato il codice di attivazione e usalo per attivare il plugin Wordfence Free.
Scansione con Wordfence per rimuovere malware da WordPress
Una cosa che ti consiglio, se hai la certezza che il tuo sito sia stato violato, è quella di impostare la scansione di Wordfence su High Sensitivity. Per fare questo dalla dashboard di WordPress vai su Wordfence -> Scan – Manage Scan -> seleziona High Sensitivity -> clicca su Save Changes.
Ora puoi effettuare una scansione completa di WordPress cliccando su Start New Scan da WordPress -> Wordfence -> Scan. Una volta finita la scansione avrai a video un report di tutte le minacce e vulnerabilità rilevate da Wordfence.
A questo punto puoi premere prima sul bottone Delete all Deletable Files, questo eliminerà tutti i virus e file malevoli trovati. Dopodiché puoi premere sul bottone Repair all repairable files, questo ripristinerà tutti i files legittimi dell’installazione di WordPress, temi e plugin con le loro versioni originali, facendo riferimento direttamente al database di wordpress.org.
Inoltre segui tutte le istruzioni aggiuntive che ti da Wordfence per eliminare le altre vulnerabilità, ad esempio quelle dovute a plugin o temi non aggiornati. Dopodiché esegui una seconda scansione, Wordfence non rileva più minacce il tuo WordPress è stato pulito correttamente.
In ultimo potresti voler eseguire una seconda scansione del tuo server per sicurezza.
Hai bisogno di assistenza per rimuovere un malware da WordPress?
Compila il form di seguito!
