Sito compromesso/hack: pulizia di file corrotti in WordPress

Abbiamo ricevuto una mattina la seguente e-mail:

Hackerato il sito Wordpress OVH Google Ads

"Buongiono signore,

È possibile scambiare per riparare?

un sito Wordpress violato sotto OVH.

Le nostre campagne Google Ads non possono iniziare.

Ringraziandoti per il tuo ritorno,

la vostra"

 

Dopo aver parlato con il cliente, ha osservato:

  • Che il virus si manifesti sulla sua postazione di lavoro...
  • … Ma non da quello di altri collaboratori. Da qui la difficoltà di rendersi conto dell'infezione e curarla.

 

Concretamente, è il suo antivirus NortonLife che gli ha inviato il seguente rapporto:

Sito dannoso bloccato da Norton

 

Il malware sul sito stava cercando di reindirizzarlo a siti discutibili.

Questo sito è stato elencato con altri in un elenco di siti da bloccare con Adblock.

Soprattutto, un altro utente di Internet si è lamentato di non poter più accedere alla sua campagna Google Ads seguendo lo stesso messaggio:

Reindirizzamento sospetto da un sito malware

 

La tempistica è interessante poiché era intorno a questa data che erano partiti anche i messaggi di alert per il cliente.

Il webmaster dell'azienda aveva installato una prima estensione di sicurezza su Wordpress, ma senza successo. Non è stato in grado di identificare collegamenti e file sospetti.

Abbiamo iniziato a scansionare il sito con un software più robusto.

Ha riportato vari elementi utili per correggere :

  1. Nome account admin = admin, con password semplice.
  2. Vari temi standard di Wordpress installati, inutilizzati e mai aggiornati.
  3. Estensioni non aggiornate, alcune delle quali non necessariamente utili.
  4. Anche la versione CMS non è aggiornata, tutto in esecuzione su una vecchia versione di php.

L'hacker "professionista" cerca i difetti noti che sono facili da sfruttare e rendere redditizio. Aveva trovato il candidato ideale con questo sito.

Approfittando di un articolo non aggiornato, è stato in grado di installare alcuni file e modificare il codice di altri :

File Wordpress infetti

 

Ricercando questi file, abbiamo effettivamente scoperto che il virus non si è manifestato per gli utenti di Internet che avevano già un account di registro sul sito:

Annunci non visibili per IP già registrato sul sito

 

Soluzione per questo tipo di caso:

Rimozione dei file aggiunti:

File aggiunti da un hacker di wordpress

 

Pulizia di file danneggiati ma essenziali per il tema/sito:

Pulizia di file infetti da Wordpress

 

È sempre preferibile fare una copia di ogni file prima dell'intervento ;).

 

Infine, abbiamo verificato che il sito non fosse registrato in una "blacklist" (spam, blocklist...):

Sito non nella lista spam

 

Da allora, era pronto a riprendere le sue campagne Google Ads !

Revisione dell'hacker della campagna Google Ads

 

Ti incontri difficoltà a seguito dell'hacking del tuo sito

Interveniamo per un forfait di € 250, pagabile solo in caso di risultato.

Intervento tra le 24 e le 48 ore.

8 % di sconto per i regolamenti di criptovaluta.

Siamo a vostra disposizione via e-mail (contact@gloria-project.eu) o tramite il seguente modulo:

 

 
 
 
I campi contrassegnati con a * sono obbligatori
 
 
 
 
 
 
 
 
 
 
 

 

 

Essere avvisato di un nuovo articolo: