Sito WordPress hackerato: cosa fare
Cosa fare subito, come capire cosa hanno toccato, come evitare che ricapiti.
Un sito WordPress hackerato è un'urgenza. Non c'è tempo per tutorial lunghi. Qui trovi cosa fare nelle prime ore, come capire se il sito è compromesso davvero, e chi chiamare. Poi, dopo, i dettagli per evitare che succeda di nuovo.
Prima cosa: non toccare niente
Sembra ovvio ma non lo è. La prima reazione è aprire file, modificare configurazioni, cancellare plugin sospetti. Fermati. Fai uno screenshot della home page, un backup dei file e del database come stanno adesso. Anche se sono infetti. Ti servirà per capire cosa hanno cambiato e, se serve, per fare un ripristino pulito. Se non sai come fare un backup, usa un plugin come UpdraftPlus o fai il download del database da phpMyAdmin. Poi chiudi l'accesso al sito con .htaccess o mettilo in modalità manutenzione finché non hai chiaro cosa fare.
Come capire se WordPress è davvero hackerato
Segnali chiari: la home page mostra contenuti in cinese o russo, appaiono link a siti di phishing, gli utenti WordPress hanno amministratori che non hai creato, il sito reindirizza a domini esterni, plugin che non riconosci sono installati. Segnali meno chiari: lentezza improvvisa, pagine che caricano contenuti strani da database, email di spam che partono dal tuo dominio, Google che ti segnala come sito compromesso. Se vedi uno di questi segnali, il sito è compromesso. Non c'è 'forse'. C'è da intervenire.
Le prime 24 ore: cosa fare
Cambia tutte le password. WordPress admin, database, FTP, email dell'account amministratore, pannello hosting. Usa password lunghe e diverse per ogni account. Controlla gli utenti WordPress: elimina quelli che non hai creato tu, soprattutto quelli con ruolo administrator. Controlla i file del tema e dei plugin: cerca codice base64_decode, eval, file_get_contents da URL esterni, file .php strani in wp-content/uploads. Se non sai cosa guardare, fermati qui e chiama qualcuno che lo fa per lavoro. Un errore in questa fase può peggiorare la situazione.
Pulire il sito: due strade
Strada uno: ripristino da backup pulito. Se hai un backup di prima dell'hack, ripristini quello, aggiorni WordPress e i plugin all'ultima versione, cambi tutte le credenziali e metti sicurezza in più. Strada due: pulizia manuale. Vai file per file, confronti con versioni originali dei plugin, rimuovi file infetti, pulisci il database da record sospetti e redirect nascosti. La prima strada è più veloce e più sicura. La seconda serve quando il backup non c'è o è vecchio. In entrambi i casi, serve verificare che il sito sia pulito prima di riaprirlo. Google lo controlla e se torna in linea infetto, ti penalizza.
Come evitare che succeda di nuovo
WordPress è il CMS più attaccato al mondo. Non perché è insicuro di suo, ma perché è il più diffuso e ci sono più bot che provano a sfruttarlo. Le cose che funzionano davvero: non usare mai la password 'admin' come utente, disabilitare l'accesso XML-RPC se non lo usi, mettere un rate limit sul wp-login.php, usare HTTPS con redirect forzato, aggiornare WordPress e plugin entro una settimana dalla release, non installare plugin da fonti sconosciute. Le cose che non servono davvero: un plugin di sicurezza 'tutto in uno' che non configurato bene, un CDN se non hai altro problema oltre al DDoS, un firewall applicativo se i plugin sono già vulnerabili. La sicurezza WordPress è manutenzione costante, non un prodotto da comprare.
Quanto costa recuperare un WordPress hackerato
Dipende da quanto è grave e da quanto tempo è passato prima di accorgersene. Un sito con pochi file infetti, ripristinato da backup recente: 2-4 ore di lavoro. Un sito con backdoor sparse in tutto il codice, database compromesso, redirect nascosti: 6-12 ore. Un sito senza backup, con hacker che hanno modificato mesi di contenuti: può servire ricostruire. In termini economici: da 90€ a 540€, se il lavoro lo fa un freelance a tariffa oraria. Da 300€ a 3000€ se lo fa un'agenzia che ti vende un 'pacchetto di emergency recovery'. La differenza reale è quanto è pulito il lavoro, non il prezzo.
Se l'articolo ti ha fatto capire che il tuo sito ha lo stesso problema, scrivimi. Stima scritta entro 48 ore, €45/h fissi.