Nella prima parte di questo articolo (https://lnx.instantwebsites.it/iwblog/?p=1851) abbiamo visto quali misure adottare per evitare che un attacco di hacker abbia successo ed infetti la nostra installazione di WordPress e come accorgersi se un attacco sia andato a buon fine.

Notare che non si sta neppure prendendo in considerazione l’ipotesi che i pirati informatici possano ignorare il nostro sito: è sufficiente installare un plugin di firewall che abbia un log dei tentativi di intrusione per verificare che praticamente il 100% delle installazioni vengano prese di mira. Questo perché gli attacchi sono portati da bot automatizzati che scandagliano la Rete in modo sistematico e le possibilità di sfuggire alle loro sgradite attenzioni sono prossime allo zero.

In questa seconda parte vediamo quali sono gli interventi che permettono di ripristinare l’installazione, tenendo presente una premessa fondamentale: se il fornitore del servizio di hosting/MySQL non ha implementato misure di protezione adeguate a monte, non c’è misura lato utente che tenga e presto o tardi il problema si ripresenterà. Se esiste anche solo il dubbio che questo sia lo scenario, la prima misura da adottare è cambiare maintainer o quantomeno il fornitore dei suddetti servizi.

Chi scrive, ha sperimentato l’esperienza sgradevole (eufemismo) di trovare hackerati tutti i siti WordPress appoggiati presso un certo fornitore e, nel contempo, nessuno di quelli presso altri fornitori. Oltretutto, sentendo negare qualsiasi tipo di coinvolgimento – involontario perché causato da imperizia tecnica, ma pur sempre coinvolgimento – dall’assistenza del fornitore stesso.
Naturalmente quella ditta oggi è un ex-fornitore e solo la prospettiva di conseguenze legali mi impedisce di farne il nome ma è sufficiente una ricerca mirata su Internet per scoprire di chi si tratta.

Vediamo dunque, punto per punto, cosa fare:

1. eliminare gli utenti fasulli creati dal bot (tipicamente, amministratori con nome utente del tipo admin, backup, user).
2. svuotare le cartelle wp-admin, wp-includes, wp-content/themes, wp-content/plugins e i files di WP nella root ricaricando delle versioni sicuramente pulite.
   NON procedere alla sovrascrittura: cancellarle e ricaricarle.
   Qualora non si disponga delle copie di WP e/o dei plugins, ricorrere al repository ufficiale sul sito wordpress.org dove per la maggior parte dei plugins sono disponibili i vari rilasci.
3. ricaricare tutti i files con estensione .php perché con ogni probabilità saranno stati a loro volta infettati (ad es. i files index.php pubblicati nelle cartelle di immagini, documenti ecc. per prevenire la visualizzazione del loro contenuto).
4. controllare la cartella wp-content/uploads e le sottocartelle perché è molto probabile che saranno stati scritti dal virus dei files con estensione .php da cancellare.
5. procedere agli aggiornamenti necessari del pacchetto di base e dei plugins. Rimuovere/sostituire i plugins che non sono più stati aggiornati da molto tempo e quelli di fattura discutibile (è sufficiente leggere i commenti e le richieste di assistenza nella pagina del plugin sul repository per individuare quelli a rischio).
6. qualora non fosse presente, installare un valido plugin di firewall.
7. cambiare username (cioè, di fatto, creare un nuovo utente) e password degli amministratori soprattutto se l’uno e/o l’altro sono di facile individuazione (NIENTE utenti con nome admin o il nome del sito e niente password del tipo 1234 o password per carità!!!).
8. segnalare l’accaduto al fornitore di servizio suggerendo o richiedendo una scansione dei database.

Alcuni suggeriscono di non procedere ad una semplice riscrittura dei files di WordPress bensì ad una vera e propria reinstallazione.
Una misura così drastica, nell’esperienza di chi scrive, non si è mai rivelata necessaria.

Così come ben difficilmente è il cambio delle password di FTP, MySQL, back-end di WordPress ad incrementare la sicurezza – a meno che siano come detto sopra immediate da indovinare.

Un suggerimento importante è invece questo: munitevi di un software antivirus valido, in grado di individuare i file infettati nella cartella del sito sulla vostra macchina.
Ciò semplificherà la successiva pulizia qualora vi fosse sfuggito qualcosa, pur essendo vero che singoli “frammenti” dell’infezione non saranno in grado di fare danni.
Un software di questo tipo non è necessariamente gratuito ma il costo annuale costituisce un investimento opportuno per chi utilizzi il PC per motivi professionali e non solo per passatempo.