• Handsfly0
    User

    Antivirus pulizia codice .js in sito WP, cercasi

    Buongiorno Community,

    ho un problema urgente da risolvere.
    Ho un sito ancora da lanciare sul web ma, nell'installazione di Google Site Kit la Search Console mi ha notificato presenza di codice in javascript ingannevole. Il sito non è ancora in lista nera o altre azioni conseguenti e sto cercando il modo di fare pulizia prima di lanciarlo.
    Qualcuno mi sa consigliare il metodo più sicuro, costo onesto per agire con la pulizia del codice?
    Grazie mille

    0
    ? sermatica 2 Risposte
  • ?

    @handsfly0

    Automatico non è certo che riesca a pulire tutto, wordfence è già qualcosa ma non è infallibile, serve una persona con un minimo di esperienza al riguardo. Probabilmente ci sono servizi specifici di pulizia, io ho sempre fatto da solo.

    Come punto di partenza (ma non è esaustivo):

    Togli tutte le cartelle wp-admin wp-includes e tutti i files di primo livello

    Segnati i parametri di connessione db dentro config.php e poi cancella anche quello (dovresti controllare anche se hai configurazioni personalizzate tipo memoria, etc)

    Dentro la cartella wp-content dovresti tenere solo i file del template (e template figlio, spero lo abbia fatto), i file dentro uploads (cancella eventuali anomali e controlla gli index.php (dentro dovrebbe esserci solo <?php
    // Silence is golden.)

    La cartella plugins segna quali plugin hai e poi li riscarichi da zero dai sorgenti ufficiali wordpress, poi pulisci tutto e reinstallerai dagli zip ufficiali.
    Uguale per themes, segna il template padre e lo riscarichi dal sito ufficiale (wordpress o marketplace ufficiale), controlla che nel figlio non ci siano codici malevoli.

    Poi devi passare a controllare che il database sia pulito e non ci siano codici malevoli, link spam, porcherie. Qui che io sappia non ci sono scorciatoie, è un lavoro manuale. Potresti cancellare tabelle di plugin e ricrearle ma anche qui dipende dal plugin, dai settaggi, etc

    A questo punto farei un controllo antivirus dei file rimasti

    Poi riscarichi wordpress ufficiale, ultima versione o almeno quella che avevi al momento della pulizia (se abbastanza recente) e copi tutti i file puliti dallo zip, ricrei il config.php con i parametri del db (e personalizzazioni se ne avevi) e testi.

    Sinceramente è un lavoro che farei in locale (prova local di wpengine è molto interessante e facile per lavori veloci)

    Ci sono tanti altri controlli da fare ma sarebbe lunga...

    Di sicuro controllerei che tutto sia alle ultime versioni (wp, plugin e template) e che non abbiano vulnerabilità aperte. Cosi come il server ufficiale sia con php recente (7-8) e ben mantenuto. Consiglierei un hosting managed che faccia automaticamente controlli di sicurezza, antivirus, patch automatiche, etc. Io conosco wpengine ma anche altri danno servizi simili, credo flyweel, kinsta, etc

    Poi prenderei sicuramente wordfence licenza commerciale e metterei il sito in sicurezza dietro un firewall/CDN come cloudflare (gratuito per partire ma valuterei anche i 20€/mese).

    0 1
    Handsfly0 1 Risposta
  • sermatica
    Moderatore

    @handsfly0 ha detto in Antivirus pulizia codice .js in sito WP, cercasi:

    Google Site Kit

    Ciao,
    il mio consiglio per iniziare è di depennare subito il "Google Site Kit". L'ho testato in passato e oltre che inutile mi ha danneggiato il sito.

    2
  • Handsfly0
    User

    @homeworker Ciao, ti ringrazio della sollecita risposta.
    Io so bazzicare all'interno dei file e delle cartelle dello spazio web nell'hosting, ma non ho una competenza approfondita per anticipare i rischi e ciò che devo fare se qualcosa va storto.
    Il sito ha subito l'iniezione di codice .js in innumerevoli % con reindirizzamento ad altro sito, queste le uniche informazioni che sono riuscita a trovare.
    Google Site Kit avevo già avuto l'impressione di doverlo eliminare, mi occupa un sacco di memoria e mi incasina il caricamento degli script appesantendo la velocità anche del sito, toglierlo non è un problema.
    Posso lavorare in local con FTP.
    Ho un pò imparato a farmi aiutare dall'Ai per controllare il codice, io non sono una programmatrice ma ho notato che chatGPT ci azzecca, forse non in tutto ma sa individuare codice non proprio corretto.
    Lavoro tosto, ci provo.
    Oppure rifare tutto d'accapo con dominio nuovo.... 😱

    Intanto provo........poi vedremo
    Grazie, grazie al momento

    0
Effettua l'accesso per rispondere