Crea sito

Come verificare se il tuo blog wordpress ospita malware

Il tuo cms è sempre aggiornato all’ultima versione, così come i plugin. La password di amministrazione sembra un geroglifico egizio e la custodisci gelosamente.

Pensi di essere protetto ed al sicuro, ed invece improvvisamente sei avvertito che il tuo sito è stato infettato da malware.

Il malware lavora silenzioso e nascosto e nel normale uso del blog, non è possibile accorgersi di essere stati infettati.

Eseguire un controllo automatizzato con appositi plugin è utile, ma da solo non basta.

Per blog costruiti con wordpress è molto efficace il plugin Wordfence. Questo software confronta i files installati con quelli del repositary ufficiale del software.

In presenza di una differenza tra i files lancia l’allarme, che però può anche essere un falso positivo in presenza di personalizzazioni del webmaster.

Wordfence ha anche altre utili funzioni, come l’invio di una email ogni volta che qualcuno si logga con le credenziali di amministratore, ma da solo non è sufficente, visto che controlla solo i file conosciuti di WordPress.

Una scansione antimalware su tutti i files del sito può essere eseguita con SiteGuardian, ed anche se è molto efficace ed ha una scansione euristica, non può essere infallibile al 100%.

Il passo ulteriore è un controllo periodico manuale sui propri files.

Come riconoscere se i propri files sono stati corrotti ?

Scaricando il proprio sito in locale e lanciando qualche ricerca.

Si può controllare per esempio la presenza di files .php dove normalmente non ce ne dovrebbero essere.

Tipicamente nelle cartelle di upload delle immagini, specialmente se si lascia la libertà agli utenti di caricare le proprio foto nei commenti, è dove si annida facilmente il codice malware. La presenza di files .php in questa directory è sintomo di infezione.

Un’altro utile accorgimento è  cercare nel contenuto dei file la parola eval … Eval è un’istruzione di molti linguaggi di programmazione deprecata, perchè molto pericolosa permettendo l’esecuzione di codice PHP arbitrario e nascosto.

Se si trova l’utilizzo della funzione eval tra i propri files, verificare se effettivamente fa parte del codice, o se più probabilmente i files sono stati modificati con del codice malware.

A volte il malware è poco nascosto ad occhi attenti, visto che vengono aggiunte intere cartelle per ospitarne il codice. Verificare che la struttura delle directory non ospiti qualche nuova cartella.

Un altro aiuto per verificare se il nostro sito non abbia ospiti indesiderati sono le statistiche.  Se normalmente le verifichiamo con l’occhio attento al numero di accessi, bisogna anche verificare a cosa accedono.  Con un controllo delle url di accesso si potrebbe scoprire che gli utenti, spesso da IP stranieri, accedono a delle pagine che non dovrebbero far parte del nostro sito.

In questi casi non basta cancellare il codice o le pagine create dal malware. Da qualche parte del nostro cms potrebbe esserci una semplice, piccola, riga di istruzione che subito le ricarica sul nostro server. Occorre procedere ad una installazione pulita del sito.