Utente di Elementor Pro? Hai bisogno di leggere questo!

Pubblicato: 2020-05-20

WordPress ha guidato il mio business online negli ultimi sette anni ed è probabilmente lo strumento più essenziale nell'arsenale di qualsiasi SEO.

Con un numero stimato di installazioni che superano i 455.000.000, il 35% dei proprietari di siti Web apparentemente è d'accordo.

Innumerevoli plugin e combinazioni di temi lo rendono la piattaforma perfetta per i meno "esperti di tecnologia" per dare vita alle loro idee e metterle di fronte a un pubblico online.

Purtroppo, questo rende WordPress un bersaglio anche per i marketer senza scrupoli "black hat" che si fanno strada nel tuo sito per fargli fare qualcosa che non dovrebbe, un'impresa che hanno recentemente raggiunto su larga scala.

Come utente di Elementor Pro, c'è la possibilità che tu sia già stato morso...

E probabilmente non sei più saggio.

Vulnerabilità di Elementor Pro

Il 6 maggio Wordfence ha pubblicato questo articolo in cui spiega come 1 milione di siti potrebbe essere a rischio di un attacco attivo.

Gli aggressori stavano sfruttando un punto debole nella sicurezza di Elementor Pro per reindirizzare maliziosamente i tuoi visitatori ai propri siti o addirittura assumere il controllo del tuo sito web.

Il team di Elementor si è affrettato a correggere il difetto e gli utenti sono stati incoraggiati ad aggiornare all'ultima versione il prima possibile.

L'aggiornamento ha fornito tranquillità a molti, me compreso, fino a quando non ho scoperto che l'attaccante aveva già ottenuto l'accesso a un gran numero di siti che gestisco e che l'aggiornamento non avrebbe fatto la minima differenza.

Se il tuo sito è già stato compromesso, l'aggiornamento NON lo risolverà.

Cosa potrebbe fare un hacker con il mio sito?

Se eseguito con successo, questo particolare attacco installa una webshell chiamata "wp-xmlrpc.php" (si chiama così per fondersi con i file di sistema)

Una webshell offre all'attaccante pieno accesso al tuo sito e spesso al tuo server, il che significa che può:

  • Aggiungi, modifica o rimuovi contenuto
  • Inserisci link per valore SEO
  • Reindirizza il tuo traffico al loro sito
  • Cancella tutto!
  • ... Praticamente qualsiasi altra cosa ti venga in mente

Per non parlare del fatto che se stai utilizzando WooCommerce, l'attaccante potrebbe avere accesso ad alcuni dei dati dei tuoi clienti.

Come faccio a sapere se sono stato hackerato?

Non devi essere un mago tecnico per scoprire se il tuo sito è stato interessato.

Basta seguire questi passaggi:

1. Controlla gli utenti di WordPress

Un nuovo utente sul tuo sito è solitamente il primo segno che qualcuno ha tentato di sfruttare la vulnerabilità di Elementor Pro.

Un regalo morto è se hai ricevuto un'e-mail dal tuo sito WordPress che ti informava che un nuovo utente è stato creato intorno alla prima o alla seconda settimana di maggio.

Innanzitutto, accedi alla tua area di amministrazione di WordPress utilizzando il tuo account amministratore e vai a "Utenti".

Verifica la presenza di nomi utente sospetti o sconosciuti.

La sicurezza WebARX ha pubblicato un elenco di tutti i nomi utente noti utilizzati nell'attacco finora.

Se vedi uno dei nomi utente nel tuo pannello, passa direttamente a Se sei stato hackerato.

Importante : solo perché non esiste un nome utente sospetto non significa che il tuo sito sia sicuro.

2. Controlla i tuoi file

Puoi esaminare i tuoi file WordPress utilizzando FTP / SFTP / File Manager.

Nella cartella principale di WordPress (di solito la prima cartella che vedi quando accedi), cerca un file chiamato wp-xmlrpc.php.

Se questo file esiste, l'autore dell'attacco è riuscito ad ottenere l'accesso. È improbabile che la semplice eliminazione del file a questo punto sia utile.

Dovresti anche controllare /wp-content/uploads/elementor/custom-icons/

Tutti i file qui dentro che non riconosci come qualcosa che hai caricato sono stati probabilmente piantati lì da un utente malintenzionato.

Nello specifico cerca:

  • wpstaff.php
  • demo.html
  • Leggi Mw.txt
  • config.json
  • icone-riferimento.html
  • selezione.json
  • font.php

3. Eseguire una scansione di sicurezza

Se utilizzi un host WordPress gestito come WPEngine, WPX Hosting, SiteGround, ecc., di solito saranno in grado di farlo per te.

