Sito violato? 6+ indizi.

Esistono molteplici manifestazioni di un attacco informatico, tra cui segnali di allarme da parte di Google, messaggi di avviso del browser durante la navigazione del sito o notifiche di rimozione da parte del provider di hosting: tutti questi sintomi possono essere segnale di una violazione del sito.

Tuttavia, è possibile verificare gratuitamente e in breve tempo se il proprio sito web è stato compromesso.

In questo post, esploreremo alcune delle evidenti manifestazioni di un sito compromesso e forniremo una serie di istruzioni utili per accertare e identificare la compromissione all’interno del proprio ambiente digitale.

Indizi rivelatori di un sito web violato

Ci sono diversi indicatori di compromissione di un sito web tra cui:

• Parole chiave di spam nei risultati di ricerca di Google.
• Presenza di codice JavaScript sospetto nei file del sito.
• Avvisi del browser durante la navigazione del sito.
• Reindirizzamenti inattesi dal sito.
• Annunci o pop-up indesiderati sulle pagine web.
• La comparsa della dicitura “Questo sito potrebbe essere stato violato” nei risultati di ricerca.
• Avvisi da parte del provider di hosting che suggeriscono un attacco informatico.
• Pagine sconosciute indicizzate dal motore di ricerca.
• Reclami di clienti per frode o furto di carte di credito.
• Messaggi di errore non previsti nei log del server.
• Creazione di nuovi utenti FTP o amministratori sul sito.
• Modifiche ai file di sistema, ai plugin o ai temi principali.
• Modifiche al file .htaccess.

Approfondiamo qualcuno di questi sintomi.

1. I risultati di ricerca su Google contengono parole chiave spam.

Se sui risultati delle ricerche su Google del tuo sito web compaiono parole chiave inutili per promuovere prodotti o servizi di dubbia provenienza, potresti essere vittima di spam SEO. Questo tipo di infezione manipola i motori di ricerca per aumentare la visibilità di contenuti poco affidabili. Se non intervieni, il tuo sito potrebbe perdere credibilità e visibilità.

2. JavaScript anomalo nel codice sorgente

JavaScript è un linguaggio di programmazione molto usato per realizzare applicazioni web, CMS e pagine web. Purtroppo, gli hacker possono sfruttare i siti web vulnerabili per eseguire codice dannoso e rubare informazioni, o addirittura modificare il comportamento del sito. Un esempio recente di malware JavaScript è SocGholish, che diffonde virus e trojan. Se noti codice JavaScript anomalo sul tuo sito, verificalo per evitare problemi.

3. Avvisi di allerta da parte del browser

Se quando visiti il tuo sito vengono visualizzati avvisi del browser che segnalano la presenza di malware, adware o siti ingannevoli, non ignorarli. Sono messaggi di avvertimento per proteggere i tuoi utenti e dovresti investigare immediatamente per risolvere il problema.

4. False notifiche e reindirizzamento verso siti esterni

Il tuo sito web potrebbe essere stato violato se i visitatori sono reindirizzati verso altre pagine non volute. I reindirizzamenti dannosi sono spesso causati da codice malevolo inserito nei file o nei database del sito. Alcuni sintomi di questo problema includono link sospetti, CAPTCHA strani, codice misterioso, file di server inaspettati, nuovi file .htaccess e notifiche push fastidiose.

5. Annunci pubblicitari e pop-up

Un altro sintomo di un sito infetto è l’apparizione di annunci pubblicitari o pop-up non richiesti. Alcuni plug-in o malware possono inserire queste pubblicità fastidiose e persino dannose sul tuo sito. Non ignorarli, ma investiga il problema per rimuoverli.

6. Avviso “Questo sito potrebbe essere violato”

Se i risultati della ricerca su Google includono l’avviso “Questo sito potrebbe essere violato” (This site may be hacked), il tuo sito web potrebbe essere infetto. Google interviene per proteggere gli utenti e, se necessario, rimuove i siti web infetti dall’indice di ricerca. Affronta subito l’infezione per non perdere posizioni nei motori di ricerca.

Attenzioni da parte del provider.

Altri indizi ai quali prestare attenzione:

• Indicizzazione improvvisa di un elevato numero di pagine.
• Clienti che si lamentano per transazioni fraudolente.
• Log del server che mostrano messaggi di errore imprevisti.
• Presenza di nuovi utenti admin nel backend o utenze ftp.
• Modifiche inaspettate al core, ai plugin, al tema o a file critici come il .htaccess

Ecco un esempio di file di log che mostra un visitatore che accede a un sito Web WordPress, apporta una modifica a un post e quindi lo salva:

15.34.56.** - - [10/Aug/2022:12:19:19 -0500] "POST /wordpress/wp-login.php HTTP/1.1" 302 1259 "https://website.com/wordpress/wp-login.php" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:103.0) Gecko/20100101 Firefox/103.0"
15.34.56.** - - [10/Aug/2022:12:20:10 -0500] "GET /wordpress/index.php/wp-json/wp/v2/posts/1?_locale=user HTTP/1.1" 200 2854 "https://website.com/wordpress/wp-admin/post.php?post=1&action=edit" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:103.0) Gecko/20100101 Firefox/103.0"
15.34.56.**  - - [10/Aug/2022:12:21:41 -0500] "POST /wordpress/index.php/wp-json/wp/v2/posts/1?_locale=user HTTP/1.1" 200 4084 "https://website.com/wordpress/wp-admin/post.php?post=1&action=edit" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:103.0) Gecko/20100101 Firefox/103.0"

Tutti indizi e sintomi che possono essere rilevati anche con un servizio di monitoraggio: se ricevi un avviso dal tuo provider di hosting che segnala la presenza di un’infezione, non ignorarlo.

Knoweb dispone di un servizio di allerta specifico per i propri clienti in hosting che avvisa i proprietari dei siti web in caso di problemi per proteggere la sicurezza degli utenti.

Se ricevi un avviso simile da parte del tuo provider, verifica immediatamente il tuo sito web e adotta le misure necessarie per risolvere il problema.

Come proteggere il tuo sito web da compromissioni

Per proteggere il tuo sito web dalla compromissione, esistono alcune semplici misure.

Una delle prime cose da fare è configurare l’autenticazione a 2 fattori a protezione degli accessi alle aree di amministrazione.

È importante utilizzare credenziali forti e un gestore di password sicuro. Questo ti aiuterà a prevenire l’utilizzo di elenchi di password da parte degli aggressori per forzare l’accesso al tuo sito web.

Mantenere il software del tuo sito web aggiornato è un’altra misura cruciale. Gli hacker spesso sfruttano le vulnerabilità del software per ottenere accesso non autorizzato. Mantenere il software aggiornato può aiutare a mitigare molti tipi di exploit come attacchi XSS, controllo degli accessi interrotto, deserializzazione non sicura, autenticazione non riuscita e altri bug di sicurezza.

Infine, è importante rimuovere temi o plug-in inutilizzati dal tuo sito web e valutare la sicurezza di quelli attualmente installati. Meno è sempre meglio quando si tratta di plug-in o temi inutilizzati, poiché anche quelli disabilitati possono causare un attacco.

Se il tuo sito web mostra i sintomi di una compromissione, e hai bisogno di aiuto per trovare e ripulire un’infezione, il team di Knoweb è pronto ad assisterti.