Rimuovere malware da WordPress

Come fare prevenzione e cosa fare in caso di virus

Quando il tuo sito è compromesso bisogna agire con tempestività mantenendo la calma ed eseguendo tutte le operazioni di ripristino senza sbagliare. In questo post ti spiego come fare.

Come nel mondo reale, non c’è miglior cura della prevenzione. Ti illustrerò i passaggi che dovrai eseguire sia nel caso tu sia uno sviluppatore, sia che tu non lo sia. Gli approcci sono differenti.

Nel caso tu sia uno sviluppatore web

Se sei un web designer o un webmaster e devi magari sviluppare o personalizzare un tema per WordPress, non dovresti inizialmente fare nulla online, ma lavorare in locale. Usando un ambiente di sviluppo come Xampp se usi Windows o Mamp se utilizzi Mac OS X, hai tutti gli strumenti per lavorare con qualsiasi CMS sviluppato in Php.

Se sei un utente Linux, non hai neppure bisogno di fare questo, poiché un ambiente Lampp dovresti averlo già o comunque lo puoi installare da Terminale in pochi secondi.

In un secondo momento, importerai sul server del servizio di Hosting tutti i file di WP e il database MySQL con phpMyAdmin, non prima di avere modificato il file wp-config.php e tutti gli URL che puntano a localhost in modo che i nuovi indirizzi abbiano l’URL del dominio. Magari con uno script in Php come questo.

Nel caso tu non sia uno sviluppatore web

Sei un utente esperto, ma non conosci la programmazione? Tutti i servizi hosting di qualità offrono un installer per i principali CMS come Fantastico, Installatron o Softaculous.  

Usare dei tool come questi è veramente semplice. Perciò, per prima cosa installerai la piattaforma e successivamente, imposterai un backup giornaliero o settimanale tramite la stessa applicazione.

Una volta che il sito è pronto per il lancio, dovresti clonarlo usando plugin di WP specifici, come Duplicator o MultiSite Clone Duplicator.

Il concetto è che devi avere una copia del tuo sito pulita sul tuo PC per ripristinarlo in caso di emergenza, qualora anche le copie di backup presenti sul server presentassero dei problemi.

Conserva con cura i file che i plugin suddetti hanno creato. Non c’è bisogno che tu installi un ambiente di sviluppo.

Migliorare la sicurezza del sito

Prima del lancio del tuo sito in WordPress è opportuno blindare la piattaforma con quattro semplici mosse:

  • Cambia l’utente Admin assegnandogli un altro nome che non sia Admin.
  • Installa un plugin per la sicurezza come iThemes Security o Wordfence Security e configuralo opportunamente.
  • Crea una password robusta per l’accesso FTP. Dovrebbe avere almeno 20 caratteri alfanumerici, più alcuni simboli speciali come # ] oppure *.
  • Se il provider lo permette, abilita il protocollo sftp. Un client come Filezilla, che è gratuito e multipiattaforma, lo supporta.

Aggiornamenti

Sii puntuale con gli aggiornamenti della piattaforma e dei plugin. Se vuoi evitarti la fatica, l’installatore (ad esempio Softaculous) può farlo per te se lo configuri bene.

Monitorare il sito

Per evitare che insorgano dei problemi, dovrai essere previdente. In caso di malware, il provider metterà offline il sito e potrebbe succedere che Google lo penalizzi, fino ad avvenuta eliminazione del/i virus.

Per scongiurare queste eventualità ti suggerisco caldamente di eseguire frequentemente una scansione con l’antivirus che i servizi di hosting mettono generalmente a disposizione.

Basta accedere al pannello di controllo (c-panel) e avviare l’applicazione.

Aiuto, il mio sito è pieno di virus!

Nonostante tu sia stato accorto e abbia fatto tutto quello che era tuo dovere fare, potrebbe succedere che il tuo sito sia oggetto di attacco da parte di pirati infornatici. Il provider, in questi casi, arriva prima di te e mette offline il sito.

In questi casi occorre non perdere la calma e procedere in questo modo:

  1. Contatta l’assistenza e chiedi un report di tutti file malevoli che riescono a trovare.
  2. Fai una scansione con l’antivirus che trovi in c-panel ed elimina i file malevoli riscontrati.
  3. Usa lo strumento offerto dall’installatore per ripristinare una versione più vecchia del sito.
  4. Rifai la scansione di tutta la directory. Se è tutto OK, vai al punto 5. Se c’è ancora del malware, ripristina una versione del sito precedente e ripeti i passaggi da 2 a 4.
  5. Se il problema è molto serio ed esula dalle tue competenze, considera l’ipotesi di contattare un professionista. Se non ne conosci uno personalmente, puoi sceglierlo cercando nelle piattaforme come Freelancer, Twago, Addlance oppure Starbytes.
  6. Cambia tutte le password. Ecco l’elenco di password che devi cambiare:
    cambia la password dell’account del tuo servizio di hosting;
    cambia la password del tuo account FTP;
    cambia la password dell’account del provider che gestisce i domini se hai uno spazio web disgiunto dal dominio (per esempio: hai registrato il tuo dominio su GoDaddy e hai il sito su Bluehost);
    cambia la password del tuo account di posta collegato al dominio;
    cambia la password del tuo database MySQL.
  7. Cambia tutte le chiavi di Autenticazione e di Salatura nel file wp-config.php. Per fare prima, usa questo tool ; copia e incolla il codice nel file. Una volta cambiate le chiavi, chiunque si sia intrufolato nell’area amministrativa di WordPress verrà loggato fuori.
  8. Accedi al tuo spazio web via FTP con Filezilla e controlla che i permessi di file e cartelle siano corretti (per le cartelle, 755; per i file, 644).
  9. Assicurati che il tuo PC o Mac siano integri: fai una scansione antivirus approfondita. Personalmente credo che anche per il Mac occorra installare un antivirus, dal momento che la supposta invulnerabilità di quest’ultimo è una leggenda metropolitana.
  10. Per essere ragionevolmente sicuri che WordPress non contenga altro malware sfuggito alla scansione dell’antivirus del provider, scarica una copia del sito da c-panel e fai un’analisi approfondita con il tuo antivirus, che sarà indubbiamente più efficiente di ClamAV, il programma usato dai provider. Se purtroppo sono presenti altri file malevoli, allora dovrai ripristinare il sito manualmente usando la tua copia in locale.
  11. Una volta ripristinato il sito, accedi al pannello di controllo di WordPress e visita la sezione Utenti per controllare se ci sono utenti inattivi o altri utenti Admin ed eliminali.
  12. Cambia nuovamente la password degli utenti WordPress. Può essere che nel tempo intercorso tra l’inizio delle tue attività di ripristino e la rimessa online del sito, il malintenzionato abbia spiato quello che facevi.
  13. Cambia nuovamente le chiavi di Salatura nel file wp-config.php.

Conclusioni

Ti sarai reso conto che conviene essere vigili e mettere in atto tutte le strategie possibili per evitare di incappare in un guaio grosso.

Un sito WordPress ben difeso sarà meno appetibile per i Crackers. Spero che i consigli che ti ho dato possano aiutarti nella gestione del tuo sito. Se hai suggerimenti o altre strategie da aggiungere a quanto detto, scrivimi all’indirizzo info@pieromazzini.com.