Sucuri: Scansione Malware e Monitoraggio Integrità File

Il malware è una delle minacce più insidiose per i siti WordPress. Può restare nascosto per settimane o mesi, rubando dati dei visitatori, inviando spam, creando redirect malevoli o trasformando il tuo server in un nodo di una botnet. Sucuri Security offre un sistema di rilevamento a doppio livello — scansione remota e monitoraggio locale dell’integrità dei file — che permette di individuare le minacce prima che causino danni irreparabili. In questa guida approfondiamo il funzionamento di questi due meccanismi e come configurarli al meglio.

Come Funziona la Scansione Malware di Sucuri

Il motore di scansione di Sucuri si basa su due approcci complementari che, insieme, offrono una copertura quasi totale delle possibili infezioni. Il primo approccio è la scansione remota tramite SiteCheck, che analizza il sito dall’esterno come farebbe un motore di ricerca o un visitatore. Il secondo è il monitoraggio lato server dell’integrità dei file, che confronta i file presenti sul disco con le versioni originali rilasciate da WordPress.org.

Questa strategia a doppio livello è fondamentale perché alcune forme di malware sono visibili solo analizzando il codice sorgente lato server (come le backdoor PHP), mentre altre si manifestano solo nel frontend (come i redirect JavaScript condizionali che colpiscono solo determinati user agent o geolocalizzazioni).

Scansione Remota con SiteCheck

SiteCheck è il motore di scansione remota di Sucuri, disponibile anche gratuitamente sul sito sitecheck.sucuri.net. Quando integrato nel plugin WordPress, SiteCheck esegue scansioni automatiche a intervalli regolari e segnala immediatamente qualsiasi anomalia. Durante una scansione, SiteCheck verifica:

• Malware nel codice HTML: cerca pattern noti di codice malevolo nelle pagine del sito, inclusi script offuscati, iframe nascosti e link a domini compromessi
• Redirect sospetti: verifica se il sito effettua redirect verso domini malevoli, una tecnica comune usata per dirottare il traffico
• Spam SEO: rileva l’iniezione di contenuti spam nel codice sorgente, spesso invisibili ai visitatori ma visibili ai motori di ricerca (cloaking)
• Blocklist: controlla se il dominio è presente nelle principali blocklist (Google Safe Browsing, Norton Safe Web, McAfee SiteAdvisor, Sucuri Labs, PhishTank, ESET, Yandex)
• Anomalie software: verifica la versione di WordPress, la presenza di CMS obsoleti e tecnologie con vulnerabilità note

La scansione remota ha un limite importante: può rilevare solo ciò che è visibile dall’esterno. Malware che si attiva solo per determinati IP, user agent o cookie potrebbe sfuggire. Per questo motivo la scansione remota deve essere sempre affiancata dal monitoraggio lato server.

Configurare la Frequenza di Scansione

Accedi a Sucuri Security > Impostazioni > Scanner per configurare la frequenza delle scansioni automatiche. Le opzioni disponibili vanno da ogni 3 ore a una volta al giorno. La scelta della frequenza dipende da diversi fattori:

• Siti ad alto rischio (e-commerce, finanza, sanità): scansione ogni 3 ore
• Siti aziendali con dati sensibili: scansione ogni 6 ore
• Blog e siti vetrina: scansione ogni 12 ore
• Siti personali a basso traffico: scansione giornaliera

Ricorda che ogni scansione remota effettua una chiamata API al server Sucuri. Con il piano gratuito hai un numero limitato di scansioni giornaliere, quindi trova il giusto equilibrio tra frequenza e risorse disponibili.

Monitoraggio dell’Integrità dei File

Il modulo di integrity checking è forse la funzionalità più potente di Sucuri per il rilevamento di compromissioni. Funziona confrontando ogni file nelle directory core di WordPress (wp-admin/, wp-includes/, e i file nella root come wp-config.php, index.php, .htaccess) con le versioni originali presenti nel repository ufficiale di WordPress.

Quando il modulo rileva una discrepanza, la classifica in tre categorie:

• File modificati: file core che sono stati alterati rispetto all’originale. Questo può indicare un’infezione, ma anche una modifica legittima (ad esempio, regole personalizzate in .htaccess)
• File aggiunti: file non presenti nell’installazione originale di WordPress che sono comparsi nelle directory core. Questo è un forte indicatore di compromissione, poiché gli attaccanti spesso inseriscono backdoor in wp-admin/ o wp-includes/
• File mancanti: file originali che sono stati rimossi. Può indicare un’attività malevola che ha cancellato file per destabilizzare il sito

Interpretare i Risultati della Scansione

Non tutti gli avvisi indicano necessariamente un’infezione. È importante saper distinguere i falsi positivi dalle minacce reali. Ecco alcune linee guida:

Falsi positivi comuni:

• Il file .htaccess è quasi sempre segnalato come modificato, perché plugin di caching, SEO e sicurezza aggiungono regole personalizzate
• Il file wp-config.php è sempre modificato rispetto all’originale (contiene le credenziali del database)
• Alcuni hosting aggiungono file come php.ini o .user.ini nella root

Indicatori di compromissione reale:

• File PHP sconosciuti in wp-admin/ o wp-includes/ con nomi casuali (es. wp-includes/class-wp-xmlrpc-kj7x.php)
• File core modificati che non dovrebbero esserlo (es. wp-includes/version.php)
• File index.php modificati in qualsiasi directory
• File con codice offuscato (stringhe base64, eval(), gzinflate())

Il Registro di Audit (Audit Log)

Sucuri mantiene un registro dettagliato di tutte le attività che avvengono sul sito. Questo audit log è fondamentale per ricostruire la cronologia di un’eventuale compromissione. Il registro traccia eventi come login, logout, tentativi falliti, modifiche ai post, installazione di plugin, modifiche alle impostazioni e aggiornamenti.

