Esistono molteplici manifestazioni di un attacco informatico, tra cui segnali di allarme da parte di Google, messaggi di avviso del browser durante la navigazione del sito o notifiche di rimozione da parte del provider di hosting: tutti questi sintomi possono essere segnale di una violazione del sito.
Tuttavia, è possibile verificare gratuitamente e in breve tempo se il proprio sito web è stato compromesso.
In questo post, esploreremo alcune delle evidenti manifestazioni di un sito compromesso e forniremo una serie di istruzioni utili per accertare e identificare la compromissione all’interno del proprio ambiente digitale.
Ci sono diversi indicatori di compromissione di un sito web tra cui:
Approfondiamo qualcuno di questi sintomi.
Se sui risultati delle ricerche su Google del tuo sito web compaiono parole chiave inutili per promuovere prodotti o servizi di dubbia provenienza, potresti essere vittima di spam SEO. Questo tipo di infezione manipola i motori di ricerca per aumentare la visibilità di contenuti poco affidabili. Se non intervieni, il tuo sito potrebbe perdere credibilità e visibilità.
JavaScript è un linguaggio di programmazione molto usato per realizzare applicazioni web, CMS e pagine web. Purtroppo, gli hacker possono sfruttare i siti web vulnerabili per eseguire codice dannoso e rubare informazioni, o addirittura modificare il comportamento del sito. Un esempio recente di malware JavaScript è SocGholish, che diffonde virus e trojan. Se noti codice JavaScript anomalo sul tuo sito, verificalo per evitare problemi.
Se quando visiti il tuo sito vengono visualizzati avvisi del browser che segnalano la presenza di malware, adware o siti ingannevoli, non ignorarli. Sono messaggi di avvertimento per proteggere i tuoi utenti e dovresti investigare immediatamente per risolvere il problema.
Il tuo sito web potrebbe essere stato violato se i visitatori sono reindirizzati verso altre pagine non volute. I reindirizzamenti dannosi sono spesso causati da codice malevolo inserito nei file o nei database del sito. Alcuni sintomi di questo problema includono link sospetti, CAPTCHA strani, codice misterioso, file di server inaspettati, nuovi file .htaccess e notifiche push fastidiose.
Un altro sintomo di un sito infetto è l’apparizione di annunci pubblicitari o pop-up non richiesti. Alcuni plug-in o malware possono inserire queste pubblicità fastidiose e persino dannose sul tuo sito. Non ignorarli, ma investiga il problema per rimuoverli.
Se i risultati della ricerca su Google includono l’avviso “Questo sito potrebbe essere violato” (This site may be hacked), il tuo sito web potrebbe essere infetto. Google interviene per proteggere gli utenti e, se necessario, rimuove i siti web infetti dall’indice di ricerca. Affronta subito l’infezione per non perdere posizioni nei motori di ricerca.
Altri indizi ai quali prestare attenzione:
Ecco un esempio di file di log che mostra un visitatore che accede a un sito Web WordPress, apporta una modifica a un post e quindi lo salva:
15.34.56.** - - [10/Aug/2022:12:19:19 -0500] "POST /wordpress/wp-login.php HTTP/1.1" 302 1259 "https://website.com/wordpress/wp-login.php" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:103.0) Gecko/20100101 Firefox/103.0" 15.34.56.** - - [10/Aug/2022:12:20:10 -0500] "GET /wordpress/index.php/wp-json/wp/v2/posts/1?_locale=user HTTP/1.1" 200 2854 "https://website.com/wordpress/wp-admin/post.php?post=1&action=edit" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:103.0) Gecko/20100101 Firefox/103.0" 15.34.56.** - - [10/Aug/2022:12:21:41 -0500] "POST /wordpress/index.php/wp-json/wp/v2/posts/1?_locale=user HTTP/1.1" 200 4084 "https://website.com/wordpress/wp-admin/post.php?post=1&action=edit" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:103.0) Gecko/20100101 Firefox/103.0"
Tutti indizi e sintomi che possono essere rilevati anche con un servizio di monitoraggio: se ricevi un avviso dal tuo provider di hosting che segnala la presenza di un’infezione, non ignorarlo.
Knoweb dispone di un servizio di allerta specifico per i propri clienti in hosting che avvisa i proprietari dei siti web in caso di problemi per proteggere la sicurezza degli utenti.
Se ricevi un avviso simile da parte del tuo provider, verifica immediatamente il tuo sito web e adotta le misure necessarie per risolvere il problema.
Per proteggere il tuo sito web dalla compromissione, esistono alcune semplici misure.
Una delle prime cose da fare è configurare l’autenticazione a 2 fattori a protezione degli accessi alle aree di amministrazione.
È importante utilizzare credenziali forti e un gestore di password sicuro. Questo ti aiuterà a prevenire l’utilizzo di elenchi di password da parte degli aggressori per forzare l’accesso al tuo sito web.
Mantenere il software del tuo sito web aggiornato è un’altra misura cruciale. Gli hacker spesso sfruttano le vulnerabilità del software per ottenere accesso non autorizzato. Mantenere il software aggiornato può aiutare a mitigare molti tipi di exploit come attacchi XSS, controllo degli accessi interrotto, deserializzazione non sicura, autenticazione non riuscita e altri bug di sicurezza.
Infine, è importante rimuovere temi o plug-in inutilizzati dal tuo sito web e valutare la sicurezza di quelli attualmente installati. Meno è sempre meglio quando si tratta di plug-in o temi inutilizzati, poiché anche quelli disabilitati possono causare un attacco.
Se il tuo sito web mostra i sintomi di una compromissione, e hai bisogno di aiuto per trovare e ripulire un’infezione, il team di Knoweb è pronto ad assisterti.