Attacco Hacker su WordPress, Sbagliato! Attacco Cracker su WordPress vorreste dire!

Attacco Hacker su WordPress – Ciao a tutti, oggi ci sentiamo ispirati e vorremmo parlare di un episodio accaduto giusto 24 ore fà ad un nostro cliente a cui abbiamo dovuto sbrogliare la situazione dopo attacco Cracker su piattaforma WordPress.

Per ovvi motivi lascierò privato il nome del Dominio in questione, ma cercheremo di fornirvi tutti i dati per conoscere questo tipo di attacco e cercare di mettere al riparo il vostro sito WordPress.

Passiamo subito al Core del racconto! dopo aver scansionato ogni singolo file del WP installato, del tema grafico utilizzato, dei Plugins, del WP-Config e dell’ .Htaccess abbiamo finalmente scovato l’infezione…

l’Attacco Hacker su WordPress.

Nella cartella WP-ADMIN c’erano 2 file in PHP chiamati Mailaa.php e Option-user.php,
Nella Cartella WP-CONTENT/THEMES/NOMETEMA/CACHE/3 file  XXXXXXXX.php

I File Mailaa.php e Option-user.php contenevano codice altamente malevolo 🙂 classificato come PISHING dai nostri  Tool per la sicurezza.

Cosa Abbiamo Fatto – Cura

Inanzi tutto quando si ha a che fare con un CMS le regole principali per operare sono:

BUCK UP DATABASE (ultima disponibile)
BUCK UP PIATTAFORMA WP (prima dell’infezione)

Una volta assicurati i dati del DB e WP possiamo iniziare la fase operativa e importare in locale tutti e dico tutti i dati presenti sul Server Web dove è “hostato il Sito”.

Finita l’operazione di Download (durerà un pò se le cartelle uploads contengono molte img) in un ambiente sicuro al 100% (un sistema operativo Linux sarebbe perfetto) passeremo alla Scansione, della cartella generale, con software Antivirus, Antispam, Malware presenti sulla Computer.

Con la scansione degli elementi attraverso software di questo genere potrà già darvi scovarvi il codice malevolo insidiato nei file Js, nei PHP, nel database…ma attenzione! Non basta! Un attacco Cracker può essere fatto in diversi modi:

>> 15 Tipologie di Attacco Cracker <<

Spiegazione Estrapolata da hackerstribe.com

1. Keylogging e Spyware: Malware progettato specificatamente per raccogliere,monitorare e registrare di nascosto le azioni di un utente di sistema.

2. Backdoor: Strumenti progettati per funzionare in modo nascosto che forniscono accesso remoto o garantiscono il controllo (o entrambe le cose) a sistemi infettati.

3. SQL injection: Tecnica d’attacco utilizzata per sfruttare il modo in cui le pagine web comunicano con i database backend.

4. Abuso di accesso a sistema/privilegi: Abuso di accesso a sistema/privilegi. Abuso deliberato e dannoso di risorse, accesso o privilegi concessi dall’organizzazione ad un singolo.

5. Accesso non autorizzato tramite credenziali di default: Casi in cui un intruso accede al sistema o a una periferica protetta tramite password e username standard preconfigurati (noti a molti).

6. Violazione di utilizzo accettabile e altre policy: Mancato rispetto accidentale o voluto della policy di utilizzo accettabile.

7. Accesso non autorizzato tramite liste di controllo degli accessi (ACL – Access control list) deboli o mal configurate: Gli intrusi possono avere accesso a risorse ed eseguire azioni non volute dalla vittima.

8. Packet Sniffer: Software utilizzato per controllare e catturare i dati che attraversano la rete.

9. Accesso non autorizzato tramite credenziali rubate: Casi in cui un intruso accede ad un sistema protetto o ad una periferica utilizzando credenziali valide ma rubate.

10. Pretexting o Social Engeneering: Tecnica di social engeneering in cui l’intruso inventa uno scenario per ingannare la vittima al fine di farle fare una determinata azione.

