Come Ripulire un Sito WordPress Hackerato con Sucuri

Scoprire che il proprio sito WordPress è stato hackerato è un’esperienza stressante. Redirect malevoli, pagine di spam, avvisi del browser, blacklist di Google: le conseguenze possono essere devastanti per il business e la reputazione. Sucuri Security offre strumenti specifici per gestire il post-hack, dalla diagnosi alla pulizia fino al ripristino completo della sicurezza. In questa guida ti accompagniamo attraverso l’intero processo di recupero.

Riconoscere i Segnali di Compromissione

Prima di poter ripulire un sito, devi sapere riconoscere i segnali di un’infezione. Spesso il malware è progettato per rimanere nascosto il più a lungo possibile, quindi i segnali possono essere sottili:

• Redirect sospetti: i visitatori vengono reindirizzati verso siti di spam, farmacia, gambling o phishing. Spesso il redirect colpisce solo i visitatori provenienti dai motori di ricerca o con determinati user agent
• Contenuto spam iniettato: pagine o link a contenuti spam appaiono nel sito, spesso visibili solo ai motori di ricerca (SEO spam / Japanese keyword hack)
• Avviso del browser: Chrome, Firefox o Safari mostrano un avviso “Sito ingannevole” o “Questo sito potrebbe danneggiare il tuo computer”
• Blacklist di Google: il sito viene rimosso dai risultati di ricerca o contrassegnato con un avviso
• Email di spam: il server inizia a inviare grandi volumi di email spam, causando il blacklisting dell’IP
• Rallentamento anomalo: il sito diventa molto lento perché le risorse del server vengono utilizzate dal malware (mining di criptovalute, attacchi ad altri siti)
• Utenti amministratori sconosciuti: nuovi account con privilegi di amministratore compaiono nella lista utenti
• File sconosciuti: file PHP con nomi casuali appaiono nelle directory del sito

Fase 1: Non Farti Prendere dal Panico

La prima regola quando scopri un’infezione è mantenere la calma e procedere con metodo. Azioni affrettate come cancellare file a caso o reinstallare WordPress senza un’analisi possono peggiorare la situazione, distruggere prove utili per l’indagine forense o lasciare attive le backdoor che permetteranno al malware di tornare.

Prima di qualsiasi intervento:

1. Documenta tutto: screenshot degli avvisi, URL dei redirect, orari in cui hai notato il problema
2. Fai un backup completo dello stato attuale: inclusi i file infetti. Questo backup sarà fondamentale per l’analisi forense
3. Non cancellare nulla finché non hai compreso l’entità dell’infezione
4. Verifica se hai un backup pulito recente: sapere l’ultimo stato sicuro del sito aiuta a determinare quando è avvenuta l’infezione

Fase 2: Diagnosi con Sucuri

Sucuri offre diversi strumenti per diagnosticare un’infezione:

Scansione SiteCheck

Lancia una scansione completa dalla dashboard di Sucuri (Sucuri Security > Dashboard > Scan Site). La scansione remota SiteCheck verificherà la presenza di malware visibile dall’esterno, redirect malevoli, iframe sospetti e inclusione in blocklist. I risultati ti daranno un primo quadro dell’infezione.

Verifica dell’Integrità dei File

La scansione di integrità dei file confronterà i file core di WordPress con le versioni originali, evidenziando file modificati, aggiunti o mancanti. Presta particolare attenzione ai file aggiunti nelle directory wp-admin/, wp-includes/ e alla root del sito: sono quasi certamente backdoor.

Audit Log

Consulta i log di audit per ricostruire la cronologia dell’attacco. Cerca eventi sospetti come login da IP sconosciuti, creazione di utenti, installazione di plugin, modifiche ai file. La cronologia ti aiuterà a capire quando e come l’attaccante ha ottenuto accesso.

Fase 3: Mettere il Sito in Manutenzione

Se il sito sta attivamente distribuendo malware o redirect, considera di metterlo temporaneamente in manutenzione per proteggere i visitatori e prevenire ulteriori danni alla reputazione. Puoi farlo aggiungendo una pagina di manutenzione statica o, nei casi più gravi, sospendendo temporaneamente il sito dal pannello hosting.

Se il sito è stato blacklistato da Google, i visitatori vedranno già un avviso e il traffico sarà praticamente azzerato. In questo caso, la priorità è procedere rapidamente con la pulizia per poter richiedere la rimozione dalla blacklist il prima possibile.

Fase 4: Pulizia con gli Strumenti Post-Hack di Sucuri

Vai su Sucuri Security > Post-Hack per accedere agli strumenti di pulizia. Le opzioni disponibili sono:

Reset Secret Keys

Questa funzione rigenera le chiavi di sicurezza (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY e le rispettive SALT) nel file wp-config.php. Questa operazione invalida immediatamente tutte le sessioni attive, forzando il logout di tutti gli utenti, incluso l’attaccante che potrebbe avere una sessione aperta. Eseguila per prima.

Reset User Passwords

Forza il cambio password per tutti gli utenti del sito. È essenziale perché l’attaccante potrebbe aver ottenuto accesso attraverso credenziali compromesse. Tutti gli utenti dovranno impostare una nuova password al prossimo login.

Reset Installed Plugins

Questa funzione reinstalla tutti i plugin dalla versione originale nel repository WordPress.org, sovrascrivendo eventuali file modificati o infetti. È un’operazione drastica ma efficace: se il malware ha modificato i file dei plugin, la reinstallazione li ripristina allo stato pulito. I plugin premium non presenti nel repository dovranno essere reinstallati manualmente.

