Il tuo sito WordPress visualizza degli avvisi di sicurezza? Il suo nome di dominio non ti consente più di accedervi? Il suo contenuto è stato alterato o non riesci più ad accedere alla console di WordPress? In qualche modo, hai la sensazione che il tuo sito sia stato hackerato.
In questo articolo ti aiutiamo a ripulire e riparare un sito WordPress hackerato per rimetterlo in funzione. Condividiamo anche alcune raccomandazioni per evitare che ciò si ripeta.
Come faccio a sapere se il mio sito WordPress è stato hackerato?
Ecco i sintomi principali che consentono di identificare un sito WordPress infettato da una persona o da un malware:
- I browser e/o motori di ricerca come Google visualizzano un avviso al momento dell’accesso al tuo sito.
- Il tuo host ti ha segnalato un’attività sospetta o ha messo il tuo sito in manutenzione per ragioni di sicurezza.
- Il tuo nome di dominio reindirizza verso un altro sito.
- Il contenuto delle tue pagine è alterato (in particolare i link).
- Stai constatando la presenza di utenti sconosciuti o sospetti nella tua console WordPress.
- Riscontri delle voci anomale nei registri (log) del tuo sito o nel suo database.
- Non puoi più accedere al tuo sito o alla console WordPress.
- Il tuo sito è più lento del solito o sembra non rispondere.
- Il tuo plugin di sicurezza visualizza avvisi insoliti.
Come riparare un sito WordPress hackerato?
È comunque necessario agire. Ecco le azioni da seguire per cercare di recuperare la situazione.
💡 Il mio host può riparare il sito al mio posto? In generale, un host non interviene sul contenuto di un hosting o sullo sviluppo di un sito Internet. Il suo ruolo è garantire la disponibilità, le prestazioni e la sicurezza del tuo server e supportarti nell’utilizzo del tuo hosting Web (ad esempio per aggiornare la versione di PHP dei tuoi siti o per avviare l’analisi antivirus di un sito). La creazione o la manutenzione di un sito è quindi una professione molto diversa. Se hai bisogno di aiuto per riparare un sito WordPress hackerato, il modo più efficace sarà quello di farti affiancare da un professionista. In caso di bisogno, Infomaniak mette gratuitamente a tua disposizione una piattaforma di richiesta di preventivi che ti mette gratuitamente in contatto con professionisti riconosciuti.
L’opzione migliore: ripristina il tuo sito con un backup sano
Il modo più veloce e sicuro per rimettere in carreggiata un sito hackerato è ripristinare un backup sano.
- Con Infomaniak, i siti Internet vengono sottoposti a backup quotidiano e possono essere ripristinati automaticamente agli ultimi 7 giorni. Per maggiori informazioni, non esitare a consultare questa guida.
- La maggior parte degli host effettua automaticamente il backup dei siti per alcuni giorni. Reagisci quindi il più rapidamente possibile per aumentare le tue probabilità di recuperare un backup sano del tuo sito.
💡 Non disponi di un backup sano del tuo sito? Se è così, non possiamo che incoraggiarti a implementare un backup automatico del tuo sito non appena la situazione sarà ripristinata. Con Swiss Backup e Acronis, Infomaniak ti consente di automatizzare il backup del tuo sito tramite FTP ovunque sia ospitato. Puoi anche utilizzare Swiss Backup con l’estensione UpdraftPlus tramite il protocollo S3.
Passaggio 1: metti il tuo sito in manutenzione
La prima cosa da fare è proteggere la reputazione del tuo sito e la sicurezza dei tuoi visitatori. La modalità di manutenzione impedirà ai motori di ricerca e ai tuoi visitatori di accorgersi che il tuo sito è stato hackerato e impedirà anche di compromettere la loro sicurezza con malware o tentativi di truffa.
Le opzioni più semplici sono:
- Attiva la manutenzione del tuo sito tramite la dashboard del tuo hosting. Con Infomaniak, bastano pochi clic.
- Utilizza un plugin di manutenzione della directory ufficiale di WordPress.
- Se il tuo hosting non dispone della modalità di manutenzione e non hai più accesso alla tua console WordPress, sposta i file del tuo sito WordPress in una sottocartella tramite FTP. Crea quindi un file index.html nella root del sito con il testo “SITO IN MANUTENZIONE”.
Passaggio 2: modifica le password e verifica i tuoi utenti WordPress
La seconda cosa da fare è impedire agli hacker di accedere facilmente ai dati del tuo sito o di modificarne il contenuto.
