Plug-in fraudolenti in WordPress
I plug-in ti permettono di aggiungere e personalizzare le funzionalità di WordPress. WordPress mantiene un repository dei plug-in disponibili sul proprio sito a questo indirizzo. È comunque possibile installare dei plug-in non presenti in tale lista (ossia, non approvati da WordPress). Se decidi di farlo, ti esortiamo tuttavia a fare attenzione: i plug-in non ufficiali sono spesso progettati con intenti fraudolenti e possono danneggiare il tuo sito web e i suoi visitatori.
I plug-in dannosi possono anche influire sul tuo sito se un malintenzionato compromette il tuo account. Questi plug-in consentono al pirata informatico di accedere al tuo sito per caricare file dannosi o manometterne i contenuti.
Segnali di compromissione
È possibile rilevare i plug-in dannosi esaminando l'elenco dei plug-in installati nella schermata Admin di WordPress (maggiori informazioni).
Mentre esamini l’elenco, cerca tutto ciò che non hai installato personalmente o che non è stato installato con WordPress. Potrebbe inoltre essere necessario utilizzare la directory dei plug-in di WordPress (maggiori informazioni) o il motore di ricerca preferito per determinare se un plug-in è legittimo.
Oltre a rivedere i plug-in installati nella schermata Admin, ti consigliamo di controllare anche la directory /wp-content/plugins/
all'interno della struttura dei file del sito. È possibile farlo tramite FTP (maggiori informazioni) o tramite il pannello di controllo dell’account di hosting (maggiori informazioni).
Puoi trovare ulteriori segnali di compromissione in Che cosa succede se il mio sito è oggetto di attacco?.
Soluzioni
È necessario rimuovere tutte le directory dei plug-in dannosi (maggiori informazioni).
Se i plug-in dannosi non sono elencati nella schermata dei plug-in, rimuovi la directory dei plug-in dannosi tramite FTP (maggiori informazioni) o attraverso il pannello di controllo del tuo account di hosting (maggiori informazioni). Prima di eliminare qualsiasi elemento, ti consigliamo di eseguire un backup del sito web (maggiori informazioni).
Dovrai inoltre:
- Modificare la password Admin di WordPress (maggiori informazioni).
- Aggiornare tutti i plug-in alla versione più recente (maggiori informazioni).
- Esaminare tutti i contenuti per assicurarti che non contengano contenuti dannosi o eseguire preferibilmente il ripristino a una data precedente alla compromissione.