Una triste realtà della gestione dei siti web è che a volte possono essere violati. Avendo il nostro sito WordPress violato alcune volte in passato, sappiamo esattamente quanto possa essere stressante. Per non parlare dell’impatto che ha sulla vostra attività e sui vostri lettori.
Negli ultimi anni abbiamo aiutato centinaia di utenti a recuperare i loro siti WordPress violati, tra cui diverse aziende famose.
In questo articolo condivideremo una guida passo passo per riparare il vostro sito WordPress violato.
Alcune cose da sapere prima di iniziare
Innanzitutto, non importa quale sia la piattaforma utilizzata, che si tratti di WordPress, Drupal, Joomla e così via, qualsiasi sito può essere violato!
Quando il vostro sito WordPress viene violato, potete perdere il posizionamento sui motori di ricerca, esporre i vostri lettori a virus, veder macchiata la vostra reputazione a causa di reindirizzamenti a siti web loschi e, peggio ancora, perdere tutti i dati del vostro sito.
Se il vostro sito web è un’azienda, la sicurezza deve essere una delle vostre principali priorità.
Ecco perché è fondamentale avere una buona società di hosting WordPress. Se potete permettervelo, utilizzate assolutamente un hosting WordPress gestito, che si occuperà della sicurezza per voi.
Assicuratevi di avere sempre a disposizione una buona soluzione di backup per WordPress, come Duplicator.
Ultimo, ma probabilmente il più importante, avere un robusto firewall per applicazioni web come Sucuri. Utilizziamo i loro servizi sui nostri siti web.
Tutte le informazioni di cui sopra sono ottime se non siete ancora stati hackerati, ma è probabile che se state leggendo questo articolo sia troppo tardi per aggiungere alcune delle precauzioni di cui abbiamo parlato sopra. Quindi, prima di fare qualsiasi cosa, cercate di rimanere il più possibile calmi.
Vediamo la guida passo per passo su come riparare il vostro sito WordPress violato.
Fase 0 – Chiedete a un professionista di farlo per voi
La sicurezza è una questione seria e se non vi sentite a vostro agio con codici e server, è quasi sempre meglio affidarla a un professionista.
Perché? Perché gli hacker nascondono i loro script in più punti, consentendo agli hacker di tornare più volte.
Anche se vi mostreremo come trovarli e rimuoverli più avanti in questo articolo, molte persone vogliono avere la tranquillità di sapere che un esperto ha pulito correttamente il loro sito web.
Gli esperti di sicurezza normalmente si fanno pagare tra i 100 e i 250 dollari all’ora, il che è scandaloso per una piccola impresa o un imprenditore solitario.
Tuttavia, WPBeginner Pro Services offre la riparazione di siti violati per un pagamento unico di 249 dollari. Questo servizio include la determinazione dei file premium, la rimozione del codice maligno, gli aggiornamenti del software e della sicurezza e il backup del sito pulito.
Inoltre, copriremo il vostro sito web per 30 giorni dopo la riparazione. Ciò significa che se subite un’altra violazione, saremo lì a ripararla. Garantiamo inoltre di riparare il vostro sito o vi restituiremo il 100% del vostro denaro.
I nostri esperti di WPBeginner Pro Services si occupano della pulizia e della protezione di siti web WordPress da oltre 10 anni. Potete quindi essere certi che il vostro sito è in buone mani.
Se date importanza al vostro tempo, se non siete esperti di tecnologia o se volete semplicemente la massima tranquillità, potete utilizzare il nostro servizio di riparazione dei siti violati.
Per tutti coloro che amano il fai-da-te, è sufficiente seguire i passaggi indicati di seguito per ripulire il sito WordPress violato.
Passo 1. Identificare l’hack
Quando si ha a che fare con l’hacking di un sito web, si è sottoposti a un forte stress. Cercate di mantenere la calma e di scrivere tutto quello che potete sull’hack.
Di seguito è riportata una buona lista di controllo da scorrere:
- È possibile accedere al pannello di amministrazione di WordPress?
- Il vostro sito WordPress viene reindirizzato a un altro sito web?
- Il vostro sito WordPress contiene link illegittimi?
- Google segnala il vostro sito web come insicuro?
Scrivete l’elenco perché vi sarà utile quando parlerete con la vostra società di hosting o anche quando seguirete i passi successivi per sistemare il vostro sito.
È inoltre fondamentale cambiare le password prima di iniziare la pulizia. Sarà necessario cambiare le password anche una volta terminata la pulizia dell’hack.
