In questa guida vediamo come eliminare malware da un sito WordPress. Se utilizzi il web per vendere o trovare nuovi clienti, avere un sito sicuro e protetto (dai malware e non solo) è fondamentale per evitare l’insorgere di problematiche e trasmettere quella fiducia necessaria per trasformare un semplice visitatore in cliente abituale.
Noi di WP-OK sappiamo bene quanto sia difficile far crescere un business online ed è per questo che ci dispiace imbatterci in ottimi siti rovinati da una scarsa attenzione alla sicurezza. È un vero peccato, perché con un livello maggiore di prudenza potrebbero raggiungere risultati straordinari.
Vediamo, quindi, in che modo puoi aumentare la sicurezza del tuo sito e come rimuovere eventuali malware che lo hanno già attaccato.
Come rimuovere malware da un sito WordPress?
L’amico numero uno della rimozione malware WordPress è un programma regolare di backup di tutti i contenuti del sito. In alcuni casi, infatti, basta ripristinare un backup effettuato prima dell’infezione e solo dopo eseguire gli aggiornamenti necessari per risolvere il problema.
Facile, no?
Sì, ma non basta. Purtroppo questa soluzione spesso non è sufficiente.
A volte non è disponibile un backup recente (!) o non è stato eseguito nel modo corretto. In altri casi il malware è stato rilevato troppo tardi e quindi ha già infettato i salvataggi di ripristino a tua disposizione. Per non parlare poi di quelle situazioni in cui il sito riceve in ogni istante continue modifiche, come nel caso di un ecommerce che aggiorna prodotti e ordini anche più volte nella stessa ora. Eseguire un intervento di ripristino, in questi casi, significa riportare tutto a una situazione precedente e perdere tantissime ore di lavoro.
Per gli ecommerce, il nostro consiglio è scegliere un piano di backup in tempo reale per creare una copia completa del sito ogni volta che si verifica un nuovo evento.
Ti possiamo assicurare che rimuovere un malware è un’operazione delicata che richiede tempo e molta, molta attenzione. Nel corso degli anni, abbiamo messo a punto una nostra procedura che si divide in tre parti:
- analisi preliminare: per capire da dove è arrivato il problema e cosa è stato compromesso;
- pulizia del sito WordPress: per rimuovere i malware e ripristinare i file corrotti;
- messa in sicurezza: per chiudere la “falla” che ha creato il problema ed evitare che si ripresenti in futuro.
Entriamo nei dettagli e approfondiamo insieme il nostro metodo.
Rimozione malware sito web: analisi preliminare
Come prima cosa, cerchiamo di capire dove è nato il problema e in che modo ha compromesso il sito.
1. Backup iniziale
Se sospetti di avere un malware – magari perché il sito mostra banner pubblicitari che non hai inserito oppure perché allontana il visitatore verso portali strani – la prima operazione da fare è un backup completo di file e database.
Lo puoi fare dal pannello del tuo hosting o usando un plugin come BackupWordPress.
2. Scansione del sito
Dopo aver creato una copia, procedi con la scansione del tuo sito WordPress alla ricerca dei malware. Esistono diversi plugin con cui analizzare i file e il database lavorando direttamente sul web server che ospita il sito e in generale questo tipo di plugin offrono un’affidabilità maggiore rispetto agli strumenti di scansione online.
Ecco i nostri plugin preferiti per la sicurezza dei siti WordPress:
- Wordfence: permette di analizzare file, temi e plugin confrontandoli con le versioni esistenti nel repository di WordPress.org. In questo modo il plugin può scovare eventuali modifiche fatte dal malware. Verifica anche se il tuo sito ha link verso noti siti di phishing, un chiaro segnale di compromissione.
- Sucuri Security: rileva malware attraverso il servizio Sucuri SiteCheck, oltre a verificare, come WordFence, l’integrità di file, link e iframe presenti nel tuo sito.
3. Identificare il malware
Una volta individuati i file infetti, è importantissimo capire da dove è entrato il malware.
Dalla nostra esperienza, il 90% delle volte il codice malevolo sfrutta dei bug già conosciuti e risolti da aggiornamenti che non sono stati installati a causa di una cattiva gestione del sito.
I plugin di sicurezza di cui abbiamo parlato qui sopra permettono di vedere le righe di codice malevoli, ovvero che contengono un codice con una serie di caratteri strani (codificati in base64 per nascondere l’esecuzione dello script).
Se copi e incolli queste righe su Google spesso è possibile risalire al tipo di malware e capire come si propaga. Potremmo scoprire – per esempio – che il malware che ci ha colpito sfrutta un bug presente nelle vecchie versioni di Slider Revolution, uno dei plugin colpiti più di frequente.
Questa informazione sarà utile più avanti durante la messa in sicurezza del sito.
Pulizia
Una volta identificato il problema, controlliamo i danni e cerchiamo di rimediare il più in fretta possibile procedendo alla rimozione malware WordPress.
4. Pulire lo spazio web
Un sito infetto presenta molte volte cartelle di file che non fanno parte della regolare installazione di WordPress e che vanno rimosse.
