La rimozione di malware da un sito WordPress è un lavoro estremamente delicato e deve essere eseguito esclusivamente da professionisti esperti nel settore. Per maturare esperienza in questa materia non è sufficiente aver realizzato molti siti web o conoscere a fondo i vari plugin WordPress, si tratta di dinamiche molto differenti. Una pulizia del virus eseguita in modo errata o parziale comporta numerosi danni al sito e di conseguenza al business dell’attività.
Online si possono trovare alcune linee guida o tutorial da seguire ma sono altamente sconsigliati in quanto ogni attacco ha le sue dinamiche ed aree di infezione interessate, quindi si rischia di saltare la verifica di elementi infetti o di fare procedure non necessarie/dannose.
Ecco alcuni suggerimenti da tenere in considerazione prima di procedere con la procedura di rimozione del malware su un sito WordPress:
Non credere di poter eseguire una rimozione malware cliccando su “Scan”
La repository di WordPress include molti plugin per la scansione di files infetti come Wordfence, iThemes security,Sucuri ecc.. . Questi sono molto utili per avere un avviso in caso di infezione. In una buona percentuale di casi rilevano alcuni files, che sono solo la conseguenza di un attacco. Eliminare i files non è una soluzione definitiva. Devi tener conto del fatto che i files rilevati possono essere parziali e la falla è ancora presente. Eliminarli inoltre, comporterebbe una complicazione ulteriore al professionista che dovrà ripulire il sito, poiché questi files contengono informazioni utili per la ricostruzione dell’attacco.
Non ripristinare da backup (se non sai cosa stai facendo)
Rispristinare da backup non è una soluzione corretta per risolvere il problema, se non temporanea (molto breve), inapplicabile in molti casi come siti ad alto traffico, ecommerce, portali e aree riservate. Ripristinando da un backup si eliminano le informazioni utili per comprendere l’attacco e la falla resta ancora aperta senza essere stata individuata. Prima di fare questa operazione è inoltre fondamentale assicurarsi che il backup non sia già infetto, altrimenti questa procedura risulterebbe completamente inutile. Nel nostro servizio, nessun sito viene ripristinato da backup, procediamo direttamente con la pulizia sul sito live, così da non perdere alcun dato.
“Rifaccio il sito da capo”
In alcuni casi estremi, o a seguito di continui attacchi, alcuni freelance, poco esperti nel settore, tentano la strada più drastica in assoluto ovvero cancellare tutto e rifare da capo il sito. Nonostante sia una scelta non condivisibile poiché l’effort necessario è senza dubbio maggiore rispetto ad una procedura di pulizia, in molti casi anche cancellare tutti i files da ftp e da database per ricreare una nuova installazione WordPress potrebbe non essere sufficiente oltre che ritardare i tempi in modo importante. Le infezioni non riguardano solo lo spazio dei files e del database ma l’intero ambiente. Una buona parte di infezioni continua a lavorare anche in assenza di un sito.
Non pensare di essere al sicuro perché hai un certificato SSL
Il certificato SSL (Secure Socket Layer) evita una piccolissima percentuale di attacchi (prevalentemente relativi alla trasmissione dei dati dell’utente) tramite la crittografia dei dati, come nel caso in cui si effettua una registrazione, login o compilazione del form. In ottica di attacchi al fine di danneggiare o infettare il tuo sito WordPress è pressappoco irrilevante. Il 99% dei siti in cui eseguiamo rimozioni malware utilizza HTTPS con relativo certificato SSL.
Fai un backup del sito infetto
Può sembrare insolito ma è fondamentale fare un backup del sito infetto prima di eseguire qualsiasi operazione. Questa è anche una pratica di tutela per entrambe le parti in caso di contestazione. Il backup può essere scaricato localmente facendo attenzione a non infettare il dispositivo. Questo backup non dovrà mai essere utilizzato come punto di ripristino ma solo per la consultazione / diff / recupero singoli files previa analisi o per verificare lo stato precedente. Una volta concluso il lavoro consigliamo di fare un nuovo backup da tenere sul proprio pc.
Evita di acquistare servizi lato hosting
Lato hosting vengono spesso offerte (sia a pagamento che in modo gratuito) soluzioni per mantenere “sicuro” il tuo sito. Questi tools sono spesso inutili per varie tipologie di infezioni e rischiano di dare una falsa sicurezza riguardo la protezione. Possono essere in bassa percentuale utili per prevenzione e monitoraggio poiché forniscono alter. Non sono idonei a effettuare una pulizia quando il sito è compromesso.
