Compromissioni WordPress Contenuto spam

Abbiamo rilevato la compromissione di alcuni siti WordPress. Tramite essa, i malintenzionati sono in grado di accedere a WordPress con privilegi amministrativi e caricare dei file sul relativo account di hosting. Tali file vengono quindi utilizzati per introdurre contenuti spam nel tema e/o nel database di WordPress, creando dei link nascosti a siti fraudolenti.

Maggiori informazioni sui casi di compromissione e su come affrontarli sono disponibili su Che cosa succede se il mio sito è oggetto di attacco?.

Segnali di compromissione

Poiché crea dei link nascosti, la compromissione non è visibile sul sito. Il modo migliore per stabilire se il tuo sito è stato compromesso è quello di visualizzare il codice sorgente della home page. Per evitare di aprire la home page infetta, ti consigliamo di utilizzare Google® Chrome o Firefox® e visitare il sito view-source:http://[nome del tuo dominio].

In questa finestra, è possibile cercare il codice sorgente per frodi online comuni, come pubblicità farmaceutiche od offerte di prestito. Prova a cercare i seguenti termini comuni:

  • payday
  • pharma
  • viagra
  • cialis

Soluzioni

Il modo più semplice per rimuovere questi elementi consiste nel ripristinare i contenuti e il database del sito web da una versione di ripristino sicuramente integra.

Se non disponi di una versione di backup della cui integrità sei certo, potrai rimuovere i contenuti manualmente. Tali contenuti hanno di norma due ubicazioni comuni: l'intestazione del tema o il database WordPress.

Modifica del tema

È possibile accedere e modificare il tema WordPress direttamente tramite il pannello di controllo Admin di WordPress. Se disponi di un backup del tema, potrai reinstallarlo semplicemente attraverso il menu Appearance (Aspetto).

In caso contrario, potrai visualizzare direttamente il codice dei tuoi file. Per informazioni su come modificare i file tramite WordPress, consulta la documentazione WordPress.org disponibile qui.

Da qui, potrai rimuovere tutti i link rilevati.

Pulizia del database

Se gli autori di attacchi inseriscono dei link fraudolenti nel database, questi vengono generalmente inseriti al contrario per evitare che vengano rilevati (ad esempio "knil" anziché "link"). È possibile cercare termini simili nel database.

Prima di apportare delle modifiche al database, ti consigliamo di creare un backup (maggiori informazioni).

È possibile effettuare manualmente delle ricerche nelle tabelle del database utilizzando la scheda Search (Cerca) dell'interfaccia phpMyAdmin (maggiori informazioni).

È inoltre possibile eseguire la seguente query del database dalla scheda SQL in phpMyAdmin:

SELECT *
FROM “wp_options”
WHERE option_value LIKE '%>vid/<%'

Questa query seleziona ogni elemento della tabella wp_options che contiene un marcatore HTML div backwards. I risultati visualizzati saranno simili ai seguenti:

risultati della query

È possibile rivedere i contenuti in dettaglio facendo clic sull'icona a forma di matita. In tal modo si avrà una visione più ampia del contenuto della riga. Da qui, sarà possibile modificare i contenuti direttamente per rimuovere gli eventuali elementi di testo fraudolenti. Dopo avere apportato le modifiche necessarie, fai clic su Go back to the previous page (Torna alla pagina precedente) per salvarle. Se l’intero contenuto sembra essere fraudolento, fai clic su Go back to the previous page (Torna alla pagina precedente), quindi fai clic sull'icona X rossa per rimuovere la voce.

result details

Ulteriori file compromessi

Dopo aver pulito il tema e/o il database, è necessario rivedere i file contenuti nel proprio account hosting per assicurarsi che siano validi. Compromissioni simili presentano in genere diversi file associati:

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

Sebbene questi nomi possano sembrare validi, i file potrebbero non essere legittimi. È possibile stabilire quali file sono legittimi visualizzando il codice del file o confrontando la data di modifica con altri file presenti nella stessa directory.

Ti consigliamo di rimuovere o rinominare (e quindi disabilitare) tutti i file apparentemente fraudolenti.

Informazioni tecniche

Code Sample

MD5Riepilogo di alcuni file fraudolenti noti

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

Questo articolo è stato di aiuto?
Grazie per il tuo feedback. Per parlare con un addetto dell’assistenza clienti, usa il numero di telefono o l’opzione chat qui sopra.
Felici di esserti stati di aiuto! C'è altro che possiamo fare per te?
Ci dispiace. Dicci che cosa hai trovato di poco chiaro o perché la soluzione non ha risolto il problema.