(+39) 349 5041016
Web

Sito hackerato che reindirizza su Erealitatea? Come risolvere.

Pubblicato il 16 Gennaio 2019, di Valerio Monti
Sito web hackerato

Se stai leggendo questo articolo probabilmente ti sei ritrovato con il tuo sito WordPress irraggiungibile o hai notato degli strani reindirizzamenti ad un sito sconosciuto erealitatea[.]net.

Probabilmente lo avrai già intuito da solo e non c’è bisogno che ti dica che il tuo sito è stato hackerato. Sappi che non sei da solo. Infatti, secondo un articolo di Sucuri, oltre 100.000 siti web hanno subito questo attacco.

Per fortuna, ripristinare il corretto funzionamento del sito è abbastanza semplice.

Il problema è stato causato da una vulnerabilità del plugin WP GDPR Compliance presente nella versione 1.4.2 e precedenti.

WP GDPR Compliance è uno dei plugin più conosciuti, creati con lo scopo di aiutare i proprietari dei siti web a mettersi in regola con il nuovo regolamento europeo generale sulla protezione dei dati personali.

Questa vulnerabilità consente a chi attacca il sito di apportare modifiche al database.

Dalla versione 1.4.3 del plugin gli sviluppatori hanno risolto il problema che ovviamente continua a sussistere per i siti web che non hanno ancora installato l’aggiornamento.

Come essere sicuro che il tuo sito web sia stato colpito?

Se utilizzi Chrome vai sul sito e premi sulla tastiera ctrl + U (se sei su windows) oppure cmd + alt +U (se sei su Mac).

A questo punto si aprirà il codice sorgente della pagina.

Se il tuo sito è stato colpito noterai che gli url delle risorse, come le immagini, i css e i js, puntano tutti a Erealitatea. Prova a effettuare una ricerca (ctrl + F / cmd + F) del nome “erealitatea” nel codice sorgente.

Dato che quel sito è al momento down, i siti infettati impiegheranno davvero molto tempo per caricare le pagine e una volta caricate saranno corrotte e non fruibili correttamente.

Come risolvere

Attenzione: Ti consiglio di seguire questi passaggi SOLO se sei esperto oppure con l’ausilio di un professionista.

Per risolvere il problema bisogna ripristinare l’opzione “siteurl” di WordPress.

Semplificando, questa è l’opzione che permette al cms di conoscere in ogni istante qual è l’indirizzo principale del sito web corrente e di costruire di conseguenza i permalink di tutto il sito.

Per prima cosa accedi al database ed effettua un dump in modo da non incorrere in problemi se dovessi commettere qualche errore.

Individua la tabella delle opzioni. Spesso si chiama “wp_options” ma se il tuo wordpress utilizza dei prefissi personalizzati potrebbe avere un nome diverso, del tio “prefisso_options”.

Poi lancia la seguente query, sostituendo ovviamente la dicitura URL_SITO_WEB con l’indirizzo del tuo sito (Ad esempio per questo sito l’url da inserire sarà https://www.vmweb.it.):

UPDATE wp_options SET option_value = 'URL_SITO_WEB' WHERE option_name = 'siteurl';

Una volta fatto, prova ad accedere al pannello wp-admin e vai su Impostazioni -> Generali.

Controlla che le voci “Indirizzo WordPress” e “Indirizzo sito” siano entrambe impostate con l’url del tuo sito web.

Fatto questo, prova ad accedere al frontend del sito web. Se vedi che tutto è tornato alla normalità, hai quasi terminato.

Prima di cantare vittoria, accedi alla sezione utenti del wp-admin e verifica che nella lista non ci siano utenti sospetti con permessi di amministratore. Se ci sono rimuovili.

Come ultima verifica vai nella root del progetto (collegandoti in ftp o ssh) e verifica che non sia presente un file “wp-cache.php” contenente del codice malevolo.

Sito bucato
Fonte: blog.sucuri.net

Se è presente eliminalo.

Ora il sito è stato ripulito e il prossimo passo è eliminare la vulnerabilità altrimenti il sito verrebbe di nuovo bucato nel giro di poco tempo.

Quindi aggiorna il plugin incriminato e modifica le credenziali del database.

Consigli per prevenire gli attacchi e mettere in sicurezza il sito

Per evitare intrusioni di questo tipo sul tuo sito web puoi seguire questi semplici consigli:

  • Aggiorna costantemente il cms WordPress;
  • Aggiorna costantemente i plugin;
  • Utilizza password complesse;
  • Se non lo hai ancora fatto, imposta dei backup periodici, sia per il database che per i file;
  • Utilizza un plugin WordPress per la sicurezza (es. iTheme Security).

Queste sono solo alcune delle buone abitudini da prendere  per mantenere un sito web sicuro. In futuro approfondiremo il tema sicurezza su WordPress con ulteriori articoli più dettagliati.

Se hai bisogno di una consulenza per mettere al sicuro il tuo sito oppure per ripristinarlo dopo un attacco, contattaci e ti forniremo tutto l’aiuto di cui hai bisogno.

Avatar

Valerio Monti

Sono uno sviluppatore web, mi occupo di SEO e aiuto i miei clienti a portare la propria attività su internet fornendo loro gli strumenti necessari per curare l'immagine aziendale.