11. Bypass dell’autenticazione: Sistema di aggirare la normale procedura di autenticazione neccessaria per accedere ad un sistema.

12. Furto fisico di risorse: Rubare fisicamente un bene.

13. Attacco tramite i programmi “brute-force”: Processo automatizzato di ripetizione di combinazioni di username/password possibili fino a trovarne una corretta.

14. RAM scraper: Forma piuttosto nuova di malware progettato per catturare dati da una memoria volatile (RAM) all’interno di un sistema.

Torniamo a noi! individuati i 5 file malevoli in Locale (2 in WP-ADMIN e 3 in WP-CONTENT/THEMES/NOMETEMA/CACHE/) li abbiamo eliminati manualmente (senza l’aiuto degli antivirus) e ci siamo assicurati che tutti i file PHP del Tema in uso (maggiormente esposto agli attacchi) fossero corretti e nessun altro script maligno fosse presente.

Lo stesso procedimento è stato effettuato su tutto il motore WordPress con una particolare focalizzazione sui file

WP-CONFIG.PHP (che contiene tutte le informazioni sensibili)
.HTACCESS

PREVENZIONE

Come si mette in sicurezza WordPress? quali precauzioni fondamentali devo mettere in pratica per rendere WordPress + sicuro per me e i miei navigatori? questo ti starai sicuramente chiedendo…

Ecco delle regole di vitale importanza da applicare al vostro WordPress per stare un pò più tranquilli.

Si, un pò più tranquilli non completamente tranquilli, perchè in realtà nessuno può offrirvi una sicurezza totale al 100%…una volta in rete siete o sarete espugnabili, certo è che con una maggiore protezione potete allungare i tempi di “Crackeraggio”

PUNTO 1 – La Base

1 – Il Vostro WordPress dovrà essere sempre aggiornato!

2 – Le vostre password di accesso sicure (caratteri-numeri) e periodicamente cambiate

3 – La vostra mail di Login dovrà essere una mail sicura e sconosciuta

4 – Il Vostro Computer dovrà essere pulito (nessun Virus)

5 – I Plugin Installati dovranno essere sempre aggiornati e scrupolosamente selezionati

6 – Il Database del vostro Wp dovrà auto-effettuare dei buck up periodici

7 – Idem Piattaforma WP (completa)

8 – Il Codice del Tema Grafico dovrà essere pulito e all’ultima versione di rilascio

 

PUNTO 2 – Mettiamo al Sicuro WordPress

1 – Password Efficace FTP (periodicamente cambiate)

2 – Cambia la porta standard di accesso all’ftp (periodicamente)

3 – Assicurati che i tuoi dati di accesso allo spazio web siano al sicuro (buckup in locale)

4 – IL FILE .HTACCESS usiamolo correttamente (molto importante)

In un file .htaccess possiamo definire moltissime operazioni, in questo articolo vedremo come impostarlo per aiutarci a rendere sicura la piattaforma WordPress.

Inserite nel vostro .htaccess queste righe per negare l’accesso al wp-config.php

<Files wp-config.php>
 order allow,deny
 deny from all
 </Files>

Non lasciar scorrazzare Cracker nelle tue cartelle di WP, inserisci questo nel tuo .htaccess

# disabilita la navigazione nelle cartelle
 Options All –Indexes

Ancora più sicuri inserendo nell’.htaccess il Permesso di accesso all’amministrazione solo dal tuo indirizzo IP

# accesso admin solo per il mio indirizzo ip
 order deny,allow
 allow from MY IP ADDRESS (sostituite alla scritta in maiuscolo il vostro indirizzo IP)
 deny from all

5 – Evitiamo di mostrare la versione di WordPress togliendo il Metatag Generator dalle pagine

Inserite questo seguente codice nel File function.php del vostro tema WordPress…molto più sicuro del remove_action(‘wp_head’, ‘wp_generator’);

Inserite, come dicevo prima, nel vostro function.php questo codice tra <?php?>

remove_action('wp_head', 'wp_generator');

// Remove Windows Live Writer link in header
// Do Not do this if you use it
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'rsd_link');

// Remove WP version info
function hide_wp_vers()
{
 return '';
} // end hide_wp_vers function

add_filter('the_generator','hide_wp_vers');

 

6 – Togliete dalla root principale del sito WordPress i file leggimi.txt e readme.html o l’operazione precedente sarà vanificata. Infatti questi file contengono la versione di rilascio installata sul Server.

