Hai eliminato un virus, ma il tuo sito è di nuovo infetto? Potrebbe esserci una backdoor. Vediamo di cosa si tratta e come rimuoverla dal tuo sito WordPress.
Cosa troverai in questo articolo:
Cos’è una backdoor
Possiamo tradurre la parola backdoor con “porta sul retro”. Quest’ espressione rende bene l’idea di come un hacker può entrare di soppiatto nel tuo sito web, mentre sei in altre faccende affaccendato.
La backdoor apre un punto di accesso non autorizzato che può essere usato per avviare azioni a tuo danno:
- DDoS (Distributed Denial of Service)
- Spam
- redirect a pagine dannose
- popup che inducono a scaricare virus
- furto di dati e credenziali bancarie
- creazione di un profilo amministratore nascosto
- Spamdexing
→Temi di avere una backdoor nel sito? Chiedi una scansione gratuita
Se il tuo sito contiene una backdoor difficilmente ne noterai la presenza se non per gli effetti dannosi (come vedremo più avanti le backdoor sanno nascondersi piuttosto bene!).
Potresti notare un rallentamento delle prestazioni del sito (per un sovraccarico di operazioni casuali che ne mettono K.O. le risorse).
Ma la cosa che più di ogni altra dovrebbe insospettirti e farti pensare alla presenza di una backdoor è la tendenza del sito a reinfettarsi anche dopo più scansioni antivirus.
Potrebbe interessarti anche: Sito infetto quali sono i sintomi?
Backdoor e file injections sono la via di accesso più comune che permette a virus e malware di entrare nel sito WordPress.
Anche i siti realizzati con altri CMS possono essere colpiti, ma WordPress è più vulnerabile per alcune ragioni specifiche.
Perché le backdoor sono più insidiose rispetto ad altri tipi di malware?
Ci sono caratteristiche delle backdoor che le rendono più insidiose di altri virus che possono attaccare WordPress.
Le backdoor infatti:
- sono molto comuni
- si mimetizzano
- causano la re-infezione del sito
1. Le backdoor sono molto comuni
Sono il tipo di malware più diffuso, spesso presenti quando il sito web è compromesso.
Esistono diversi generi di backdoor: semplici, complesse, più o meno comuni.
Ecco una questione ricorrente legata alla backdoor che al nostro team di assistenza capita spesso di risolvere spesso: un hacker lascia una stringa di per creare illecitamente nuovi account amministratore. Oppure manomette il sito per eseguire del codice PHP a distanza.
Una varietà diffusa sono i caricatori backdoor con esecuzione di codice in modalità remota che permette all’hacker di eseguire codice dall’esterno del sito, usando richieste POST, GET o COOKIE, ovviamente senza il consenso del proprietario.
2. Le backdoor si nascondono bene
Sono costruite proprio per mimetizzarsi: possono essere facilmente confuse con stringhe di codice pulito e per questo sono difficili da individuare. Di solito si tratta un file apparentemente innocuo e “mascherato”, con il nome di un file utile.
La maggior parte dei plugin per gestire la sicurezza dei siti WordPress non riescono a stanare le backdoor perché queste usano tecniche ridondanti.
Quindi con una scansione del sito fai da te, corri il rischio di non vederle segnalate. Per questo è consigliabile eseguire un’analisi profonda ed accurata del sito WordPress ad opera di un esperto.
Se vuoi valutare questa opzione, chiedi una scansione professionale gratuita al nostro team andando qui:
Hai problemi con il sito? Chiedi una scansione gratuita
3. Provocano la reinfezione del sito web
Una backdoor può:
- installare altre backdoor
- introdurre virus e malware nel tuo sito web
Se hai notato spam, redirect o altre attività sospette, oltre a rimuovere questi problemi assicurarti di eliminare anche tutte le backdoor nascoste.
Una re-infezione del sito è sintomo della presenza di una o più backdoor.
Se un account amministratore (cioè un account con i massimi privilegi) è compromesso da una backdoor l’autore dell’attacco hacker può tornare facilmente sul logo del delitto.
