E’ notizia di poco tempo fa che l’attacco al sito dello studio Mossack Fonseca, che ha dato il via allo scandalo dei Panama Papers sia stata causata dal mancato aggiornamento di WordPress e Drupal sul sito web della società, che ha permesso a dei pirati informatici molto scaltri di trafugare documenti sui conti e le società segrete dei personaggi più potenti al mondo.
D’altronde, il nostro amato WordPress ha una fetta di mercato di circa il 60% dei siti gestiti tramite un CMS, ed un sito su 4 in tutto il web utilizza questa piattaforma; tutto ciò fa di WordPress un bersaglio molto gettonato dai pirati informatici.
Anche se sul tuo sito web non conservi documenti segreti come la Mossack Fonseca, è molto probabile che il tuo blog, prima o poi, venga preso di mira da malintenzionati, con danni più o meno gravi.
A me personalmente non è ancora accaduto, né sui miei siti personali, né su quelli che gestisco per conto terzi, ma dato che non posseggo (ancora) l’infallibilità 😀 metto sempre in preventivo un possibile attacco informatico ai miei danni.
Pertanto, prendendo spunto da un articolo del Professor Benjamin su ithemes.com ho stilato una serie di passi da effettuare nel momento in cui ti accorgi di essere stato preso di mira dai pirati informatici.
Passo 0: prevenire è meglio che curare!
Queste che ti dico sono azioni da eseguire prima che il tuo sito venga attaccato, anzi, se non le hai già fatte ti consiglio calorosamente di interrompere la lettura di questo articolo e farle adesso!
- Fai un backup completo (file + database) di tutto il tuo sito web e, se puoi, conservalo offline su un DVD o una chiavetta USB. Altrimenti, se il tuo fornitore di hosting ha questa opzione, attiva i backup periodici.
- Assicurati di avere più canali diversi per raggiungere il tuo spazio web (es. FTP, SSH, contatto diretto col tuo provider, etc.).
- Mantieni sempre aggiornati alle ultime versioni sia il core di WordPress che tutti i plugin ed i temi installati: molti degli attacchi vanno a buon fine proprio perché i webmaster si dimenticano di effettuare gli aggiornamenti di sicurezza.
Passo 1: mantieni la calma.
Nel momento in cui provi ad accedere al tuo sito e scopri che qualcuno ti ha cambiato la password perché è riuscito ad accedervi e a guadagnare i permessi di amministrazione, potresti perdere il controllo e fare cose dettate dalla rabbia e dall’agitazione.
Si narra di blogger che presi dall’ira e dallo sconforto hanno cancellato tutti i file del loro spazio web, salvo poi accorgersi subito dopo che hanno irrimediabilmente cancellato anche tutti i backup :O
O di altri che hanno completamente cancellato il sito e ripristinato tutto da un vecchio backup quando sarebbe bastato solo cancellare un file con un nome un po’ strano contenente una backdoor.
Perciò, se ti accorgi che il tuo sito è stato attaccato, vai a far bollire l’acqua, preparati una tisana rilassante, e dopo averla bevuta tutta continua a leggere il post 😉
Passo 2: contatta l’azienda di hosting.
La prima cosa da fare è segnalare il fatto all’azienda che ti fornisce l’hosting, via mail o, ancora meglio, telefonando al numero dell’assistenza clienti. E’ molto probabile che siano già a conoscenza di quanto accaduto, e se non lo sono, possono attivare le persone che si occupano della sicurezza informatica, al fine di aggiornare i sistemi e cercare di rintracciare i responsabili del misfatto.
Passo 3: cambia tutte le password.
In particolare:
- la password del tuo account di hosting
- le password di tutti gli utenti WordPress
- le password di tutti gli account FTP
- le password di tutti gli account SSH
- la password del tuo account sul Registrar (l’azienda che controlla il nome di dominio collegato al tuo sito WordPress, se diversa da quella di web hosting)
- la password di tutte le caselle e-mail collegate al sito
- le password di MySQL
Passo 4: cambia le chiavi Salt.
Nel file wp-config.php c’è un pezzo di codice dove sono definite le “Chiavi Univoche di Autenticazione e di Salatura”, dette anche Salt, che ti consiglio di cambiare. Infatti, non appena le avrai cambiate, tutti gli utenti loggati nel tuo sito verranno automaticamente buttati fuori e non potranno più rientrare, visto che hai cambiato tutte le password nel passo precedente… lo hai fatto, vero? 😉
So che sembra scortese, ma in momenti come questi meno gente gira sul tuo sito e meglio è.
Pirati informatici compresi.
E soprattutto loro.
Per ottenere un nuovo pezzo di codice Salt, visita la relativa pagina delle API di WordPress.
Passo 5: ripristina il backup dei file e del database.
Sia che tu hai la tua copia del backup, sia che utilizzi il servizio di backup offerto dall’azienda di hosting, è ora di ripristinarlo e riportare tutto ad una versione non attaccata del sito.
Prima però, con molta attenzione, è meglio cancellare tutti i file, perché i pirati informatici potrebbero aver creato dei file contenenti backdoor, con un nome strano, che non vengono sovrascritti quando ripristini il backup.
Passo 6: aggiorna WordPress, Plugin e Temi.
Nel momento in cui ripristini il backup, è possibile che il core di WordPress, o qualche tema o plugin installato, non sia aggiornato all’ultima versione. Questa eventualità è abbastanza rara, specialmente se fai i backup con una buona frequenza, ma è sempre meglio andare a controllare nella pagina degli aggiornamenti di WordPress ed portare tutto alla versione più aggiornata.
Passo 7: cambia di nuovo tutte le password e poi le chiavi Salt.
E’ possibile che, pur avendo cambiato tutte le password, qualcuno sia riuscito ad introdursi nuovamente nel tuo sito, perciò è bene cambiare di nuovo tutte le password degli utenti di WordPress (specialmente degli amministratori) e poi tutte le chiavi Salt, come già detto nel Passo 4.
Passo 8: fai un nuovo backup completo di file e database.
Ora che funziona (di nuovo) tutto, fai un altro backup completo di tutti i file e di tutte le tabelle del database, per poter ripartire da qui in caso di un nuovo attacco. E ti consiglio di farlo con una certa frequenza (almeno 2-3 volte al mese) per poter salvare tutto quello che pubblichi sul tuo sito e tutti gli aggiornamenti di WordPress, dei temi e dei plugin.
Bene, ora il sito è di nuovo in piedi, hai creato il backup di sicurezza, e puoi tirare un sospiro di sollievo. Ma mi raccomando… stai sempre all’erta! I pirati informatici non dormono mai! Tu hai mai avuto esperienze di hacking? Come hai reagito e come le hai risolte? Condividi con noi la tua esperienza scrivendola nei commenti qui sotto.
E se questo articolo è stato di tuo gradimento, condividilo sui tuoi profili social, grazie!