Quì bisognerebbe soffermar si un attimino su, non vorremmo ricevere critiche per aver scritto di togliere il metà di WordPress. Questa operazione aimé è necessaria ai fini di sicurezza perchè nasconde la versione di WordPress e non il fatto che è stato generato con WP. Una volta tolto il meta generator si può sempre mettere un back link a wp da qualche parte 😉

7 – Cambia il Prefisso delle tabelle WordPress

Di default WP nomina il prefisso delle tabelle del database in Wp_ quindi entrate sul file wp-config e cercate la riga

$table_prefix  = 'wp_';

nel campo ‘wp_’ modificate “wp” che è il prefisso di default in ciò che volete esempio (colors_ o db o 123) numeri, lettere e underscore.

8 – Definisci le Secret Key nel tuo WP-CONFIG

Genera WordPress Secret Key

Sostituisci i campi define presenti nel wp-config.php con quelli generati dal tool WordPress e salva.

9 – Cancella il File install.php che si trova in wp-admin/install.php della tua piattaforma WordPress

10 – Utilizza sempre Strumenti per Webmaster di Google / Bing / Yahoo, Google Analytics e Risorse per Webmaster dedicate alla protezione come Norton Safe Web, unmaskparasites.com o urlvoid.com

11 – Considerazioni e Consigli

Ciò che abbiamo scritto nel post di oggi non è assolutamente il massimo dell’Ottimizzazione di sicurezza per WordPress e cogliamo l’occasione per ribadire che quanto abbiamo scritto non è applicabile al 100% su tutte le piattaforme WP, quindi ATTENZIONE! se intendete operare sulla vostra piattaforma FATE SEMPRE IL BUCK UP PRIMA!

Nonostante questo post non sia la soluzione alla vostra sicurezza online con WordPress è sicuramente un ottimo inizio e un gradino di tranquillità in più per il vostro Blog o Sito web. Infatti scoraggiare attacchi robotizzati blindando le aree a rischio + espugnabili (wp-config, database, htaccess) abbasserà la probabilità di infezione…:)

Come scritto sopra la vostra sicurezza online è sempre a rischio…ma la vostra dedizione al sito farà la differenza…questo perchè se l’infezione ha il tempo di mettersi in opera senza che ve ne accorgiate, potrebbe arrecare danni agli utenti, distribuire malware o essere oscurato dal vostro Hosting…ma se invece ogni giorno avete il report completo del vostro sito potreste accorgervi dell’infezione in tempo e operare immediatamente lanciando il sito in una pagina momentanea ed effettuare le operazioni di rito che ho spiegato all’inizio del post.

Mi raccomando! Primache Google scansioni le vostre pagine e trovi il virus prima di voi…li poi son problemi…verrete segnalati (o addirittura Bannati) ed il vostro Snippet nei risultati di ricerca sarà del tipo…

Titolo Sito
url sito
Descrizione sito
questo sito potrebbe compromettere il tuo computer

Ci auguriamo che questo post ti sia stato d’aiuto!

Luca Carchesio classe 79 - Web Designer, Specialista SEO, Formatore ICP e Relatore della Corso Specialistico di Marketing e Commerciale in Prometeo Coaching®. Opera Professionalmente nel mondo digitale dal 2003 e vanta un esperienza importante nella comunicazione visiva. Coach Professionista e Consigliere A.Co.I.