Non limitarti a guardare i files
I files sono una parte dell’ambiente che gira attorno al tuo sito. Focalizzarsi solo su questo è errato poiché le infezioni più recenti interessano più aree anche contemporaneamente ed è necessario analizzarle tutte specie quando non si conosce l’esatta tipologia di attacco subito.
Non dimenticare di eseguire la procedura di rimozione dalla blacklist
Le blacklist possono essere più dannose dell’infezione stessa poiché comportano un avviso per i tuoi visitatori. Ad esempio per chi utilizza uno specifico antivirus, potrebbe ricevere la segnalazione come sito pericolo, quindi bloccare l’accesso e avere un danno di immagine. Quando una blacklist segnala come pericoloso un sito, è facile assistere ad un rapido effetto a catena, pertanto è importantissimo intervenire tempestivamente. I tempi per l’esclusione sono mediamente di 72 ore, ma in alcuni casi possono servire settimane e questa è a discrezione del provider.
Cancella la cache
Una volta eseguita la rimozione malware è necessario cancellare la cache, anche lato server se presente. Non farlo è un errore comune e agli occhi delle blacklist e dei visitatori il sito risulterà come allo stato precedente (infetto).
Aggiorna il core, plugin ed il tema (con logica)
Per garantire un buon livello di sicurezza mantieni sempre aggiornati i files, WordPress ed il tema così da evitare nuovi attacchi basati su vulnerabilità note. Rimuovi inoltre tutto ciò che non è necessario per limitare le possibilità di attacco. Non credere però che un sito non aggiornato da anni sia più probabilmente vittima di attacco rispetto ad uno aggiornato un mese prima. Molti attacchi puntano alle penultime versioni (nuove falle) piuttosto che a falle precedenti. Pertanto se fornisci un servizio di aggiornamento e manutenzione assicurati di fare gli update (security fix) entro poche ore, altrimenti può risultare persino controproducente.
Assicurati che il server sia correttamente isolato
Spesso si utilizzano hosting di basso livello o soluzioni multidominio non correttamente isolati per risparmiare sui costi di rinnovo. Queste soluzioni comportano un aumento esponenziale del rischio per ogni nuova installazione presente. Quando una installazione viene compromessa è possibile accedere tramite una shell ad i files delle altre installazioni così da poterle facilmente infettare. In questi casi è fondamentale operare e accertarsi della sicurezza di tutte le installazioni presenti.
Effettua un periodo di monitoraggio
Una volta eseguita la pulizia del malware è importante eseguire un periodo di monitoraggio per assicurarsi che il tutto sia stato eseguito correttamente. Questo comprende la replicazione dei sintomi dell’infezione come ad esempio testare l’apertura del sito da un nuovo dispositivo, effettuare analisi ad i files infetti in precedenza, analizzare l’inserimento di nuove blacklist ecc…
Consigliamo di fare il monitoraggio secondo questo schema :
1) una volta ogni 10 minuti per la prima ora
2) una volta ogni 6 ore il primo giorno
3) due volte al giorno per i successivi 3 giorni
4) una volta al giorno per i successivi 3 giorni
5) una volta ogni 2 giorni nei restanti giorni ( a seconda dei giorni forniti dal vostro servizio)
Questo può essere regolato in base anche all’importanza del sito. Tendenzialmente le infezioni su siti non ripuliti correttamente si ripetono principalmente in intervalli come 1 secondo, 5 secondi 1giorno, 1 settimana.
Questi consigli rappresentano solo una piccola parte del lavoro necessario per la rimozione malware, che ricordo ancora essere variabile e mai procedurale, pertanto non limitarti a seguire solo questi. Per tutto il resto ci siamo noi, puoi valutare il nostro servizio di rimozione malware entro 24 ore.
COME CAPIRE SE CHI TI VENDE UN SERVIZIO DI RIMOZIONE PROBABILMENTE NON HA LE COMPETENZE PER FARLO?
DI SEGUITO ALCUNI CAMPANELLI DI ALLARME:
- Non chiede i dati di accesso hosting
- Indica tempi di risoluzione molto lunghi (oltre 2 giorni) (ad esclusione della pulizia della serp) o vuole procedere tra diversi giorni
- Ti consiglia di rifare il sito o di ripristinare da un vecchio backup (salvo casi in cui il sito è stato eliminato a seguito dell’attacco[molto raro])
- Lamenta il fatto che non è possibile accedere a WordPress tramite login e di non poter procedere
- Attribuisce l’attacco ad una mancata licenza di un plugin o tema
- Non ha specificato sul suo sito questo servizio
- Preventivo troppo basso
- Scarsa conoscenza tecnica
- Garantisce che il sito non sarà mai più attaccato
- Ti chiede di cambiare hosting (salvo vulnerabilità lato server chiaramente documentata)