Come trovare e rimuovere backdoor in un sito WordPress hackerato

Cos’è una Backdoor?

Con Backdoor si fa riferimento ad un metodo per aggirare la normale autenticazione ottenendo l’accesso in remoto al server senza che l’hacker venga rilevato. La maggior parte degli hacker carica sempre la backdoor come prima cosa. Ciò consente loro di riottenere l’accesso anche dopo aver trovato e rimosso il malware.

Le backdoor spesso sopravvivono agli aggiornamenti, quindi il tuo sito resta vulnerabile finché non verrà ripulito completamente e definitivamente dal problema.

Alcune backdoor consentono semplicemente agli hacker di creare un nome utente amministratore nascosto. Mentre le backdoor più complesse possono consentire all’hacker di eseguire qualsiasi codice PHP inviato dal browser. Altri hanno un’interfaccia utente completa che consente di inviare e-mail come server, eseguire query SQL e molto altro.

Dove si nasconde una Backdoor?

Le backdoor su un’installazione WordPress sono archiviate comunemente nelle seguenti posizioni:

Temi – Molto probabilmente non è nel tema attuale che stai utilizzando. Gli hacker vogliono che il codice sopravviva agli aggiornamenti principali. Quindi se hai un vecchio tema inattivo nella directory dei temi WordPress , è possibile che sia lì dentro. Questo è il motivo per cui ti consigliamo di eliminare tutti i temi inattivi.

Plugin – I plugin sono un ottimo posto per  nascondere il codice , questo per tre motivi. Uno,  perché l’utente meno esperto non controlla la qualità dei plugin. Due perché spesso ci si dimentica di aggiornare i plugin installati, quindi sopravvivono agli aggiornamenti. Tre, perchè alcuni plugin sono mal codificati , è portano al loro interno delle vunerabilità native.

Directory di upload –  Probabilmente hai migliaia di immagini nella cartella dei caricamenti divise per anno e mese. È molto facile per l’hacker caricare una backdoor nella cartella degli upload perché si nasconderà tra migliaia di file multimediali. Inoltre non lo controlli regolarmente. La maggior parte delle persone non ha un plugin di monitoraggio come Sucuri. Infine, la directory di upload è scrivibile. Questo rende la Directory degli upload , perfetta per gli hacker. Spesso le backdoor si annidano proprio qui.

wp-config.php – Questo un’altro dei file presi di mira hacker. È anche uno dei primi posti nel quale verificare se è presente una backdoor.

Include Folder – / wp-includes / folder è un altro posto che troviamo backdoor. Alcuni hacker lasciano sempre più di un file backdoor. Una volta caricati, aggiungeranno un altro backup per garantirne l’accesso. Include Folder è un altro posto in cui la maggior parte degli amministartori di un sito web non si preoccupa di guardare.

Ora probabilmente starai pensando che WordPress sia insicuro perché consente backdoor. In realtà non è così. L’attuale versione di WordPress non ha vulnerabilità note. Le backdoor non sono il primo passo dell’hack. Di solito è un’opzione alternativa. Spesso gli hacker trovano la possibilità di accedere da remoto attraverso un plugin o uno script di terze parti. Plugin o script che consentono loro di caricare la backdoor.

Ad esempio, un plugin mal codificato può consentire l’accesso ai privilegi dell’utente. Se il tuo sito ha delle registrazioni aperte, l’hacker può registrarsi gratuitamente. Sfruttare l’una caratteristica per ottenere più privilegi (che quindi consente loro di caricare i file). In altri casi, potrebbe benissimo essere che le tue credenziali di accesso siano state compromesse. Potrebbe anche essere che stai usando un cattivo provider di hosting.

Come trovare e rimuovere la backdoor?

Ora che sai cos’è una backdoor e dove può essere trovata, devi iniziare a cercarla. Rimuovere la backdoor è facile come cancellare il file o il codice. Tuttavia, la parte difficile è trovarla. È possibile iniziare con uno dei plugin di WordPress scanner per malware. Di questi, raccomandiamo Sucuri (anche se è a pagamento).

Puoi anche usare Exploit Scanner, ma ricorda che i codici base64 e eval sono anche usati nei plugin. Quindi a volte restituirà molti falsi positivi. Se non sei lo sviluppatore dei plugin, allora è davvero difficile per te sapere quale codice è fuori posto tra le migliaia di righe di codice. La cosa migliore che puoi fare è eliminare la directory dei plugin e reinstallare i plugin da zero. Sì, questo è l’unico modo per esserne sicuri, a meno che tu non abbia molto tempo da dedicare.