Passo 2. Verificare con la società di hosting
La maggior parte dei buoni provider di hosting è molto disponibile in queste situazioni. Hanno personale esperto che si occupa quotidianamente di questo tipo di cose e conoscono l’ambiente di hosting, quindi possono guidarvi meglio. Iniziate a contattare il vostro host Web e seguite le loro istruzioni.
A volte l’hack potrebbe aver colpito più di un sito, soprattutto se si tratta di un hosting condiviso. Il vostro provider di hosting potrebbe anche essere in grado di fornirvi ulteriori informazioni sull’hack, come ad esempio la sua origine, il luogo in cui si nasconde la backdoor, ecc.
In base alla nostra esperienza, sia SiteGround che HostGator sono molto disponibili quando si verifica una situazione del genere.
Potreste anche essere fortunati e l’host potrebbe ripulire l’hack per voi.
Passo 3. Ripristino da backup
Se disponete di backup per il vostro sito WordPress, potrebbe essere meglio ripristinare da un punto precedente in cui il sito non è stato violato. Se riuscite a farlo, allora siete a posto.
Consultate il nostro tutorial su come ripristinare WordPress da un backup per le istruzioni passo-passo.
Tuttavia, se avete un blog con contenuti quotidiani, rischiate di perdere i post, i nuovi commenti e così via. In questi casi, valutate i pro e i contro.
Nel peggiore dei casi, se non si dispone di un backup o se il sito web è stato violato per molto tempo e non si vuole perdere il contenuto, è possibile rimuovere manualmente l’hack.
Passo 4. Scansione e rimozione del malware
Esaminate il vostro sito WordPress ed eliminate tutti i temi e i plugin WordPress inattivi. Il più delle volte è qui che gli hacker nascondono la loro backdoor.
Per backdoor si intende un metodo per bypassare la normale autenticazione e ottenere la capacità di accedere in remoto al server senza essere scoperti. La maggior parte degli hacker intelligenti carica sempre la backdoor come prima cosa. Questo permette loro di riottenere l’accesso anche dopo che il plugin sfruttato è stato individuato e rimosso.
Una volta fatto questo, procedete alla scansione del vostro sito web alla ricerca degli hack.
Vi consigliamo di installare il plugin Sucuri sul vostro sito web. Questo plugin ci ha aiutato a bloccare 450.000 attacchi WordPress in 3 mesi, tra cui 29.690 attacchi legati a backdoor.
Esiste una versione gratuita di Sucuri che comprende la scansione del malware, l’indurimento della sicurezza e strumenti per controllare l’integrità dei file principali di WordPress. La versione premium include funzionalità avanzate come la scansione giornaliera del lato server che controlla ogni singolo file alla ricerca di backdoor e altri problemi di sicurezza.
Una volta installato e attivato il plugin, lo scanner Sucuri vi indicherà lo stato di integrità di tutti i file principali di WordPress. In altre parole, vi mostra dove si nasconde l’hack.
I luoghi più comuni sono le directory dei temi e dei plugin, la directory uploads, wp-config.php, la directory wp-includes e il file .htaccess.
Avete due opzioni per risolvere l’hack. È possibile rimuovere manualmente il codice o sostituire il file con il file originale.
Ad esempio, se hanno modificato i file principali di WordPress, ricaricate i nuovi file di WordPress da un nuovo download o tutti i file di WordPress per sovrascrivere i file interessati.
Lo stesso vale per i file del tema. Scaricate una nuova copia e sostituite i file danneggiati con quelli nuovi. Ricordate di farlo solo se non avete apportato modifiche ai codici del tema di WordPress, altrimenti li perderete.
Ripetere questo passaggio anche per tutti i plugin interessati.
È inoltre necessario assicurarsi che le cartelle dei temi e dei plugin corrispondano a quelle originali. A volte gli hacker aggiungono file aggiuntivi che assomigliano al nome del file del plugin e sono facili da ignorare, come: hell0.php, Adm1n.php, ecc.
Abbiamo una guida dettagliata su come trovare una backdoor in WordPress e rimuoverla.
Continuate a ripetere questa operazione finché l’hack non sarà scomparso.
Passo 5. Controllare i permessi dell’utente
Guardate nella sezione utenti di WordPress per assicurarvi che solo voi e i membri fidati del vostro team abbiate accesso al sito come amministratori.
Se vedete un utente sospetto, eliminatelo.
Per maggiori dettagli, potete leggere la nostra guida per principianti sui ruoli utente di WordPress.