A tale scopo, modifica le seguenti password:
- Password di accesso alla console WordPress (guida di Infomaniak).
- Password FTP/SSH dell’hosting (guida di Infomaniak).
- Password del database del sito (guida di Infomaniak).
- Password di accesso all’account del tuo host (guida di Infomaniak).
Ricordati poi di verificare l’elenco dei tuoi account dalla console WordPress. Rimuovi tutti gli utenti sospetti.
💡 Per la massima sicurezza: non riutilizzare le vecchie password e non utilizzare la stessa password più volte. Se non l’hai già fatto, ti consigliamo di utilizzare un software come BitWarden per proteggere e gestire le tue password in modo facile.
Passaggio 3: elimina tutte le estensioni e i temi sospetti e inutilizzati
Il prossimo passaggio è andare a verificare l’elenco delle tue estensioni WordPress:
- Rimuovi i plugin che non hai installato di persona.
- Rimuovi i plugin che non sono stati aggiornati di recente.
- Rimuovi i plugin che provengono da una fonte sconosciuta.
💡 Buono a sapersi: quanto più si riducono i plugin utilizzati, tanto più si chiarisce la situazione. Questo ridurrà anche la tua esposizione ai rischi di sicurezza.
Passaggio 4: scansiona il tuo sito Internet con un antivirus
È giunto il momento di verificare l’integrità della tua installazione WordPress e dei file archiviati sul tuo hosting!
Per svolgere questo lavoro importante sono disponibili varie opzioni:
- Lancia una analisi antivirus completa del tuo hosting (guida di Infomaniak).
- Verifica la presenza di malware (automatico con Infomaniak).
- Utilizza un’estensione di sicurezza come JetPack Scan, Wordfence Security o Sucuri Security.
Prima di pagare un plugin di terze parti, pensa agli strumenti gratuiti del tuo host. Con Infomaniak, gli hosting integrano ad esempio un antivirus e una protezione anti-malware che corregge automaticamente le vulnerabilità note dei CMS più diffusi come WordPress, Joomla o Drupal.
Passaggio 5: aggiorna WordPress, i tuoi plugin e i tuoi temi
Questa è la base e dovresti farlo regolarmente: aggiorna la tua installazione di WordPress, le estensioni e il tuo tema. Per dormire sonni tranquilli, dedica qualche secondo ad attivare l’aggiornamento automatico del tuo sito.
💡 Perché è così importante? Non appena viene rilevata una falla di sicurezza, viene immediatamente proposto un aggiornamento per correggere la vulnerabilità sulle installazioni degli utenti. Se non aggiorni il tuo sito, è un po’ come mostrare la tua vulnerabilità alla luce del sole.
Passaggio 6: elimina i file e i contenuti indesiderati
Dopo la scansione automatica del tuo sito, è necessario passare alle verifiche manuali:
- Verifica e correggi il contenuto delle pagine e degli articoli del tuo sito, in particolare i link.
- Connettiti al tuo hosting tramite FTP e verifica la struttura della tua installazione WordPress. Se noti dei file inattesi rispetto ai file originali, eliminali o vai al passaggio 8.
- Verifica il file di configurazione WordPress (wp-config.php) confrontandolo con la versione originale di WordPress.
💡 Hai bisogno di aiuto? Se non disponi delle competenze tecniche per effettuare queste verifiche, hai la possibilità di lanciare una richiesta di preventivi tramite questa piattaforma per essere affiancato da un esperto. Riceverai i preventivi entro 48h, gratuitamente e senza impegno.
Passaggio 7: rigenera la tua Sitemap
La sitemap contiene la mappa del tuo sito e viene utilizzata dai motori di ricerca per capire cosa contiene.
Se il tuo sito Web attiva gli avvisi dei motori di ricerca e dei browser, è possibile che il file sitemap.xml del tuo sito sia stato hackerato.
Per generare un nuovo file sitemap e inviarlo nuovamente ai motori di ricerca puoi utilizzare un plugin. Alcune estensioni fanno entrambe le cose, come XML Sitemaps o Yoast SEO ad esempio. Puoi farlo anche manualmente dalla Search Console per Google.
Passaggio 8: reinstalla WordPress (se necessario)
Se tutto quello che hai fatto non è andato a buon fine o non riesci ancora ad accedere alla console WordPress, la reinstallazione di WordPress potrebbe sbloccare la situazione.
