Hai eliminato un virus, ma il tuo sito è di nuovo infetto? Potrebbe esserci una backdoor. Vediamo di cosa si tratta e come rimuoverla dal tuo sito WordPress.
Cosa troverai in questo articolo:
Cos’è una backdoor
Possiamo tradurre la parola backdoor con “porta sul retro”. Quest’espressione rende bene l’idea di come un hacker può entrare di soppiatto nel tuo sito web, mentre sei in altre faccende affaccendato.
La backdoor apre un punto di accesso non autorizzato aggirando le procedure di autenticazione e sicurezza ed è poi usata per avviare azioni a tuo danno:
- DDoS (Distributed Denial of Service)
- redirect a pagine dannose
- popup che inducono a scaricare virus
- furto di dati e credenziali bancarie
- creazione di un profilo amministratore nascosto
- Spamdexing
→ Temi di avere una backdoor nel sito? Chiedi una scansione gratuita
Se il tuo sito ospita sua malgrado una backdoor difficilmente te ne accorgerai se non per gli effetti dannosi (come vedremo più avanti le backdoor sanno nascondersi piuttosto bene!).
Potresti notare un rallentamento o un calo delle prestazioni del sito (per un sovraccarico di operazioni casuali che ne mettono K.O. le risorse).
Ma la cosa che più di ogni altra dovrebbe farti pensare alla presenza di una backdoor è la tendenza del sito a reinfettarsi anche dopo più scansioni e pulizie antivirus.
Potrebbe interessarti anche: Sito infetto quali sono i sintomi?
Backdoor e file injections sono la via di accesso più comune per virus e malware nei siti WordPress. Anche quelli realizzati con altri CMS possono essere attaccati ma WordPress è più vulnerabile.
Perché le backdoor sono più insidiose rispetto ad altri tipi di malware?
Ci sono che rendono le backdoor più insidiose di altri minacce che possono affondare WordPress.
Le backdoor:
- sono molto comuni
- si mimetizzano
- causano la re-infezione del sito
1. Le backdoor sono molto comuni
Sono il tipo di malware più diffuso, spesso presenti quando il sito web è compromesso..
Ecco una questione ricorrente legata alla backdoor che al nostro team di assistenza capita spesso di risolvere spesso: un hacker lascia una stringa di per creare illecitamente nuovi account amministratore. Oppure manomette il sito per eseguire del codice PHP a distanza.
Una varietà diffusa sono i caricatori backdoor con esecuzione di codice in modalità remota che permette all’hacker di eseguire codice dall’esterno del sito, usando richieste POST, GET o COOKIE, ovviamente senza il consenso del proprietario.
2. Le backdoor si nascondono bene
Una backdoor è progettata proprio per mimetizzarsi e può essere facilmente confusa con stringhe di codice pulito.. Di solito si tratta un file apparentemente innocuo con il nome di un file utile.
La maggior parte dei plugin per gestire la sicurezza dei siti WordPress non riesce a stanare le backdoor perché queste usano spesso tecniche ridondanti.
Con una scansione del sito fai da te, corri il rischio di non trovarle. Per questo ti conviene eseguire un’analisi profonda ed accurata del sito WordPress da parte di un esperto.
Chiedi una scansione professionale gratuita ad un esperto del nostro team
Chiedi una scansione professionale gratuita ad un esperto del nostro team
3. Provocano la reinfezione del sito web
Una backdoor può:
- installare altre backdoor
- introdurre virus e malware nel tuo sito web
Se hai notato spam, redirect o altre attività sospette, oltre a rimuovere i virus che li causano assicurarti di eliminare anche tutte le backdoor nascoste.
Una re-infezione del sito è un probabile sintomo della presenza di una o più backdoor.
Se un account amministratore (quindi con i massimi privilegi) è compromesso da una backdoor l’autore dell’attacco hacker può tornare facilmente sul logo del delitto.
