sito web hacker

Come ripristinare un sito web hackerato

03 Dic 2019    Giacomo Marzolla    06 Dic 2019 02:39 pm

Dopo aver spiegato le possibili cause di compromissione di un sito, vediamo quali sono le prime operazioni da compiere per ripristinare un sito compromesso.

Operazioni da compiere per ripristinare un sito compromesso:

  1. Metti il sito offline in modo che non sia più raggiungibile dagli utenti. In questo modo puoi operare serenamente, senza mettere a rischio gli utenti, mettere offline il sito per un breve periodo non dovrebbe influire negativamente sul posizionamento.
  2. Se non sai come muoverti, contatta il tuo host, dovrebbe mostrarti la via giusta per configurare la risposta 503, attenzione per maggior sicurezza la risposta dovrebbe provenire dall’esterno rispetto al sito compromesso. Inutile utilizzare il robots txt, l’istruzione disallow bloccherebbe solo i motori di ricerca.
  3. Controlla gli account utente, per verificare se l’hacker ne ha creato uno suo. Se riscontri la presenza di un account non autorizzato, prendi nota per indagini successive e poi eliminalo. Successivamente modifica tutte le password (utente, ftp, accesso al database).

Se già in passato hai verificato il sito in search console, bene entraci e vai nella sezione messaggi; nel caso tu non l’abbia fatto, bhe è il momento di effettuare la verifica del sito in search console.

Alle informazioni presenti nel centro messaggi e problemi in search console, ti aiuteranno a stabilire le cause di compromissione del tuo sito.

Sostanzialmente la compromissione di un sito può avvenire i tre modi:

  • Contenuti spam
  • Per phishing
  • Malware (software dannoso)

Sito web compromesso per spam

In questo articolo ti parlerò dei siti compromessi per spam, perché in ambito professionale è il problema che più ho riscontrato nei siti web.

Si tratta di uno dei passaggi più lunghi per recuperare un sito web compromesso, perché come indicato in precedenza, può richiedere il controllo manuale.

Parole chiavi giapponesi?

Questo tipo di compromissione è tra le più diffuse, hacker una volta entrato nel tuo sito inizia a creare pagine e post inserendo testo in giapponese. Può aver verificato il sito in search console e aver manipolato le impostazioni come targeting geografico, sitemap, verifica se hai ricevuto notifiche da parte di Google che ti informa che qualcuno ha effettuato la verifica del sito.

Effettua il site del tuo dominio su google, in questo modo:

  • Digita sul browser www.google .it
  • Una volta aperta la pagina web di google, nel campo digita site:miosito.ext
  • Al posto di mio sito devi inserire il nome del dominio, al posto di ext devi inserire estensione del tuo dominio (com,it,eu)..

Come risolvere il problema?

Come prima attività devi rimuovere account che hacker ha creato su search console, puoi controllare quali utenti sono verificati così da identificare l’account sospetto.

Per rimuovere un proprietario da Search Console dovrai eliminare il file token associato, si tratta di un file html inserito nella root del sito, o se viene creato dinamicamente si troverà nel file .htaccess l’istruzione da eliminare, che sarà più o meno simile alla seguente.

manomissione-file-htaccess

Tieni presente che spesso gli hacker utilizzano il file .htaccess per creare dei reindirizzamenti o altre attività, se non sono presenti  delle regole personalizzate valuta la possibilità di sostituire il file .htaccess con una copia nuova o una copia di backup non infettata.

Se utilizzi un CMS come WordPress il file .htaccess è presente nella root dei file e cartelle, nel caso puoi scaricare l’intera cartella del sito sul computer e cercare .htaccess nel motore di ricerca, ricorda che alcuni sistemi operativi considerano i file con il punto come file di sistema e quindi devi abilitare la visualizzazione, esempio il Mac.

Effettua la pulizia dei file

  1. Rimuovi tutti i file dannosi, nel di un gestionale di contenuti come WordPress, devi reinstallare o ri-upload i file core che vengono distribuiti in modo predefinito dal repository ufficiale, tramite ftp. Questa azione la devi effettuare anche per i plugin e per il tema installato.
  2. Controlla la sitemap del tuo sito, verifica se non ci sono compromissioni tipo url con spam, devi assolutamente rimuoverli o eventualmente una volta che sei sicuro che tutto il sito e ripulito, puoi generare una nuova sitemap.
  3. Non ti arrendere ci sei quasi, adesso devi controllare tutti quei file che non sono rientrati nelle azioni effettuate al punto 1. I file che sono rimasti ordinali per ultima modifica, e controlla i file modificati di recente potrebbero essere infetti. Infine cerca file di grosse dimensioni, che possono risultare insolitamente grandi.

Dopo aver creato l’elenco seguendo le indicazioni che ho citato prima, inizia ad aprire i file php con un editor e controlla se trovi del codice strano, apparentemente inserito alla rinfusa.

Una volta terminato il lavoro di pulizia, utilizza lo strumento Visualizza come Google presente all’interno della search console per verificare se ci sono ancora risultati di cloaking, se ti restituisce un non trovato, bhe stappa una bottiglia, il tuo sito gode di ottima salute.

Come evitare futuri attacchi.

  • Utilizza password complesse per tutti gli utenti che gestiscono il sito.
  • Puoi utilizzare l’autenticazione a due fattori, per tutti gli utenti che devono accedere al sito, questo tipo di autenticazione rende l’accesso al hacker più difficile.
  • Aggiorna regolarmente WordPress, plugin e tema. Elimina tutti i plugin free che non vengono più seguiti dallo sviluppatore.

Se ritieni questo articolo interessante, condividilo sui tuoi canali social, se hai esperienze in merito puoi commentare in basso così da migliorare questa piccola risorsa.