Questo di solito è preferibile all'esecuzione della tua scansione utilizzando Wordfence o Sucuri, poiché il tuo host potrebbe avere accesso a scansionare i file di sistema che questi plug-in altrimenti mancherebbero.

I popolari plugin gratuiti per la sicurezza di WordPress sono generalmente in grado di rilevare una modifica nei file core di WordPress, ma non interpretano il risultato di una scansione pulita come garanzia che il tuo sito sia sicuro.

Un firewall di solito protegge gli abbonati a pagamento di tali strumenti e c'è una maggiore probabilità che l'attacco fallisca.

5. Visita il tuo sito

Hai visitato il tuo sito di recente e sei stato reindirizzato a un altro?

Il modo esatto in cui funziona questo reindirizzamento dannoso rimane sconosciuto.

Visita il tuo sito utilizzando questi metodi:

  • Usa altri browser in modalità Privato/In incognito
  • Visita il tuo sito utilizzando un proxy
  • Fai clic sul tuo sito da Google o dai social media

Se uno di questi si traduce in un reindirizzamento a qualcosa di diverso dal tuo sito Web, probabilmente sei stato violato.

Se sei stato violato o non sei sicuro

Torna a una versione precedente

Molti host web offrono backup di 14-30 giorni. Si spera che questo articolo ti trovi in ​​tempo se sei stato colpito, permettendoti di riportare il tuo sito a una data precedente prima dell'attacco.

Nota : se i tuoi backup sono archiviati sul tuo server utilizzando qualcosa come Updraft, c'è la possibilità che anche loro vengano infettati.

Scoprire quando sei stato attaccato

Per impostazione predefinita, WordPress non mostra le date e gli orari di registrazione degli utenti.

Installa un plug-in chiamato Colonne di amministrazione.

Nelle impostazioni del plug-in, abilita la colonna "Registrazione" per "Utenti".

Ora, quando accedi alla pagina "Utenti" di WordPress, una nuova colonna mostrerà la data di creazione dell'utente malintenzionato.

In alternativa, se hai i log di accesso al tuo server, puoi cercare la voce per "wpstaff.php".

Ripristina il tuo sito su un backup creato prima della data e dell'ora dell'attacco.

Una volta ripristinato il backup, aggiorna i plug-in il prima possibile per prevenire un altro attacco.

Quindi, controlla di nuovo l'utente e i file dannosi.

Supporto Hosting Gestito

Se hai un host gestito come quelli sopra elencati, parla con il loro supporto delle misure di sicurezza e se offrono la pulizia del malware.

Host come WPX Hosting e WPEngine lo includono gratuitamente con tutti i pacchetti.

Servizio di pulizia

Molti servizi di rimozione malware "fatti per te" hanno già segnalato il recente problema di Elementor Pro.

Alcuni sono elencati qui, per favore fai le tue ricerche in quanto non li ho testati personalmente, né sono affiliato:

  • https://www.wordfence.com/wordfence-site-cleanings/
  • https://www.getastra.com/website-cleanup-malware-removal
  • https://sucuri.net/website-security-platform/help-now/

Ricostruire

Sembra una misura drastica, ma se stavi pensando comunque di ricostruire il tuo sito, ora è un'occasione perfetta per ricominciare da zero.

In questo modo, sai per certo che non ci sono file dannosi in agguato in background.

Assicurati solo di utilizzare un account di installazione o hosting diverso.

Prevenire un Hack

È difficile prevenire un hack quando non sai in anticipo quali plugin contengono vulnerabilità.

Alcuni suggerimenti di base per prevenire futuri hack:

  • Utilizza un host WordPress gestito: in genere eseguono la scansione e la rimozione del malware e rafforzano le loro installazioni WP per impostazione predefinita (impedendo l'esecuzione di file PHP nelle cartelle di caricamento)
  • Tieni aggiornati plugin, temi e WordPress Core
  • Usa un plug-in di sicurezza. Per lo meno, abilita Firewall e WordPress hardening. WordFence Premium, Sucuri e WebARX sono tutte buone soluzioni
  • Esegui WPScan o controlla WPVulnDB per plug-in e temi vulnerabili che potresti utilizzare.

Il tuo sito WordPress è stato violato?

Come hai affrontato il problema?

Fateci sapere nei commenti.

sottoscrivi

Ho letto e accetto i Termini e condizioni*