Hai ripulito il tuo sito da un virus, ma è di nuovo infetto? Potrebbe essere colpa di una backdoor. Vediamo di cosa si tratta e come puoi rimuoverla dal tuo sito WordPress.
Cosa troverai in questo articolo:
Cos’è una backdoor
Possiamo tradurre la parola backdoor con “porta sul retro”. Questa espressione rende bene l’idea di come un hacker possa entrare furtivamente nel tuo sito web, e affondare il colpo mentre sei in altre faccende affaccendato.
Attraverso la backdoor viene aperto un punto di accesso non autorizzato che può essere poi sfruttato per avviare una serie di azioni a tuo danno come:
- DDoS (Distributed Denial of Service)
- Spam
- redirect degli utenti a pagine dannose
- popup che inducono a scaricare software malevolo
- furto di dati e credenziali bancarie
- creazione di un profilo amministratore nascosto
- Spamdexing
Potrebbe interessarti anche: Sito infetto quali sono i sintomi?
Se il tuo sito ospita una backdoor difficilmente ne noterai la presenza se non per gli effetti dannosi (come vedremo più avanti le backdoor sanno mimetizzarsi piuttosto bene!).
Potresti notare un rallentamento delle prestazioni del sito (per un sovraccarico di operazioni casuali che ne mettono K.O. le risorse).
Ma la cosa che più di ogni altra dovrebbe insospettirti sulla probabile presenza di una backdoor è la tendenza del sito a reinfettarsi anche dopo più scansioni antivirus.
Backdoor e file injections sono la via di accesso più comune per virus e malware nel sito WordPress Anche i siti realizzati con altri CMS possono essere colpiti, ma WordPress è più vulnerabile per alcune ragioni specifiche.
Perché le backdoor sono più insidiose rispetto ad altri tipi di malware?
Ci sono caratteristiche che rendono le backdoor più insidiose e pericolose rispetto ad altri tipi di virus che possono attaccare WordPress, perché:
- sono molto comuni
- causano la re-infezione del sito
- si nascondono bene
1. Le backdoor sono molto comuni
Sono il genere di malware più diffuso e spesso presenti quando il sito web è compromesso.
Esistono diversi tipi di backdoor: semplici, complesse, più o meno comuni.
Ecco una questione ricorrente legata alla backdoor che al nostro team di assistenza capita spesso di risolvere: un hacker lascia una stringa di per creare illecitamente nuovi account amministratore. Oppure manomette il sito per eseguire del codice PHP a distanza.
Una varietà diffusa sono i caricatori backdoor con esecuzione di codice in modalità remota che permette all’hacker di eseguire codice dall’esterno del sito, usando richieste POST, GET o COOKIE, ovviamente senza il consenso del proprietario.
→Temi di avere una backdoor nel sito? Chiedi una scansione gratuita
2. Le backdoor si nascondono bene
Sono costruite proprio per mimetizzarsi: possono essere facilmente confuse con stringhe di codice pulito e per questo sono difficili da individuare. Di solito si tratta un file apparentemente innocuo e “mascherato”, con il nome di un file utile.
La maggior parte dei plugin per gestire la sicurezza dei siti WordPress non riescono a stanare le backdoor perché queste usano tecniche ridondanti.
Quindi con una scansione del sito fai da te, corri il rischio di non vederle segnalate. Per questo è consigliabile eseguire un’analisi profonda ed accurata del sito WordPress ad opera di un esperto. 
Se vuoi valutare questa opzione, chiedi una scansione professionale gratuita al nostro team andando qui:
3. Sono funzionali ad introdurre virus nel sito
Una backdoor può servire a:
- installare altre backdoor
- introdurre malware all’interno del tuo sito WordPress
Quindi se hai notato dello spam, strani redirect o altre attività sospette nel sito, oltre a rimuovere questi problemi specifici assicurarti di eliminare anche eventuali backdoor nascoste.
Una re-infezione del sito è spesso un sintomo chiaro della presenza di una o più backdoor.
Se un account amministratore (cioè un account con i massimi privilegi) è compromesso da backdoor l’autore dell’attacco hacker può tornare facilmente a far danni.
Un esempio? Wordfence, cita questo caso che secondo noi è utile per capire: una backdoor potrebbe essere inserita anche nel file 404 . In questo modo, ogni richiesta al sito che genera un messaggio errore 404 procura anche un accesso illecito che può essere sfruttato da chiunque ne sia a conoscenza.
Solo eliminando completamente e definitivamente le backdoor potrai evitare nuovi virus e intrusioni.
Hai problemi con il sito? Chiedi una scansione gratuita ai nostri esperti Creacity
Come rimuovere una backdoor da WordPress
Rimuovere una backdoor da WordPress può essere una storia complicata. Non si tratta di un’impresa alla portata di tutti e sicuramente non la consiglierei a persone poco esperte nel maneggiare il codice di programmazione.
Dove cercare una backdoor?
Ci sono posti dove è più probabile che una backdoor possa essere nascosta. Assicurati di effettuare una scansione accurata e approfondita senza trascurare:
- le cartelle principali di WordPress (ad es. Wp-includes o wp-admin o wp-content): attenzione alla cartella wp-includes che contiene tutti i file mai inclusi nel sito;
- analizza non solo il tema attivo ma soprattutto i temi inattivi del tuo sito che sono un più probabile nascondiglio;
- riserva una particolare attenzione plugin, anche e soprattutto a quelli non più attivi;
- cerca nella cartella dei caricamenti. Un hacker potrebbe utilizzare le directory dei caricamenti per istallare una backdoor;
- esamina il file wp-config.php situato nella directory public_html;
- Include Folder è un altro posto in cui spesso troviamo le backdoor.
Come rimuovere la backdoor dal tuo sito WordPress
Ecco un passaggio a fondamentale: assicurati di avere di una copia pulita di backup del tuo sito prima di iniziare!
In ogni caso, non agire sconsideratamente e non cancellare file o stringhe di codice se non sai bene quello che stai facendo.
Per rilevare e rimuovere una backdoor hai a disposizione alcune opzioni:
- effettuare una scansione con un plugin WordPress dedicato alla sicurezza
- avviare una scansione automatizzata online
- effettuare una pulizia manuale e professionale
Se decidi di provare da solo i plugin più sicuri da usare sono:
- Wordfence
- Sucuri
Potrebbe interessarti anche: Il tuo sito web è stato hakerato? Ecco cosa fare
Se invece decidi di chiedere l’analisi di un servizio antivirus specializzato, assicurati che abbia queste caratteristiche:
- analisi preliminare approfondita e gratuita (insomma, non dovresti pagare per sapere cosa succede)
- correzione di tutte le vulnerabilità
- ripristinare di un livello di sicurezza ottimale
- report dettagliato
- intervento garantito
Il tuo sito resterà vulnerabile fino a quando non avrai eliminato ( oltre che tutto il malware anche) tutte le backdoor.
Quando il sito sarà completamente ripulito potrai cominciare con una le buone pratiche che ti consentiranno di evitare la reinfezione..
Te le riassumo nel paragrafo che segue.
Come prevenire che una backdoor possa essere installata in futuro?
Ecco buone pratiche da seguire per evitare che una backdoor sia reinstallata. Sono azioni di manutenzione e prevenzione che manterranno un adeguato livello di sicurezza del tuo sito WordPress.
- Monitora il tuo sito WordPress con un plugin affidabile, come Wordfence o Sucuri
- Fai il backup completo e frequente
- Usa password complesse
- Imposta l’autenticazione a due fattori
- modifica l’url di accesso al backend di WordPress con plugin appositi
- Disabilita l’esecuzione di PHP per alcune directory di WordPress: comprese le directory /wp-content/uploads/ e /wp-includes/. Così, anche se qualcuno fosse in grado di caricare il filein queste cartelle, non riuscirebbe ad eseguirlo.
- utilizza un hosting sicuro come Siteground
- Mantieni WordPress aggiornato (compresi tema e plugin)
- Usa solo temi ed plugin affidabili
- Se noti i un’anomalia o un problema chiedi una scansione professionale
Non riesci a risolvere il tuo problema? In caso di sito infetto
chiedi la nostra analisi gratuita