Passo 6. Cambiare le chiavi segrete
A partire da WordPress 3.1, WordPress genera una serie di chiavi di sicurezza che criptano le password. Ora, se un utente ha rubato la vostra password ed è ancora connesso al sito, rimarrà connesso perché i suoi cookie sono validi.
Per disabilitare i cookie, è necessario creare un nuovo set di chiavi segrete. È necessario generare una nuova chiave di sicurezza e aggiungerla al file wp-config.php.
Passo 7. Cambiare nuovamente le password
Sì, avete cambiato le password al punto 1. Ora fatelo di nuovo!
È necessario aggiornare la password di WordPress, la password di cPanel / FTP / MySQL e, in pratica, di qualsiasi altro luogo in cui sia stata utilizzata questa password.
Si consiglia vivamente di utilizzare una password forte. Leggete il nostro articolo sul modo migliore di gestire le password.
Se avete molti utenti sul vostro sito, potreste voler forzare la reimpostazione della password per tutti.
Andare avanti – Irrigidimento del sito WordPress
Non c’è bisogno di dire che non c’è sicurezza migliore che avere una buona soluzione di backup. Se non ne avete una, mettete in atto una soluzione per il backup quotidiano del vostro sito.
A parte questo, ecco altre cose che potete fare per proteggere meglio il vostro sito – non sono in ordine sparso e dovreste farne il più possibile!
- Impostare un firewall per siti web e un sistema di monitoraggio – Sucuri è il provider che utilizziamo perché nella maggior parte dei casi blocca gli attacchi prima che raggiungano il vostro server.
- Passare a un hosting WordPress gestito – La maggior parte delle società di hosting WordPress gestite si impegna al massimo per mantenere il vostro sito sicuro. Noi consigliamo SiteGround o WPEngine.
- Disabilitare gli editor di temi e plugin – È una buona pratica. Ecco come disabilitare gli editor di temi e plugin in WordPress.
- Limitare i tentativi di accesso in WordPress – Ne abbiamo parlato di recente e vi consigliamo di leggere come limitare i tentativi di accesso in WordPress.
- Proteggere con password la directory amministrativa – Aggiungete un ulteriore livello di password all’area amministrativa di WordPress. Vedere come proteggere con password l’amministrazione di WordPress.
- Disabilitare l’esecuzione di PHP in determinate directory – Aggiunge un ulteriore livello di sicurezza: ecco come disabilitare l’esecuzione di PHP tramite .htaccess.
E qualunque cosa facciate, mantenete sempre aggiornati il core, i plugin e i temi di WordPress! Per maggiori dettagli, consultate la nostra guida sull’ordine di aggiornamento corretto.
Ricordate che Google ha recentemente annunciato di aver aggiunto una nuova modifica all’algoritmo che ha un impatto sui siti violati con risultati di spam. Assicuratevi quindi di mantenere il vostro sito sicuro.
Speriamo che questa guida vi abbia aiutato a risolvere il vostro sito WordPress violato. Se avete ancora problemi, vi consigliamo vivamente di rivolgervi a un professionista come Seahawk o di chiedere alla vostra società di hosting se può aiutarvi a risolvere il problema. Potreste anche voler consultare la nostra guida definitiva sulla sicurezza di WordPress o le nostre scelte degli esperti sui migliori plugin di sicurezza per WordPress.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
mohadese esmaeeli
If you have defined unused email addresses on the host, be sure to delete them. Monitoring is a crucial activity for better stability, and it should continue. Make sure that the WordPress theme, core, and plugins are up-to-date, and the existence of security bugs does not pose a risk to your site. Increasing security levels will reduce the likelihood of being hacked.
Unarine Leo Netshifhefhe
The hosting company gave me a list of files which could be infected, so I deleted all of them but I am still seeing the same error when I try to open the site from my admin… There is still that redirect to a page with win a competition, how can I be sure that everything is cleared out?
WPBeginner Support
We would recommend the options in this article for checking the files and who we would recommend for professional assistance.
Admin
ChayanChakrabarti
My word press is hacked and I realized it few days ago— was lookimg for solutions all over the internet and then I found an article which is giving me clear instructions. I will implement this steps and write another comment with solution,
WPBeginner Support
Glad our guide could be helpful
Admin
NancyL
Hi – at what point do you give up on a website, buy a new domain and webhost??? I’ve been at this for 2 weeks. I cannot access the cpanel or wp admin. The ‘hint’ email to change my cpanel password has obviously a hacker email. I ran a paid subscription Norton scan on my local computer and it says it’s ok. If I change my password in wp admin, I get the email, and then it goes to a big red warning screen that it’s unsafe. Any suggestions? My webhost deleted all users/members, and changed the database prefix. STILL getting hack emails trying to change my password.