Available Plugin and Theme Updates

Aggiorna tutti i plugin e temi all’ultima versione. Le vulnerabilità nei plugin obsoleti sono il vettore d’ingresso più comune: aggiornare è fondamentale per chiudere la falla attraverso cui l’attaccante è entrato.

Fase 5: Pulizia Manuale Approfondita

Gli strumenti automatici di Sucuri coprono la maggior parte dei casi, ma per infezioni complesse può essere necessaria una pulizia manuale. Ecco i passaggi:

Verificare i file core di WordPress

Scarica una copia pulita di WordPress dalla stessa versione installata sul tuo sito. Confronta i file uno per uno con quelli sul server. Qualsiasi differenza nei file core (eccetto wp-config.php e .htaccess) indica una modifica malevola. Sostituisci i file modificati con le versioni originali.

Controllare la directory uploads

Cerca file PHP nella directory wp-content/uploads/. Non dovrebbero esserci file PHP in questa directory: ogni file PHP trovato qui è quasi certamente una backdoor. Rimuovi questi file e applica la misura di hardening per bloccare l’esecuzione PHP nella directory uploads.

Verificare il file .htaccess

Il file .htaccess nella root e nelle sottodirectory viene spesso modificato per inserire redirect malevoli. Confronta il contenuto con quello che dovrebbe essere (le regole standard di WordPress più eventuali regole dei tuoi plugin). Rimuovi qualsiasi regola sospetta.

Controllare il database

Alcuni malware iniettano codice nel database, nei contenuti dei post, nelle opzioni o nei widget. Cerca nel database stringhe sospette come eval(, base64_decode(, <script in posizioni dove non dovrebbero esserci (tabelle wp_options, wp_posts, wp_comments).

Verificare il crontab

Gli attaccanti spesso aggiungono cron job malevoli per rigenerare il malware dopo la pulizia. Controlla sia il cron di WordPress (wp_options, chiave cron) sia il crontab del sistema operativo.

Fase 6: Rafforzare la Sicurezza Post-Pulizia

Dopo la pulizia, è fondamentale rafforzare la sicurezza per prevenire una reinfezione:

1. Aggiorna tutto: WordPress, tutti i plugin, tutti i temi all’ultima versione
2. Rimuovi plugin e temi inutilizzati: ogni componente non attivo è una potenziale vulnerabilità
3. Cambia tutte le password: WordPress, FTP, database, hosting panel, email
4. Applica tutte le misure di hardening di Sucuri
5. Abilita il 2FA per tutti gli account amministratore
6. Configura le notifiche di Sucuri per rilevare immediatamente eventuali nuovi tentativi
7. Considera il Sucuri Firewall (WAF) per una protezione proattiva

Fase 7: Richiedere la Rimozione dalla Blacklist

Se il sito era stato blacklistato, dopo la pulizia devi richiedere una revisione:

• Google Safe Browsing: tramite Google Search Console, vai su Sicurezza > Problemi di sicurezza e clicca “Richiedi una revisione”
• Norton Safe Web: visita safeweb.norton.com e richiedi una rivalutazione del sito
• McAfee SiteAdvisor: usa il modulo di contestazione sul sito McAfee
• Sucuri Labs: se il sito è nella blocklist Sucuri, lancia una nuova scansione SiteCheck e lo stato verrà aggiornato automaticamente

La rimozione dalla blacklist di Google richiede tipicamente 1-3 giorni lavorativi. Durante questo periodo, monitora attentamente il sito per assicurarti che l’infezione non si ripresenti.

Servizio di Pulizia Professionale Sucuri

Se la pulizia fai-da-te ti sembra troppo complessa o rischiosa, Sucuri offre un servizio professionale di rimozione malware incluso nei piani a pagamento (Platform plans). Il team di sicurezza di Sucuri si occupa di:

• Analisi completa dell’infezione
• Rimozione di tutto il malware e le backdoor
• Verifica dell’integrità di tutti i file
• Pulizia del database
• Richiesta di rimozione dalle blacklist
• Report dettagliato dell’incidente

Il servizio ha un SLA di 12 ore per il piano Business e 30 ore per il piano Basic. Per siti critici o e-commerce, il servizio professionale è spesso la scelta più saggia: la velocità di intervento può fare la differenza tra poche ore di downtime e giorni di perdite.

Prevenire Future Compromissioni

La pulizia è solo metà del lavoro. Per evitare che il problema si ripresenti, implementa una strategia di sicurezza completa:

• Backup automatici giornalieri con conservazione di almeno 30 giorni
• Aggiornamenti automatici per le minor release di sicurezza
• Scansioni regolari con Sucuri
• Monitoraggio continuo dei login e delle attività
• Formazione degli utenti sulle pratiche di sicurezza base
• Revisione periodica dei plugin installati e rimozione di quelli non necessari

Conclusioni

Ripulire un sito WordPress hackerato è un processo complesso che richiede metodo, pazienza e gli strumenti giusti. Sucuri Security fornisce tutto il necessario per diagnosticare, pulire e ripristinare un sito compromesso. Tuttavia, la prevenzione è sempre preferibile alla cura: investi nella sicurezza prima che sia troppo tardi.

Se il tuo sito è stato hackerato e hai bisogno di assistenza immediata, contatta G Tech Group: interveniamo rapidamente per ripulire il sito e ripristinare la tua presenza online.