• User

    Attacco hacker al sito: cosa fare

    Ciao a tutti, ringrazio in anticipo chi potrà aiutarmi.
    Ho un sito su wordpress, questa mattina mi è arrivata l'email di richiesta cambio password (e con scritto di non preoccuparmi se non l'avevo richiesta io).
    Sono andato sul sito e ho trovato una pagina che "dichiara l'attacco".
    Vorrei sapere cosa fare per ripristinare il tutto come prima e per evitare attacchi futuri.
    Ho già telefonato all' hosting che mi ha detto di inviare una email e sto aspettando risposta.
    Al momento ho fatto redirect su un altro sito.
    Grazie.


  • User Newbie

    Ciao maurog, non ho capito una cosa, riesci ad effettuare il login su wp? solitamente sostituiscono solamente l'index, prova a rimettere quello del pacchetto wordpress che avevi installato.
    Per quanto riguarda l'attacco, solitamente si riescono a sfruttare falle nei plugin e temi (o temi con già presente codice...) controlla che i plugin che installi siano sempre provenenti dalla directory ufficiale di wp, per i temi (molto più probabile nel tuo caso) utilizza il plugin TAC (theme authenticity checker) che controlla l'autenticità del tema, i link presenti in esso ed eventuali codici nascosti tipo codici per backlink... puoi anche installare Exploit Scanner altro plugin, credo che come nella maggiorparte dei casi il problema stia nel tema.


  • User

    Grazie delle indicazioni. Non conoscevo i plugin per controllare il tema, ora li installo.
    Il login non era possibile, appariva sempre la stessa pagina inserita dal' hacker, ma tramite l'intervento dell' hosting, rifacendo il back up si è ripristinato il tutto.
    C'era un plugin da aggiornare, hanno detto che (forse) era quella la "falla".
    Spero con i plugin consigliati e i suggerimenti di ridurre il rischio "attacchi" per il futuro.


  • Super User

    Ciao maurog

    è vero che bisogna fare attenzione al tema, ai plugin un pò meno se li scarichi dall'extend ufficiale, ma non basta.

    Bisogna anche proteggere il login e assicurarsi di usare i permessi corretti (per esempio mai usare 777). E naturalmente tenere tutto aggiornato. Comunque difficilmente un plugin di cui è uscito un nuovo aggiornamento che tu non hai installato crea una falla. Diverso è se il plugin era vecchio o non aggiornato da molto tempo.


  • Moderatore

    Inoltre, una volta che hai ripreso l'account amministratore, controlla gli utenti che sono registrati al tuo blog e vedi gli amministratori che ci sono.
    Spesso, un cracker (che è diverso da hacker) crea degli account amministratori per poter avere accesso come amministratore anche dopo l'attacco.
    Controlla tutti i file php che ci sono, potrebbero aver caricato una Shell in PHP 😉

    Mike