WPBeginner Support
To protect yourself from some of this, you would want to look at step 2 in our article here:
https://www.wpbeginner.com/wp-tutorials/11-vital-tips-and-hacks-to-protect-your-wordpress-admin-area/
to password protect your wp-admin area. For your cpanel you would need to reach out to your hosting provider and they would be able to help set that password. For that unsafe message there is normally a reason beneath the warning which would state the issue such as your site not being on https
Admin
Don
Wordpress hack. I received the following message from Dreamhost:
The following file(s) specifically have been identified as attacker-added malware.You will need to audit these files and either replace them with known good versions or remove them altogether:
/home/unused_domains/sitename.com/plugin.php
/home/unused_domains/sitename.com/system.php
How would I replace them? And with what? This is a little above my pay grade and it’s probably a stupid question, but I am clueless regarding this.
WPBeginner Support
You can use FTP to remove those files: https://www.wpbeginner.com/beginners-guide/how-to-use-ftp-to-upload-files-to-wordpress-for-beginners/
Unless you have a setup that added those files then those are not typically normal WordPress files to have on your site
Admin
Arthur
I cant even get into my site, cgi-sys/suspendedpage.cgi appears at the end of the link and it says account suspended
WPBeginner Support
That is normally something added from your hosting provider’s end, you would want to reach out to your host about having that removed.
Admin
Karissa Skirmont
Hey Syed,
Did you know that this article is linked by Google as a resource to people that’s site is hacked?
Dealing with one and was happily surprised when the link I click on at the bottom of the email was this.
It was the second bullet:
[…]
Further assistance?
• Read our resources for hacked sites for detailed information on how to fix your site.
• Clean up the hacked content so that your site meets Google’s Webmaster Guidelines.
• Ask questions in our forum for more help – mention message type [WNC-633200].
[…]
WPBeginner Support
Hey Karissa,
Glad to hear that and thanks for sharing
Admin
Anna Mary
My website is hacked, i tied to reset password last night and i received security code in my email by cpanel , i put this security code and press reset button but unfortunately my internet connection stop working suddenly. Today when i try to reset this password again and put my same email address this cpanel answered me that “Your email don’t match our record”.
What to do
pleas help me
WPBeginner Support
Hi Anna Mary,
Please contact your WordPress hosting company. They may be able to help you recover your account.
Admin
Ravi Kumar
My website is hacked, i did not able to open the admin panel it showing the error like “This site can’t be reached” any one help to fix this.
Rishabh Jain
You may have forgotten the password!
Adam
Usually happens when you use cheap hosting or leave Wordpress site out of date and unattended.
asifawan
thanks…its very very helpful for newbies.. thanks aloooooooot
vaishali
Hello.. My wordpress site has been hacked. I removing all ype of error and malicious code.but when I searched my site on googgle browser first index display some japaneses character
plz help me how to remove it…
Paul Prem
Recently my site was completely hacked. It was built in WordPress. Hackers took control over my website. They used to send spam bulk mails from the server. My account was suspended multiple times. Hosting provider told me that hackers were generating spam mails via some plugins. I was literally confused and no clue. I later changed username and password for admin, cpanel, mysql etc but they were still spending spams. After some research, i have given additional security and restrict access to files. Lets see how it works …….
G.P. Gautam
I switch my site to wordpress and after few days I saw a message – “Hacked by Mr.XaaD” when I search my website in search engines. What is that and how to solve it. At the moment I can’t see my website on search engines. But I can able to login my wp account, hosting a/c as well.
Timothy
Hi, my site just got hacked. I can’t login to my account at the moment and I don’t want to contact my hosting company because instead of helping, they are used to suspending accounts. Please what can I do because I can’t even afford paying for help right now.
ed williams
A lot of these articles seem to focus on fixing instead of preventing
I host my site at a managed hosting provider for this reason. Here is what a hosting provider can do to keep you safe:
Tom Horn
Google was showing my blog as potentially being hacked. I used Sucuri to clean up my site and Google removed this label. During all of this the page views to my site plummeted and I cannot seem to get them back to where they were. What is the best process to get your blog website traffic back to where it was?
Federico
Why do you never mention iPage? I’d appreciate your comments if any, please!
Thanks!
Kathy O'Dowd
Back Up Buddy sells products that don’t include telling your how to use them. Doesn’t that seem like a scam?
WPBeginner Support
BackupBuddy has extensive documentation available on their website.
Admin
Sourav Saha
But how to secure a WordPress site from SQL injection?