Un esempio:
Wordfence, descrive questo caso, utile per capire: una backdoor potrebbe essere nascosta nel file 404 . In questo modo, ogni richiesta al sito che genera un messaggio errore 404 procura anche un accesso illecito che può essere sfruttato da chiunque ne sia a conoscenza.
Solo eliminando completamente e definitivamente tutte le backdoor dal tuo sito web potrai evitare la reinfezione del sito e nuove intrusioni.
Hai notato una reinfezione del sito? Chiedi una scansione gratuita
Come rimuovere una backdoor da WordPress
Rimuovere una backdoor da WordPress può essere una storia complicata.
Non si tratta di un’impresa alla portata dei persone poco esperte nel maneggiare il codice di programmazione.
Dove cercare una backdoor?
Ci sono punti del sito web dove è più probabile che una backdoor possa essere nascosta.
Assicurati di effettuare una scansione accurata e approfondita:
- non trascurare le cartelle principali di WordPress (ad es. Wp-includes o wp-admin o wp-content): attenzione alla cartella wp-includes che contiene tutti i file mai inclusi nel sito;
- analizza non solo il tema attivo ma soprattutto i temi inattivi del tuo sito che sono un più probabile nascondiglio;
- riserva una particolare attenzione ai plugin, anche a quelli non più attivi;
- cerca nella cartella dei caricamenti: un hacker potrebbe utilizzare le directory dei caricamenti per istallare una backdoor;
- esamina il file wp-config.php situato nella directory public_html;
- controlla anche Include Folder è un altro posto in cui spesso troviamo le backdoor.
Come rimuovere una backdoor dal tuo sito WordPress
Ecco un passaggio a fondamentale: assicurati di avere di una copia pulita di backup del tuo sito prima di iniziare!
Non cancellare file o stringhe di codice se non sai bene quello che stai facendo!
Per riconoscere e rimuovere una backdoor puoi:
- fai una scansione con un plugin WorPpress dedicato alla sicurezza
- avviare una scansione automatizzata online
- effettuare una pulizia manuale e professionale del tuo sito
Se decidi di provare da solo i plugin più sicuri da usare sono:
Potrebbe interessarti anche: Sito web hakerato cosa fare
Se al contrario preferisci chiedere l’analisi di un servizio antivirus specializzato, assicurati che abbia queste caratteristiche:
- analisi preliminare approfondita e gratuita (insomma, non dovresti pagare per sapere cosa succede)
- correzione di tutte le vulnerabilità del sito web
- ripristino di un livello di sicurezza ottimale
- report dettagliato
- intervento garantito
Il tuo sito resterà vulnerabile fino a quando non avrai eliminato (oltre a tutto il malware anche) tutte le backdoor.
Quando il sito sarà completamente ripulito dovrai gestirlo in modo virtuoso per evitare la reinfezione.
Come prevenire che una backdoor possa essere nuovamente installata in futuro?
Ecco tutte le buone pratiche da seguire per evitare che una backdoor sia reinstallata nel tuo sito web
Sono azioni di manutenzione e prevenzione che manterranno un adeguato livello di sicurezza e difenderanno il tuo sito WordPress.
- Monitora il tuo sito WordPress con un plugin affidabile, come Wordfence o Sucuri
- Fai spesso un backup completo
- Usa password complesse
- Aggiungi l’autenticazione a due fattori
- modifica l’url di accesso al backend di WordPress con plugin appositi
- Disabilita l’esecuzione di PHP per alcune directory di WordPress: comprese le directory /wp-content/uploads/ e /wp-includes/. Così, anche se qualcuno fosse in grado di caricare il file in queste cartelle, non riuscirebbe ad eseguirlo.
- utilizza un hosting sicuro come Siteground
- Mantieni WordPress aggiornato (compresi tema e plugin)
- Usa solo temi ed plugin affidabili
- Se noti i un’anomalia o un problema chiedi una scansione professionale
Non riesci ancora a risolvere il problema?
chiedi la nostra analisi gratuita
