WordPress attaccato: come gestire la compromissione

Cosa fare (e non fare) dopo un attacco

20 marzo 2017
23 Condivisioni 2,055 Visualizzazioni

WordPress è un CMS opensource estremamente popolare e diffuso. Forse anche per questo è spesso oggetto delle attenzioni di malintenzionati. In questo articolo vedremo cosa fare quando troviamo il nostro WordPress attaccato. Tenteremo di circoscrivere l’attacco limitando i danni e procederemo al ripristino di WordPress.

Blocchiamo l’accesso dall’esterno

Come prima cosa, mettiamo in quarantena il sito bloccandone l’accesso dall’esterno. Dovremo naturalmente garantirci un accesso preferenziale in modo da poter operare sul sito. Esistono diverse possibili soluzioni per mettere in quarantena il sito, anche mediante l’uso di plugin. In questo articolo vedremo come farlo “alla vecchia maniera”, mediante un semplice file .htaccess. Questo metodo è estremamente efficace e consente di bloccare il traffico al sito anche qualora il backend non funzionasse.

Recuperiamo il nostro indirizzo IP accedendo ad esempio al sito mio-ip.it. Questo strumento ci mostrerà l’indirizzo IP pubblico con il quale siamo connessi ad internet. A questo punto dobbiamo solo modificare (o creare qualora non fosse presente) un file .htaccess con il seguente contenuto:

order deny,allow
deny from all
allow from 111.222.333.444

Dobbiamo naturalmente sostituire 111.222.333.444 con il nostro vero indirizzo IP. Questo codice, aggiunto al file .htaccess, bloccherà tutto il traffico verso il nostro sito salvo quello proveniente dall’IP indicato. Tale blocco eviterà che i nostri utenti vedano il nostro WordPress attaccato e i danni fatti. Al contempo, eviterà che l’hacker possa continuare a far danni.

Recuperiamo e mettiamo in sicurezza i log

Dopo un incidente aereo, gli investigatori si affrettano a recuperare le scatole nere per indagare sull’accaduto. Nel caso di un WordPress attaccato dovremo più o meno fare la stessa cosa. I log forniranno importanti indizi sulle vulnerabilità che hanno determinato la compromissione. Alcuni provider consentono di accedere ai log via FTP, altri mediante il pannello di controllo. Qualunque sia la modalità di accesso ai log, preoccupiamoci di scaricare localmente i file access.log ed error.log.

Analisi dei log

Se non abbiamo particolare fretta di ripristinare il nostro WordPress attaccato, possiamo perdere del tempo a tentare di comprendere cosa sia successo esattamente. In caso contrario, saltiamo questo paragrafo e procediamo con il ripristino di WordPress per poi tornare all’analisi “forense” più tardi.

Per l’analisi dei log useremo un tool gratuito (per volumi modesti) denominato Loggly. Esso nasce espressamente per la gestione dei log ed è molto pratico da usare. Ci consente di filtrare rapidamente i dati applicando uno o più filtri e limitare da un punto di vista temporale il periodo di osservazione. Nell’articolo “Analizzare i log di Apache con Loggly” troverai maggiori informazioni sull’analisi del log.

Ripristino di WordPress attraverso un backup

Disporre di un backup aggiornato è fondamentale per la sicurezza del nostro sito.

Prima di apportare variazioni o procedere al ripristino di WordPress, è buona norma effettuare un backup locale del sito. Il backup deve comprendere, oltre ai file e cartelle, anche il database MySQL associato alla nostra installazione WordPress.

Supponendo di avere un backup utile, la prima cosa da fare è procedere al suo ripristino avendo l’accortezza di cancellare lo spazio web prima di procedere. Conserviamo il file .htaccess precedentemente creato/modificato ed evitiamo di sovrascriverlo durante il ripristino. Se ciò dovesse accadere, modifichiamolo nuovamente.

Cambio delle credenziali

Procediamo alla modifica di tutte le password d’accesso. Le credenziali potrebbero infatti essere compromesse ed è buona norma procedere ad una loro sostituzione. Cambiamo anche le password per l’accesso FTP e al database MySQL. Dopo aver sostituito le credenziali d’accesso a MySQL, sarà necessario adeguare il file wp-config.php per consentire il funzionamento di WordPress.

Aggiornamento di WordPress e dei plugin

Aggiornare la piattaforma all’ultima versione disponibile riduce le probabilità di un nuovo attacco. Ogni nuova versione infatti, include bug fix e spesso risolve vulnerabilità nel frattempo scoperte. Controlliamo l’eventuale presenza di aggiornamenti anche per i plugin ed i temi installati. Rimuoviamo tutto ciò che non è necessario: vecchi plugin non utilizzati, temi installati ma inattivi, ecc.

Plugin di sicurezza

Esistono molti plugin per WordPress che ne migliorano la sicurezza. Tra i più noti ed utilizzati vi è certamente Wordfence: una sorta di firewall applicativo che aiuta a filtrare le richieste malevole riducendo la probabilità di attacchi. Il plugin consente inoltre di effettuare un security scanning per evidenziare l’eventuale presenza di vulnerabilità note.

Cosa fare se non abbiamo un backup

Non disporre di un backup può essere un grosso problema. Se la compromissione non è troppo grave, possiamo comunque effettuare un ripristino di WordPress manualmente. Dovremo tentare di identificare eventuali file malevoli caricati, anche avvalendoci dei log analizzati, e cancellarli.

reinstallazione wordpress

La funzione “reinstalla adesso” di WordPress può aiutare a ripristinare tutti i file originali del CMS. Eventuali modifiche apportate agli stessi saranno sovrascritte e bonificate. Naturalmente ciò vale solo per il core di WordPress e non per i plugin o il template.

Rimuovere il blocco .htaccess

Per ultimo, dopo aver fatto tutti gli step precedenti, rimuoviamo il blocco applicato al file .htaccess. Il sito tornerà online e chiunque potrà tornare a visitarlo. Riattivato il sito WordPress, è importante monitorare i log per identificare eventuali ulteriori criticità.

Articoli correlati

SSL gratuito con la CDN di CloudFlare
Guide
1 Condivisioni1282 Visualizzazioni
Guide
1 Condivisioni1282 Visualizzazioni

SSL gratuito con la CDN di CloudFlare

Alessio - Mar 20, 2017

CloudFlare è uno degli attori più importanti nel mondo delle CDN. Una CDN è una rete di server con copertura…

Come passare da http a https su WordPress
Guide
7 Condivisioni1,399 Visualizzazioni
Guide
7 Condivisioni1,399 Visualizzazioni

Come passare da http a https su WordPress

Alessio - Mar 18, 2017

Come abbiamo visto un un precedente articolo, con il rilascio delle recenti versioni di Google Chrome e Mozilla Firefox, la…

Perchè dovrei aprire un Blog? Facciamo chiarezza
Guide
1 Condivisioni1,174 Visualizzazioni
Guide
1 Condivisioni1,174 Visualizzazioni

Perchè dovrei aprire un Blog? Facciamo chiarezza

Daniele - Mar 05, 2017

Eccoci alla domanda delle domande che possiamo trovare nel web dal 2000 ad oggi. Ormai tutti hanno almeno una volta…