- Home
- Categorie
- Coding e Sistemistica
- WordPress
- Scansione malware con Sucuriti Security
-
Scansione malware con Sucuriti Security
Ciao, ho scansionato il sito con il plugin in oggetto, che ha rilevato alcuni file modificati, qualche PHP, js e qualche file di testo.
Capisco che è difficile spiegare dettagliatamente come intervenire per sistemare questi problemi, però, esistono delle linee guida per capire se un file è una minaccia oppure è un file normale che viene scambiato per minaccia dal plugin?
-
Ciao, difficile che venga segnalato un falso positivo.
Quindi in questi casi:- se i file coinvolti sono i file core di WordPress o i file dei plugin, li sostituisci direttamente con una versione pulita;
- se i file sono quelli del tema, li sostituisci con una copia di backup sicura.
-
Ciao Davide grazie per l'aiuto, purtroppo le copie che ho sono identiche, quindi hanno lo stesso problema, per file del core intendi i wp-nomefile.php giusto?
Se i file invece sono dei .js o .txt?
-
In fin dei conti possiamo dividere WP in tre parti:
- L'installazione di WP
- I plugin installati
- Il file tema e gli upload
Tutto ciò che riguarda WP è sostituibile con una versione pulita, scaricata dal sito ufficiale. Lo stesso dicasi per i plugin.
Per il tema, sarebbe stato ideale partire da una versione pulita e caricarla nuovamente.Ad ogni modo, se conosci esattamente quali sono i file coinvolti, li controlli e li pulisci.
-
I file li ho individuati con wordfence e sucuriti, il problema è che visionandoli non mi sembra di vedere nulla di sospetto nel codice, insomma mi sembra il codice che occorre per il funzionamento del sito, magari mi sfugge qualcosa
-
Ciao, i file che segnala l'antivirus sono:
.hataccessold
.a..mysql.php
blocks.js
class-theme.php
csslint.js
date.js
e.html
index.htmlold
jquery.js
jquery-migrate.js
license.txt
licenza.html
underscore.jsSinceramente, a parte gli old che potrei eliminarli, dalla visione degli altri mi risulta difficile capire il problema o ci perderei un sacco di tempo.
Se reinstallassi il core di wordpress tramite FTP in questo modo?farei backup dei file del sito e di db mysql
scaricare ultima versione di wordpress
via FTP andare nella root del sito e cancellare le cartelle wp-include e wp-admin e tutti i file che ci sono nella cartella ad eccezione di wp-config.php, robots.txt e .htaccess
senza cancellare la cartella wp-content
estrarre il contenuto di wordpress dallo zip scaricato all'ultima versione e installarlo via FTP nella root del sito
aprire la pagina https://www.nomesito.com/wp-admin (cambiare il noem sito col mio dominio)
Quando viene chiesto di aggiornare il db, accettare.Pensi che così potrei risolvere?
I file .js appartengono anche loro al core di WP?
Grazie per l'aiuto!
-
Sì, è esattamente quanto avevo suggerito. La soluzione in assoluto migliore è proprio cancellare i vecchi file e rimetterli, altrimenti potrebbe rimanere qualche file extra.
Poi rifai una scansione e verifichi se sono presenti altri malware. Se presenti potrebbero trovarsi in wp-content, e quindi nel tema o nei plugin.
-
Per quanto riguarda il file .jp appartengono anche questi al core di WP?
-
Intendi .js? Generalmente tutti i file js di WP si trovano in wp-admin/js/ e wp-includes/js/. Nella root principale invece non ce ne sono.
-
Ok, grazie, ho apero un file php che l'antivirus segnala sospetto, aprendolo con editor di testo dentro c'è una sorta di scaraboccio lunghissimo, non è assolutamente codice php, e sinceramente non immagino come possa, in caso sia qualche tipo di comando, generare appunto dei comandi!
-
Invece lo può fare, è uno script in grado di fare parecchi danni
-
Ma che linguaggio è? Non l'ho mai visto.
ora faccio un tentativo scaricando il core di WP e sostituendo solo il file che l'antivirus mi indica e vediamo...
Strano perchè strumenti online per il rilevamento di malware, non ne rilevano.
-
Davide, ho fatto così, ho scaricato WP nuovo di zecca.
Poi ho confrontato il core con i file che ho su server e visionando le criticità segnalate dall'antivirus.
htacces e index old li ho eliminati.
I .js nella root eliminati, tra l'altro l'editor segnalava errori e non li apriva.
Il class-theme.php ho visto che non esiste nel core nuovo di zecca, ho aperto così quello del server e come ti dicevo c'era quel codice spazzatura..
Eliminato anche questo.
Morale della favola il sito funziona, segnala solo criticità su licenza.html che però ho sovrascritto con quella presa dal core appena scaricato.
Questo eseguendo lo scan con sucuriti.
Wordfence per me non va bene, mi segnala la presenza di file sospetti che ho cancellato dal server.
-
Forse sono rimaste segnalazioni nella cache. Per il momento l'importante è aver eliminato ciò che era infetto. Nei prossimi giorni riprova a scansionare nuovamente il sito.
In passato avevo aiutato due aziende che avevano avuto questo problema. È stato rognoso. Per risolverlo ho rimosso tutto, e prelevato il tema e la cartella upload dai loro backup.Ciò succede quando non si prendono le dovute precauzioni: dai backup ai sistemi di sicurezza, al mancato aggiornamento della piattaforma.
-
Guarda Davide, ti assicuro che ho antivirus sempre aggiornato nel pc, i backup automatici che mi arrivano ogni giorno, ma è un attimo, in windows si è bersagliati.
Per segnalazioni nella cache intendi chiaramente quella del sito giusto?
Ci sono plugin per cancellarla?
-
Il problema che hai avuto con il tuo sito non è dovuto al tuo PC o a Windows. Evidentemente gli hacker hanno sfruttato una vulnerabilità del sito o del server. Quale? Occorre un'analisi approfondita per trovare il problema.
Alcuni suggerimenti li avevo scritti in questo articolo: https://www.linkedin.com/pulse/plugin-wordpress-istruzioni-per-luso-davide-mancuso/.Non conosco Wordfence, ma puoi provare a rimuoverlo e reinstallarlo. Un suggerimento: anche questi test (sia di scansione che di rimozione / installazione) prova ad effettuarli prima in locale. Se tutto procede bene, esegui gli stessi passaggi sul server.
-
Adesso mi leggo la guida che mi hai postato! Ora il sito va decisamente meglio ed è più veloce, dopo la rimozione di tutti quei file .js nella root, vecchi temi non più in uso, e altri file con dentro codice incomprensibile, a proposito, di che linguaggio si tratta?
Ho eseguito scansione con sucuriti security e mi segnala solo un file licenza.html ma per me è un falso, è un file del core che tra l'altro ieri ho sostituito con uno dall'installazione nuova di zecca del core di wp.
Wordfence ho provato a rimuoverlo e reinstallarlo e cancellare la cache di wp con wp supercache ma segnala criticità in temi che hi cancellato, secondo me da i numeri