Sono disponibili varie opzioni per reinstallare il kernel di WordPress senza influire sui contenuti del tuo sito.
Se hai ancora accesso alla console WordPress (metodo automatico)
- Vai su Dashboard => Aggiornamenti
- Fai clic sul pulsante Reinstalla la versione X.XX.
Se non puoi più accedere alla console WordPress (metodo manuale)
- Recupera l’ultima versione ufficiale di WordPress.
- Decomprimi il file ZIP sul computer.
- Elimina la cartella /wp-content/.
- Connettiti al tuo hosting tramite FTP (guida di Infomaniak).
- Scarica i file WordPress (senza /wp-content/) nella cartella in cui è stato installato inizialmente.
- Il tuo software FTP dovrebbe rilevare elementi simili: seleziona l’opzione Sostituisci e continua.
💡 Hai bisogno di aiuto? Se non disponi delle competenze tecniche per seguire questi passaggi, hai la possibilità di lanciare una richiesta di preventivi tramite questa piattaforma per essere affiancato da un esperto. Riceverai i preventivi entro 48h, gratuitamente e senza impegno.
Passaggio 9: reinstallare i temi e le estensioni (se necessario)
Se stai affrontando un attacco grave o sospetti che il problema sia stato causato da un’estensione o dal tuo tema, consigliamo di reinstallare l’ultima versione del tema o dell’estensione interessata. In questo modo avrai la certezza di ripartire su buone basi.
Ecco le azioni da seguire:
- Connettiti al tuo hosting tramite FTP (guida di Infomaniak).
- Vai nelle cartelle dei temi o dei plugin di WordPress (/wp-content/themes o /wp-content/plugins)
- Trova la cartella del tema o dell’estensione da reinstallare e rinominala con _old alla fine (ad es.: Yoast SEO_old).
- Recupera l’ultima versione del tuo tema o dell’estensione da una sorgente affidabile.
- Decomprimi il file ZIP sul computer.
- Scarica la cartella dell’estensione o del tema nella cartella in cui era stato installato inizialmente.
- Verifica che con la versione reinstallata funzioni tutto correttamente e cancella la vecchia cartella _old.
💡 Hai bisogno di aiuto? Se non disponi delle competenze tecniche per seguire questi passaggi, hai la possibilità di lanciare una richiesta di preventivi tramite questa piattaforma per essere affiancato da un esperto. Riceverai i preventivi entro 48h, gratuitamente e senza impegno.
Passaggio 10: disattiva la modalità manutenzione
Il tuo sito è di nuovo sui binari? Congratulazioni 👏
È ora di disattivare la modalità manutenzione per riaprirlo al pubblico 😎🚀
Ricordati di svuotare la cache del tuo sito e del tuo browser prima di caricare il sito per avere l’ultima versione.
Perché un sito WordPress viene hackerato?
I robot (detti anche bot) scansionano continuamente il Web alla ricerca di siti Internet che contengono vulnerabilità facilmente sfruttabili in modo automatico. Nella stragrande maggioranza dei casi, gli attacchi non sono mirati specificamente al tuo sito e basta seguire le buone pratiche per evitare i problemi 😇
8 buone pratiche per proteggere il tuo sito WordPress dagli attacchi informatici
Ecco le buone pratiche da seguire per proteggere il più possibile i tuoi siti WordPress contro i tentativi di hacking.
1. Scegli un hosting WordPress sicuro
Alcuni host come Infomaniak implementano misure avanzate finalizzate ad accrescere la sicurezza dei siti:
- protezione contro gli attacchi DDoS
- protezione contro i virus
- protezione contro malware con correzione automatica
- supporto dell’ultima versione di PHP e di MySQL/MariaDB
- backup quotidiano (ultimi 7 giorni) in un altro data center
- ripristino automatico e completo con 1 clic
- assistenza locale di qualità 7/7 tramite e-mail, chat e telefono
- temi ed estensioni Elegant Themes con Divi inclusa
- certificati SSL gratuiti e professionali (Sectigo)
2. Limita e utilizza soltanto i plugin più diffusi
Ogni estensione WordPress aumenta le tue probabilità di introdurre vulnerabilità nel tuo sito. Limitale allo stretto necessario.
Privilegia sistematicamente le risorse più diffuse, poiché i temi e le estensioni WordPress non aggiornati regolarmente generano vulnerabilità importanti nel tempo.
