Perché una rimozione malware non dovrebbe essere affidata a strumenti o servizi automatizzati

17 Novembre 2024

La sicurezza informatica è una disciplina che richiede rigore, comprensione approfondita delle dinamiche e una capacità analitica di adattarsi a minacce sempre più sofisticate. Non accetta improvvisazioni o scorciatoie. Spesso si vede consigliare l’acquisto di plugin premium, di tools, estensioni lato server o servizi online che lavorano in modo automatizzato effettuando principalmente check su files e database. Questi strumenti possono essere utili per la prevenzione o il monitoraggio, ma non sono assolutamente soluzioni nel caso in cui l’attacco è andato a buon fine.  Affidarsi a strumenti o servizi automatizzati per la rimozione di malware su un sito WordPress, non può essere considerato un approccio adeguato e responsabile. Vediamo insieme alcuni motivi:

Rimozione superficiale del malware

Gli strumenti automatizzati tendono a identificare e rimuovere codice maligno noto o che risponde a pattern predefiniti, ignorando quindi nuove tecniche e signatures. Molti attacchi recenti utilizzano tecniche di offuscamento del codice o si mimetizzano nel core di WordPress, nei plugin, nei temi, nel database e in tutto l’ambiente che circonda il sito web. Questi strumenti spesso falliscono nel rilevare minacce più sofisticate, lasciando dietro di sé frammenti di codice malevolo che possono essere riattivati successivamente. Nello sviluppo di un malware, l’hacker si assicura che il suo codice non venga rilevato dalle principali piattaforme di sicurezza, utilizzando anche variabili randomiche.

Assenza di analisi della causa primaria (Root Cause Analysis)

La pulizia di un malware non affronta spesso il problema fondamentale: come il malware ha avuto accesso al sistema. Una corretta rimozione include come primo step un’indagine forense atta a identificare la vulnerabilità sfruttata, che potrebbe derivare da credenziali compromesse, plugin obsoleti, configurazioni server errate o altre lacune di sicurezza. Gli strumenti automatizzati, per loro natura, non eseguono questo tipo di analisi approfondita, lasciando la falla aperta e potenzialmente il sito ancora accessibile all’hacker.

Rischio di falsi positivi o danni collaterali

Molti strumenti automatizzati possono segnalare come “malware” file legittimi, soprattutto se customizzati o parte di plugin personalizzati. Una rimozione errata di questi file può portare al malfunzionamento del sito, compromettendo l’esperienza utente e potenzialmente danneggiando la reputazione dell’amministratore o del cliente. Diversamente la rimozione eseguita manualmente da un professionista comporta una verifica del codice in modo da decidere se questo è malevolo o meno anche con il confronto eventuale del cliente o del developer che ha sviluppato le funzioni.

La sicurezza richiede interventi umani

La sicurezza non è un processo meccanico che al momento può essere eseguita in autonomia da un tool, ma un’arte che richiede intuito, esperienza e capacità di leggere tra le righe di codice. Solo un esperto umano può analizzare il contesto specifico di un’installazione WordPress, comprendere le particolarità del codice e adottare misure su misura, come il rafforzamento delle configurazioni di hosting, il controllo delle dipendenze, il monitoraggio dei log di accesso e tutto ciò che consente l’accesso al dominio.

Hardening, monitoraggio ed esclusione da blacklist

Un professionista della sicurezza non si limita a “pulire” un sito, ma implementa strategie per prevenire future compromissioni. Ciò include l’aggiornamento dei componenti, la configurazione di backup sicuri, l’implementazione di firewall applicativi e altre misure proattive che vanno oltre la portata di un tool. Anche le richieste di rimozione da blacklist necessitano un controllo manuale sia per la richiesta che per il monitoraggio degli esiti.

Alcuni esempi di scenari in cui l’esperienza umana è decisiva.

Analizziamo il caso recente della vulnerabilità di WPLMS dove viene scaricato il file wp-config.php tramite una semplice chiamata post dove viene indicato il percorso del file. La funzione effettua il download del file senza alcuna verifica, per poi eliminare il file. In questo caso la vittima di attacco all’accesso al sito troverà una situazione in cui il sito non è funzionante a causa dell’assenza di un file di configurazione.  In questo modo, salvo installazioni multiple, l’attaccante non avrà accesso allo spazio web se non al database. Qualsiasi strumento di analisi non troverà nessun malware – indicando eventualmente la presenza di una vulnerabilità – . La vittima potrebbe erroneamente effettuare un restore da backup per poi andare ad aggiornare fixando la falla di sicurezza. In questo modo l’hacker anche in assenza di una vulnerabilità ottiene – nel momento in cui viene eseguito il restore –  accesso al database remoto ed è proprio il ripristino da backup che consente all’attaccante di avere poi il controllo ed accesso completo all’installazione WordPress, potendo caricare successivamente shell dormienti da utilizzare come punto di ingresso per future compromissioni.

Un secondo esempio può essere il caso in cui l’utente è vittima di un phishing o ha un dispositivo infetto che preleva gli accessi del client ftp. Una volta ottenute le credenziali ftp l’attaccante può compromettere in qualsiasi momento il sito, pertanto eseguire una scansione con un tool è inutile. Anche in assenza di un sito web o con un cambio di password ftp lo spazio web può essere in realtà ancora compromesso. Nessun tool o servizio automatizzato analizzerà come è stato eseguito l’attacco. Pertanto il cliente pensando di rifare il sito da capo si ritroverà dopo X ore il sito nuovamente infetto.

Un terzo esempio, può essere quello del cambio delle capabilities dove l’attaccante modifica all’interno del database i permessi che hanno i vari ruoli, andando a fare un escalation dei privilegi per utenti subscribers (ruolo default di WordPress). In questo modo una semplice registrazione futura al sito può consentire l’accesso completo all’installazione. Caso simile, è quello del cambio del default role alla registrazione in administrator, rinominandolo in subscribers solo nella label. I tools di analisi malware non analizzano aspetti di questo tipo a volte così banali, ma che saltano subito all’occhio di un professionista del settore.

Quelli descritti sono casi reali ed affrontati più volte durante la nostra esperienza di rimozioni malware.

 

Conclusione

Affidarsi esclusivamente a strumenti o servizi automatizzati per la rimozione di malware su WordPress piuttosto che ad un professionista non è soltanto una soluzione incompleta, ma risulta potenzialmente rischiosa. Tali strumenti possano servire come supporto iniziale o di emergenza, solo l’intervento di un esperto può garantire un ripristino totale e una messa in sicurezza del sito.

Investire in una soluzione professionale non è semplicemente un costo, ma un atto di responsabilità verso i propri clienti, i dati sensibili e la reputazione online. Perché la sicurezza, non è mai qualcosa da lasciare al caso. In sintesi gli strumenti possono essere utilizzati ma non con l’illusione di poter sostituire la figura umana.

Se hai subito un attacco o vuoi incrementare il livello di sicurezza del tuo sito non esitare a contattarci.

Servizi maggiormente richiesti:

  • Passaggio da http ad https
  • Ottimizzazione pagespeed
  • Rimozione virus da WordPress
  • Caricamento contenuti demo
  • Modifica template WordPress
  • Creazione di custom template
  • Conversione da psd a WordPress
  • Migrazione su nuovo server
  • Adeguamento cookie law
RICHIEDI ASSISTENZA