Un esempio:
Wordfence, descrive questo caso, utile per capire: una backdoor potrebbe essere nascosta nel file 404 . In questo modo, ogni richiesta al sito che genera un messaggio errore 404 procura anche un accesso illecito che può essere sfruttato da chiunque.
Solo eliminando completamente e definitivamente tutte le backdoor dal tuo sito web potrai evitare la reinfezione del sito e nuove intrusioni.
Hai una reinfezione nel sito web? Chiedi una scansione gratuita
Come rimuovere una backdoor da WordPress
Rimuovere una backdoor da WordPress può essere abbastanza complicato. Non si tratta di un’impresa alla portata dei persone poco esperte nel maneggiare il codice di programmazione.
Dove cercare una backdoor?
Ci sono punti del sito web dove è più probabile che una backdoor possa essere nascosta.
Assicurati di effettuare una scansione accurata e approfondita:
- non trascurare le cartelle principali di WordPress (ad es. Wp-includes o wp-admin o wp-content): attenzione alla cartella wp-includes che contiene tutti i file mai inclusi nel sito;
- analizza non solo il tema attivo ma soprattutto i temi inattivi del tuo sito che sono un più probabile nascondiglio;
- riserva una particolare attenzione ai plugin, anche a quelli non più attivi;
- cerca nella cartella dei caricamenti: un hacker potrebbe utilizzare le directory dei caricamenti per istallare una backdoor;
- esamina il file wp-config.php situato nella directory public_html;
- controlla anche Include Folder è un altro posto in cui spesso troviamo le backdoor.
Come rimuovere una backdoor dal tuo sito WordPress
Ecco un passaggio a fondamentale: assicurati di avere di una copia pulita di backup del tuo sito prima di iniziare.
Non cancellare file o stringhe di codice se non sai bene quello che stai facendo!
Per riconoscere e rimuovere una backdoo puoi:
- fare una scansione con un plugin WordPress dedicato alla sicurezza
- avviare un’analisi del sito automatizzata online
- effettuare una pulizia manuale e professionale del tuo sito
Se decidi di provare da solo i plugin più sicuri da usare sono:
Se invece preferisci chiedere l’analisi di un servizio antivirus specializzato, assicurati che offra queste caratteristiche:
- analisi preliminare approfondita e gratuita (non dovresti ma pagare per sapere cosa succede)
- correzione di tutte le vulnerabilità del sito web
- ripristino di un livello di sicurezza ottimale
- report dettagliato
- intervento garantito
Il tuo sito resterà vulnerabile fino a quando non avrai eliminato (oltre a tutto il malware anche) tutte le backdoor.
Quando il sito sarà completamente e definitivamente ripulito dovrai gestirlo in modo virtuoso per evitare future infezioni.
Come prevenire che una backdoor possa essere nuovamente installata in futuro?
Ci sono buone pratiche da seguire per evitare che una backdoor sia reinstallata nel tuo sito web.
Si tratta di azioni di manutenzione e prevenzione che manterranno un adeguato livello di sicurezza e difenderanno il tuo sito WordPress da futuri attacchi.
- Monitora il tuo sito WordPress con un plugin affidabile, come Wordfence o Sucuri
- Fai spesso un backup completo
- Usa solopassword complesse
- Aggiungi l’autenticazione a due fattori
- modifica l’URL di accesso al backend di WordPress con plugin appositi
- disabilita l’esecuzione di PHP per alcune directory di WordPress: comprese le directory /wp-content/uploads/ e /wp-includes/. Così, anche se qualcuno fosse in grado di caricare il file in queste cartelle, non riuscirebbe ad eseguirlo.
- utilizza un hosting sicuro come Siteground
- Mantieni WordPress aggiornato (compresi tema e plugin)
- Usa solo temi ed plugin affidabili
- Se noti i un’anomalia o un problema chiedi una scansione professionale
Non riesci ancora a risolvere il problema?
chiedi la nostra analisi gratuita