3. Attiva l’aggiornamento automatico di WordPress e dei tuoi plugin
Non aggiornare WordPress, le estensioni, i temi e la sua versione di PHP è come lasciare aperta la porta di casa e indicarlo con un cartello 😅
Ci vogliono solo pochi secondi per configurare l’aggiornamento automatico di WordPress e questo può evitarti grossi problemi.
4. Esegui il backup automatico del tuo sito Internet
In caso di problemi di sicurezza, devi poter ripristinare il tuo sito in modo facile utilizzando una versione sana. Un sistema di backup automatico ridurrà al minimo il tempo necessario per tornare alla normalità.
Potrai contare sui backup automatici gratuiti del tuo hosting e, inoltre, implementare una routine tramite FTP per effettuare il backup del tuo sito in uno spazio cloud protetto come Swiss Backup:
- Effettuare il backup di un sito WordPress con il plugin UpdraftPlus e Swiss Backup tramite il protocollo S3
- Backup di un sito WordPress con Acronis tramite FTP
5. Accresci la sicurezza dei tuoi utenti WordPress
Numerose installazioni WordPress hanno ancora il nome utente “admin” come login. Esso potrebbe quindi essere più facilmente sfruttato da un robot o da un hacker per forzare l’accesso al tuo sito:
- Modifica lo pseudonimo dei tuoi utenti WordPress con nomi univoci dal menu Account della tua console WordPress
- Opta per password univoche, lunghe e complesse e utilizza un software sicuro come BitWarden per gestire le tue password
6. Proteggi l’accesso della tua console WordPress dai robot
Di default, l’URL di accesso alla pagina di login di un sito WordPress segue sempre la stessa struttura: tuodominio.com/wp-admin. Poiché è molto facile sapere se un sito utilizza WordPress (si vede subito nel codice sorgente di un sito), questo URL di accesso è immancabilmente accessibile ad hacker e robot. Non resta quindi che attaccare questa pagina con forza bruta.
- È facile e veloce proteggere la pagina di login WordPress con un’estensione come WPS Hide Login.
- Si consiglia di limitare i tentativi di accesso alla tua console WordPress (ad es. con Limit Login Attempts Reloaded). In tal modo, i robot e gli hacker non potranno provare migliaia di password.
💡 Importante:
- Se imposti un limite di accessi e modifichi l’URL di accesso della tua console WordPress, annota attentamente questi dati per evitare che queste protezioni ti danneggino: annota attentamente il nuovo URL di accesso ed evita di inserire più volte password o nome utente errati.
- I plugin di sicurezza “all-in-one” come Wordfence integrano nativamente diverse misure di sicurezza. Evita di installare estensioni diverse che hanno la stessa funzione e, nel dubbio, consulta un professionista.
7. Utilizza tecnologie aggiornate (PHP, MySQL/MariaDB)
WordPress funziona con PHP/MySQL e queste tecnologie si evolvono regolarmente. Utilizzando una versione di PHP non più aggiornata, esponi il sito Web a rischi di sicurezza. I malintenzionati potrebbero ad esempio sfruttare le falle di sicurezza note per accedere al tuo sito e modificarne i contenuti. È quindi importante utilizzare una versione aggiornata di PHP. Inoltre, le ultime versioni di PHP sono più performanti e velocizzano il caricamento dei siti Web.
- Controllare le versioni di PHP obsolete e aggiornate
- Modificare la versione PHP di un sito gestito da Infomaniak
8. Blocca i commenti e i messaggi indesiderati (spam)
Robot e malintenzionati spesso sfruttano lo spazio dei commenti sotto i tuoi articoli per inserire contenuti e link pubblicitari. Fortunatamente, per fermare questo flagello che colpisce la reputazione e l’indicizzazione del tuo sito, ci sono diverse opzioni facili da implementare.
Ecco 3 opzioni diffuse per bloccare gli spam di un sito WordPress:
- Installare e configurare il plugin Akismet (gratuito per uso non commerciale)
- Installare e configurare il plugin hcaptcha (un’alternativa open source alla soluzione reCAPTCHA di Google)
- Installare e configurare il plugin Google Captcha
***
Speriamo che questa guida ti abbia consentito di riparare il tuo sito WordPress o di migliorarne la sicurezza. In caso contrario, ti consigliamo di farti affiancare da un’agenzia Web o da un professionista riconosciuto, soprattutto se non hai realizzato il tuo sito WordPress di persona.