Non tutti gli hacking a un sito hanno il medesimo risultato e il medesimo scopo; vediamo in questo articolo sette segni da tenere d’occhio, alcuni evidenti, altri meno, che possono farti capire di essere davanti a un sito WordPress Hackerato.
CAMBIAMENTI NELLA HOME PAGE
A volte il primo obiettivo di un hacker è trollare il sito, in questo caso il risultato dell’hacking sarà “semplicemente” un cambiamento nella tua homepage (defacing) magari con qualcosa che l’attaccante reputa divertente.
CALO DELLE PERFORMANCE DEL SITO
Il tuo sito WordPress Hackerato potrebbe soffrire di un drastico calo della velocità di caricamento perchè è sottoposto a un attacco brute force oppure perchè è stato installato uno script malevolo che usa le risorse assegnate dal server per fare cryptomining.
Un sito WordPress può diventare estremamente lento anche in caso di attacco DDOS (Denial Of Service), ovvero quando un certo numero di macchine fanno un gran numero di request in contemporanea, arrivando fino all’irraggiungibilità completa del sito; per proteggersi da questo tipo di attacchi è bene installare un WAF (Web Application Firewall).
A parte tutto, comunque, tieni conto che non necessariamente un calo delle prestazioni è indice di un attacco, potrebbe anche essere semplicemente che il tuo sito WordPress vada velocizzato
POPUP PUBBLICITARI INGANNEVOLI
Potrebbe anche essere che, il tuo sito sia stato compromesso da un “attacco popup”, in questo caso, il tuo visitatore vedrà dei popup pubblicitari e ingannevoli che hanno il solo scopo di reindirizzarlo verso qualche destinazione maligna.
Questo tipo di attacco potrebbe passare inosservato ai tuoi occhi se usi un AdBlocker e se (come spesso accade) è stato settato per non mostrare i popup ai visitatori loggati, proprio per minimizzarne la rilevabilità da parte degli amministratori del sito web.
Di sicuro è una buona idea, ogni tanto, visitare il tuo sito senza alcun AdBlocker e in modalità navigazione incognito per sincerarti che tutto sia ok.
DECREMENTO DEL TRAFFICO
Potrebbe essere che, essendo il tuo sito WordPress hackerato, Google abbia applicato qualche forma di penalizzazione e quindi il tuo sito sia scomparso dalle SERP: puoi accorgerti di questo utilizzando Google Analytics e la Google Search Console.
In ogni caso, se sei correttamente registrato a questi strumenti, dovresti ricevere degli alert via mail per avvertirti del problema.
CAMBIAMENTO O AGGIUNTA DI ALCUNI FILE
Se nel tuo sito vengono modificati, aggiunti o rimossi dei file, questo potrebbe essere un segno di infezione.
Tra i vari plugins che si occupano di monitorare questi cambiamenti, voglio segnalare All in One WP Security And Firewall; questo plugin può essere settato per mandarti una email ogni volta che avviene un cambiamento inaspettato a livello di File.
Ovviamente in caso ricevessi una mail di questo tipo, è bene indagare da subito.
COMPARSA INASPETTATA DI NUOVI UTENTI
In molti casi, addirittura di utenti con ruolo di administrator.
Questo evento ti segnala in modo certo che il tuo sito Wordpres è hackerato: in questo modo, l’attaccante, se riesce a creare un nuovo utente e a diventare amministratore, può oltre ad avere una comoda backdoor da riutilizzare quando gli serve, anche avere maggiori possibilità di fare danni al sito.
In un caso come questo puoi rivolgerti a un esperto per la pulizia del tuo sito oppure, se è disponibile, ripristinare un backup precedente all’infezione.
RIMOZIONE DEGLI UTENTI ADMINISTRATOR
Se improvvisamente non riesci più ad accedere al tuo sito WordPress e la procedura di recupero della password non funziona, questo è un chiarissimo segnale di infezione.
SITO WORDPRESS HACKERATO? UNA CHECKLIST
Per riassumere rivediamo quindi la checklist da spuntare per verificare la possibilità di un sito WordPress hackerato:
- Cambiamento homepage
- Calo della velocità
- Popup pubblicitari ingannevoli
- Decremento del traffico
- Cambiamento o aggiunta di alcuni file
- Comparsa inaspettata di utenti
- Rimozione di utenti administrator