• Cerca nella directory dei caricamenti
  Uno dei plug-in dello scanner troverà un file non autorizzato nella cartella dei caricamenti. Ma se hai familiarità con SSH, devi solo scrivere il seguente comando:
  trova upload -name “* .php” -print
  Non c’è una ragione perchè un file .php sia nella cartella dei tuoi upload. La cartella è progettata per i file multimediali nella maggior parte dei casi. Se c’è un file .php quasi certamente è un backdoor.
• Elimina temi non attivi
  Come accennato in precedenza, spesso i temi inattivi sono l’obbiettivo degli hacker. La cosa migliore da fare è eliminarli (questo include il tema predefinito e classico). Ma aspetta, non ho controllato per vedere se la backdoor era lì dentro. Se lo era, allora non c’è più. Hai appena risparmiato tempo a guardare e hai eliminato un punto di attacco in più.
• .htaccess File
  A volte i codici di reindirizzamento vengono aggiunti qui. Basta eliminare il file. Non temere  si ricrea automaticamente. In caso contrario, vai al tuo pannello di amministrazione di WordPress. Impostazioni »Permalink. Fare clic sul pulsante Salva qui. Ricreerà il file .htaccess.
• file wp-config.php
  Confronta questo file con il file predefinito wp-config-sample.php. Se vedi qualcosa che è fuori luogo, allora liberartene.
• Scansione database per exploit e SPAM.
  Un hacker intelligente non avrà mai un solo posto sicuro. Ne creano numerosi. Targeting di un database pieno di dati è un trucco molto semplice. Possono memorizzare le loro cattive funzioni PHP, nuovi account amministrativi, collegamenti SPAM, ecc. Nel database. Sì, a volte non vedrai l’utente amministratore nella pagina dell’utente. Vedrai che ci sono 3 utenti e puoi vedere solo 2. È probabile che tu sia stato violato.

Se non sei un’esperto ti consiglio di utilizzare  uno dei plugin scanner WordPress che faccia il lavoro per te. Exploit Scanner plugin o Sucuri (versione a pagamento) si occupano entrambi diquesto.

Bene, allora l’hack è sparito. Uff. Aspetta, non rilassarti ancora. Apri il browser in modalità di navigazione in incognito per vedere se ritorna il trucco. A volte, questi hacker sono intelligenti. Non mostreranno l’hack agli utenti registrati. Solo gli utenti che hanno effettuato il logout lo vedono. O meglio ancora, prova a cambiare l’useragent del tuo browser come Google.

Come prevenire gli attacchi hacker ?

Il nostro consiglio n. 1 e’ quello di mantenere sempre backup aggiornati ed utilizzare un servizio di monitoraggio. Come abbiamo detto prima, non è possibile monitorare tutto ciò che accade sul tuo sito quando fai un sacco di altre cose. Questo è il motivo per cui usiamo Sucuri.

Leggi il nostro articolo su 5 motivi per cui usiamo Sucuri per migliorare la nostra sicurezza WordPress

Altre cose che puoi fare:

Usa password complesse –  imponi forti password agli utenti. Inizia a utilizzare un tool di gestione password come 1Password.
Autenticazione in due passaggi –  se la tua password è stata compromessa, l’utente dovrebbe comunque avere il codice di verifica dal tuo telefono.
Limita tentativi di accesso –  questo plugin ti consente di bloccare l’utente dopo X tentativi di accesso non riusciti.
Disattivare editor temi e plugin –  Anche se i privilegi dell’utente sono stati modificati, non sarà possibile modificare il tema o i plugin utilizzando WP-Admin.
Protezione con password WP-Admin – È possibile proteggere con password l’intera directory. Puoi anche limitare l’accesso tramite IP.
Disabilita l’esecuzione di PHP in alcune directory di WordPress – Disabilita l’esecuzione di PHP nelle directory di caricamento e in altre directory di tua scelta. Fondamentalmente così anche se qualcuno fosse in grado di caricare il file nella cartella dei tuoi upload, non sarebbe in grado di eseguirlo.
Aggiorna WordPress all’ultima versione e aggiorna i tuoi plugin.

Infine, non risparmiare quando si tratta di sicurezza del tuo sito. Diciamo sempre che la migliore misura di sicurezza è un ottimo backup. Quindi mantiene sempre backup regolari del tuo sito. La maggior parte delle società di hosting NON lo fa per te. A partire utilizzando una soluzione affidabile come BackupBuddy o VaultPress. In questo modo, se il tuo sito verrà mai violato, hai sempre un punto di ripristino. Inoltre, se puoi, prendi Sucuri e risparmia tutti i problemi. Controlleranno il tuo sito e lo ripuliranno se ti viene mai violato.

In conclusione

Spero che questo articolo ti possa aver aiutato a rimuovere la backdoor. Tuttavia se il tuo sito web è satto compromesso da un malware e non sei un esperto , considera di utilizzare un professionista per ripulire il tuo sito web. Abbiamo preparato per te una lista di servizi di rimozione malware per siti WordPress.
Infine sappiamo quanto sia frustrante sapere di avere un sito compromesso da malware.  Tuttavia mantieni la calma. Prenditi un po di tempo per leggere le nostre guide dedicate alla sicurezza e alla rimozione di malware.