Area Clienti

Come eliminare da WordPress l’exploit “Hacked By haxorsistz”

You are here:
< Back

Proponiamo una guida su  come eliminare il malware in questione dal nostro blog WordPress.

La schermata di WordPress corrotta da questo exploit è di questo tipo, e presenta la ripetizione della frase “Hacked By haxorsistz” (in alcuni casi semplicemente “Hacked by hacker”) sullo schermo e, a quanto ci risulta:

  • comporta in certi casi la cancellazione di tutti i post del proprio blog;
  • rende impossibile accedere alla sezione amministrativa;
  • rende impossibile visualizzare il sito in qualunque pagina ai visitatori.

Al momento in cui scriviamo questa FAQ numerose sono le segnalazioni di hacking in tal senso, e molti blog WP presentano anche adesso questo problema, corrompendo così l’indicizzazione ed il posizionamento eventualmente raggiunti su Google.

Le operazioni suggerite per rimuovere questo malware/exploit, se fosse anche il vostro caso, sono le seguenti:

A livello di database, innanzitutto, avrete a breve bisogno di accedere a PHPMyAdmin (oppure accedere al db con un client equivalente secondo le vostre credenziali di accesso: se necessario potete installarlo sulla vostra VPS), e prendere nota del prefisso delle vostre tabelle WordPress (solitamente è wp_).

Sarebbe molto importante disporre di un backup integro del sito precedente all’exploit: se non disponete dello stesso, dovrete scaricare una versione di WordPress ex novo dal sito ufficiale, e non è detto che riusciate – in questo caso – a recuperare tutti i vostri dati.

Per prima cosa bisogna verificare la presenza dei seguenti file nella cartella di WordPress, ed eventualmente ripristinarli da un backup oppure da un tema integro originale: per farlo è opportuno accedere al sito mediante FTP con le consuete credenziali di accesso, e navigare dalla root (cartella principale identificata da /) fino alle posizioni indicate.

I seguenti file del tema attivo (per intenderci nel percorso /wp-content/theme/nome-del-tema-attivo) potrebbero essere infetti: header.php, 404.php, functions.php, index.php. Essi dovranno essere da voi sovrascritti con versioni integre degli stessi file (prelevate ad esempio dal medesimo tema che stavate utilizzando, nella sua copia originale) oppure, se ciò non è possibile, dovranno semplicemente essere rimossi con tutta la cartella che li contiene, avendo cura di caricare poi un tema di default – ad esempio dal file ZIP scaricato dal sito originale – al fine di favorire le operazioni di recupero. Si fa notare che tipicamente i temi scaricati da siti web differenti da quello ufficiale (wordpress.org) sono potenzialmente candidati ad essere portatori di malware, per cui è opportuno non installarli nuovamente.

Il file index.php nella directory principale (root o /) di installazione di WordPress potrebbe anch’esso essere infetto, e deve essere sostituito con uno prelevato dal file ZIP di WordPress integro nell’ultima versione (scaricabile da qui).

Nota: se non si riuscisse ad eseguire queste operazioni, è probabile che sia opportuno reinstallare WordPress da zero ovvero: cancellando tutti i file mediante FTP, ripulendo prima il database seguendo la procedura indicata alla fine di questa FAQ, generando un export del database da PHPMyAdmin (file .sql da scaricare) e, solo a questo punto, effettuando nuovamente l’import da PHPMyadmin del file .sql generato (upload del file .sql da PHPMyadmin).

È necessario ora verificare la presenza dei seguenti file, ed eventualmente rimuoverli mediante FTP:

·         gay.php nella cartella /wp-admin;

·      selli.php nella directory root di WordPress.

Bisogna ripulire, infine, i dati corrotti contenuti nei widget del proprio blog.

Inanzitutto è conveniente togliere di mezzo tutti i widget dal proprio sito mediante FTP, cancellando le cartelle contenute in /wp-content/plugins;

A questo punto (ripulitura del database) bisogna ora eliminare i plugin dal database ricorrendo a questa istruzione da PHPMyAdmin (si assume che wp_ sia il prefisso utilizzato sul vostro database che avevamo individuato all’inizio): UPDATE wp_options SET option_value = ‘a:0:{}’ WHERE option_name = ‘active_plugins’;(versioni di WP successive alla 2.9) oppure UPDATE wp_options SET option_value = ” WHERE option_name = ‘active_plugins’;(versioni di WP precedenti alla 2.9).

 

· 

 

About the Author