• Super User

    [Wordpress] Sito web con codice malevolo

    Buongiorno a tutti,
    il mio sito web realizzato con Wordpress e Woocommerce (con relativi plugins) è spesso soggetto ad injection di codice malevolo.

    Per fortuna non è stato bloccato da Google, ma:

    • vengono visualizzato popup con contenuto per adulti
    • vengono indicizzati URL non reali

    Ho trovato file .php all'interno della cartella wp-includes e file .js nativi di Wordpress modificati.

    Ho ripristinato il core di Wordpress, ma qualche mese dopo il problema si è ripresentato.

    Sto già provvedendo a realizzare una versione nuova del sito, ma nell'attesa, come posso tamponare il problema?

    Grazie.


  • Moderatore

    Ciao
    tutto è aggiornato come si deve? Usi Php 7.3? Hai Temi o Plugin vecchi e che non sono aggiornati da tempo? Prova a fare una scansione con https://sitecheck.sucuri.net/


  • User

    Ciao,
    purtroppo quando questo accade, bisogna individuare quale falla ha causato la possibilità da parte dell'hacker, di entrare nel tuo sistema. Se non si mette in sicurezza l'intero sito, non basta eliminare i codici malevoli... ritorneranno molto presto.

    Sicuramente va scansionata tutta la cartella wp-content. Le cartelle di sistema wp-includes e wp-admin possono essere cancellate e ripristinate (mi raccomando la stessa versione di WP installata).

    Una volta rimosso ogni file o porzione di codice malevolo, bisogna mettere in sicurezza il sito e gli accessi FTP. Spesso accade che gli hacker entrano perchè riescono a trovare le credenziali di accesso della pagina /wp-admin

    Quindi di seguito gli step base per mettere in sicurezza un sito:

    • Cambiare e usare password complesse per l'accesso al backend di WP (e aggiungo anche per l'accesso FTP);
    • Cambiare l'url della pagina accesso di WP... mai lasciare quella di default /wp-admin;
    • Usare plugin per la sicurezza che ti aiutano a impostare al meglio e monitorare il tutto (ce n'è sono molti free e anche validi);
    • Tenere tutto sempre aggiornato all'ultima versione (plugin, temi e WP stesso).