Un aspetto particolarmente utile dell’audit log di Sucuri è che viene sincronizzato con il cloud di Sucuri. Questo significa che anche se un attaccante ottiene accesso al server e cancella i log locali, la copia nel cloud resta intatta. È un meccanismo di protezione anti-manomissione essenziale per le indagini forensi post-incidente.

Per consultare l’audit log, vai su Sucuri Security > Dashboard e scorri fino alla sezione “Audit Logs”. Puoi filtrare gli eventi per tipo, data e utente. Presta particolare attenzione a:

• Login da IP sconosciuti o geograficamente inusuali
• Creazione di nuovi utenti amministratori
• Installazione di plugin o temi sconosciuti
• Modifiche alle impostazioni generali del sito (URL, email admin)
• Disattivazione di plugin di sicurezza

Scansione dei File dei Plugin e dei Temi

Oltre ai file core, Sucuri può analizzare anche i file dei plugin e dei temi installati. Questa funzionalità è disponibile nella versione server-side del plugin e confronta i file presenti sul disco con le versioni nel repository WordPress.org. I plugin e i temi scaricati da fonti esterne (premium, marketplace di terze parti) non possono essere verificati con questo metodo e richiedono un’attenzione maggiore durante la revisione manuale.

I plugin e i temi sono il vettore di attacco più comune per i siti WordPress. Secondo le statistiche di Sucuri, oltre il 50% delle compromissioni avviene attraverso vulnerabilità nei plugin, seguite dai temi (circa 10%) e dal core di WordPress (meno del 5%). Mantenere tutti i componenti aggiornati è la prima linea di difesa.

Automatizzare la Risposta alle Minacce

Sucuri permette di configurare azioni automatiche in risposta a determinati eventi di sicurezza. Nella sezione Impostazioni > Alerts puoi definire:

• Soglie di login falliti prima dell’invio di un alert (es. 5 tentativi in 30 minuti)
• Notifica immediata per la creazione di nuovi utenti amministratori
• Alert per modifiche ai file core rilevate durante la scansione di integrità
• Notifica quando il sito viene inserito in una blocklist

Configurare correttamente le notifiche è fondamentale: troppe notifiche portano all’“alert fatigue” e si finisce per ignorarle tutte, mentre troppo poche rischiano di far passare inosservate le minacce reali.

Best Practice per il Monitoraggio Continuo

La scansione e il monitoraggio non sono attività “configura e dimentica”. Per ottenere il massimo da Sucuri, segui queste best practice:

1. Controlla la dashboard almeno una volta a settimana: anche con le notifiche email attive, una revisione periodica della dashboard ti permette di cogliere pattern che le singole notifiche non evidenziano
2. Rivedi i falsi positivi: segna i file legittimamente modificati (come .htaccess) come “verificati” per ridurre il rumore nelle scansioni successive
3. Mantieni un baseline pulito: dopo ogni aggiornamento di WordPress, lancia una scansione di integrità per aggiornare il baseline di riferimento
4. Correla gli eventi: un singolo login fallito non è allarmante, ma centinaia di tentativi da IP diversi indicano un attacco brute force in corso
5. Documenta le modifiche: se modifichi manualmente file core (sconsigliato ma a volte necessario), annotalo per non confonderlo con un’infezione

Quando la Scansione Rileva Malware

Se Sucuri rileva malware o file compromessi, non farti prendere dal panico. Segui questi passaggi:

1. Non cancellare immediatamente i file sospetti: potresti rimuovere componenti necessari al funzionamento del sito
2. Fai un backup completo dello stato attuale (inclusi i file infetti) per analisi forensi
3. Identifica il vettore di attacco: come è entrato il malware? Plugin vulnerabile? Password debole?
4. Procedi alla pulizia seguendo la nostra guida dedicata alla rimozione del malware con Sucuri
5. Dopo la pulizia, cambia tutte le password e rigenera le chiavi di sicurezza

Conclusioni

La scansione malware e il monitoraggio dell’integrità dei file sono le fondamenta di qualsiasi strategia di sicurezza WordPress. Sucuri eccelle in entrambi gli ambiti, offrendo un sistema di rilevamento completo che combina analisi remota e locale. Configurare correttamente questi strumenti e monitorarne i risultati con costanza è il modo migliore per prevenire e reagire rapidamente alle minacce.

Se il tuo sito è stato compromesso o hai bisogno di una configurazione professionale di Sucuri, contatta G Tech Group per ricevere assistenza immediata.