Se non sei completamente sicuro che si tratti di vere minacce, puoi spostare le cartelle da /public_html/ in una nuova, denominata per esempio /file-sospetti/, da tenere fuori dalla directory /public_html/, per renderla irraggiungibile via web.
Se non hai dimestichezza con la gestione delle cartelle WordPress in FTP, ti consigliamo di chiedere sempre l’aiuto di un esperto per evitare errori.
5. Ricaricare i file
A questo punto, grazie allo stesso plugin con cui abbiamo scovato il malware, possiamo procedere a ripristinare i file puliti.
WordFence scarica di nuovo i file dal repository di temi e plugin di WordPress, ma solo se non si tratta di estensioni premium acquistate e scaricate a parte.
La soluzione più veloce è ricaricare tutti i plugin e i temi che hanno anche solo un file infetto.
6. Verificare gli utenti
Come abbiamo detto, il malware a volte aggiunge utenti al tuo sito WordPress per consentire l’accesso a malintenzionati. Controlla i profili registrati nel pannello di controllo del sito ed elimina tutti quelli che non riconosci o che ti sembrano sospetti, per esempio con email di domini “.ru”.
La stessa cosa va fatta per gli utenti FTP e per quelli dell’hosting, un’altra delle “porte di ingresso” al tuo sito.
7. Modificare le password
Ora che abbiamo verificato gli utenti presenti sul tuo backend WordPress e lo spazio web (hosting e FTP), è bene cambiare tutte le password. Meglio non fidarci di un sito compromesso, anche dopo che abbiamo risolto la minaccia.
La pagina di login dei siti è il bersaglio preferito degli hacker, in particolare dei cosiddetti attacchi brute force. Si tratta di una serie di tentativi automatici di effettuare l’accesso con combinazioni casuali di credenziali.
Una delle regole più importanti per la sicurezza dei siti WordPress consiste nell’evitare il nickname standard “admin”: è il primo nome contenuto in tutti gli elenchi dei malware. Ancora più importante è scegliere delle password forti, vale a dire difficili da indovinare.
Per essere davvero efficace, una parola chiave deve essere di dieci lettere o più, non deve essere già usata in altre credenziali e deve contenere al suo interno:
- almeno un carattere maiuscolo;
- almeno un carattere minuscolo;
- uno o più numeri;
- uno o più caratteri speciali come ?, !, €.
Ci rendiamo conto che è difficile ricordare tutte le password che servono al giorno d’oggi: per questo consigliamo di usare strumenti come LastPass.
8. Verificare i permessi dei file
A questo punto è opportuno controllare i file di WordPress e verificare che non abbiano permessi di lettura e scrittura errati o malevoli, come spiegato in questa pagina.
Se non sei familiare con i permessi sui file aiutati con il plugin iThemes Security. Tra le opzioni troverai “File Permissions” che indica quali file o cartelle hanno bisogno di attenzione.
9. Scansione finale
È quasi fatta! Ma siamo sicuri? Meglio verificare facendo una nuova scansione con WordFence, Sucuri Security o iThemes Security.
Se non vengono più rilevati file sospetti complimenti: il malware è debellato.
Messa in sicurezza
Ti ricordi che abbiamo spiegato come capire quale malware ha colpito il tuo sito? Ecco, questa informazione serve ora per mettere in sicurezza il sito, per chiudere la falla che ha fatto entrare il malware ed evitare che si ripresenti.
10. Aggiornare tutto
Quasi sempre il malware si propaga sfruttando dei bug noti, presenti in vecchie versioni di WordPress, temi e plugin. Per questo è importante tenere il tuo sito sempre aggiornato e non trascurare mai la manutenzione.
Approfondiamo il discorso in questo video in 3 minuti:
ATTENZIONE! A volte un plugin o un tema non possono essere aggiornati perché la licenza di utilizzo è scaduta: rinnovala per scaricare le nuove versioni rilasciate dagli sviluppatori. Mantenere il tuo sito aggiornato ti permette di evitare altri problemi di sicurezza in futuro. È un po’ come giocare a guardia e ladri, ogni giorno vengono inventati nuovi malware e non puoi abbassare il livello di allerta!
11. Monitorare il sito
Purtroppo se la rimozione malware dal sito web non è stata portata a termine nel modo giusto potrebbe tornare in men che non si dica.
Per questo consigliamo di tenere il sito monitorato per almeno una settimana, verificando le segnalazioni di WordFence (o altro plugin di sicurezza) e lo stato di salute su Search Console.
Conclusione
In questa guida abbiamo visto cos’è un malware, che problemi può dare, come capire se il nostro sito WordPress è stato infettato e come procedere alla rimozione malware da WordPress.
Tenere un sito WordPress al sicuro richiede un lavoro di manutenzione e monitoraggio costante. Ti consigliamo di dare un’occhiata ai nostri piani di assistenza e manutenzione pensati proprio per chi vuole dormire sonni tranquilli senza preoccuparsi di malware e sicurezza.
