Hack Security è un nuovo servizio creato dalla Xlogic per proteggere il vostro sito web.
Con il servizio Hack Security il vostro sito verrà monitorato in real time e verrà effettuata una scansione giornaliera dei files, nel caso ci fossero files infetti da Malware, sarà nostra cura metterli in quarantena.
In alcuni casi mantenere i software (CMS) e gli script aggiornati non serve. E’ importante ricordare che la maggior parte dei plugin, temi e altri script non vengono creati dagli sviluppatori dei CMS, sono scritti da sviluppatori esterni e possono contenere buchi di sicurezza o files nocivi.
Quali sono i sintomi di un sito compromesso?
I sintomi di un sito compromesso possono essere:
– cambiamento dei contenuti
– infezione dei computer dei vostri visitatori con un virus
– invio spam a raffica con conseguente sospensione del sito da parte del provider
– cambio password CMS / cPanel
Tutto questo provoca la perdita di credibilità del sito e anche il posizionamento nei motori di ricerca ne risente e si cominciano a perdere posizioni, Google riesce ad identificare e penalizza un sito compromesso.
Quali sono i servizi compresi con Hack Security?
– protezione in Real Time dei files
– scansione giornaliera dei files
– controllo completo di tutti i file alla ricerca dello script dannoso, eseguito manualmente
– modifica password cPanel/Database/CMS
– ripristino permessi files/directory
Hack Security è compreso nei piani Hosting (Premium-Master-Hosting Mail- Hosting SemiDedicato-Hosting Dedicato) ed è opzionale per i piani Hosting (Mini-Lite-Base), può essere aggiunto in fase d’ordine per soli 50 euro all’anno.
Ormai da qualche anno il sistema più utilizzato per creare i siti web è senza dubbio WordPress, quindi la maggior parte dei webmaster non crea più i siti web statici tramite html e css ma utilizza sistemi di gestione dei contenuti (CMS) come WordPress, Joomla, Prestashop e molti altri.
Analisi dei Virus su WordPress – Imunify Security
La popolarità di WordPress lo rende un obiettivo primario per gli hacker che cercano in tutti i modi di bucare i siti web in maniera diretta oppure tramite dei virus / malware che inseriscono all’interno di plugin o temi.
In particolar modo sta girando un virus pericoloso e difficile da individuare che sta prendendo di mira WordPress, di conseguenza abbiamo deciso di fornirti un’analisi approfondita di questo malware e ti spieghiamo come sia possibile riuscire a rimuoverlo.
COME AGISCE UN VIRUS SU WORDPRESS
WordPress Malware mascherato
Questo malware WordPress è composto da stringhe con codifica Base64 e nomi di variabili lunghe, questo complica il codice rendendolo più difficile da analizzare.
Virus WordPress autodistruggente
Il file è progettato per autodistruggersi ed eliminarsi se una delle variabili _REQUEST ha il nome delete.
Virus WordPress: recupera i files remoti
Questo malware WordPress invia una richiesta tramite il parametro $ _REQUEST per un file aggiuntivo e come puoi vedere dal seguente codice, ha come target anche il CMS Joomla.
Anche se gli amministratori di sistema più prudenti disabilitano allow_url_fopen in php.ini, cerca comunque di recuperare il file usando curl.
Virus WordPress: cerca directory infettabili
A volte, i webmaster usano il nome di dominio di un sito come nome di directory della root principale, per esempio il dominio tuodominio.it potrebbe contenere: home/public_html/tuodominio.it
In questo caso, la Root principale viene utilizzata da questo malware WordPress per cercare di identificare le directory che possono essere infettate, questo è solo uno dei mezzi con cui questo virus WordPress cerca di identificare le directory infettabili.
Virus WordPress: inserisce il file in remoto
Dopo aver identificato le directory infettabili, questo malware WordPress utilizza la funzione di processo per consegnare il file recuperato in remoto che verifica se la directory è scrivibile e se fa parte di un CMS WordPress o Joomla
In tal caso, viene chiamato il seguente codice: inject_wordpress_main_php
Questo, a sua volta, colloca i contenuti del file recuperato in remoto in un file WordPress cruciale, come:
Infine, la funzione di processo verifica se una parola chiave fornita con la richiesta (sotto forma di $ _REQUEST [“parola chiave”] o la parola chiave predefinita (ttmaintt) fa parte della risposta quando si accede agli URL infetti.
COME IDENTIFICARE IL VIRUS WORDPRESS
Tutti i file che abbiamo incontrato durante le nostre indagini erano associati al nome del file
E’ difficile bloccare questa tipologia di malware, ad esempio anche disattivando il comando allow_url_fopen non sarai protetto perché se lo fai il malware utilizzerà il modulo curl.
Altrimenti sarebbe possibile utilizzare un firewall per bloccare tutto il traffico generato dal Web Server in modo indipendente, per assicurarsi che questo malware non riesca a recuperare il file remoto ma con questa operazione verrebbe bloccato ciò anche tutto il traffico legittimo che WordPress utilizza per le sue normali operazioni, come gli aggiornamenti.
Quindi il modo migliore per proteggersi da questo virus WordPress è seguire queste indicazioni:
Controlla l’integrità dei tuoi file WordPress usando strumenti come wp-cli
Scansiona regolarmente il tuo sito web con Antivirus
Evita di scaricare plugin e temi da fonti non ufficiali
Accedi e controlla il traffico del tuo sito Web utilizzando i registri di mod_forensics o mod_security
Naturalmente, se sei un cliente di Xlogic Hosting, all’interno del tuo piano è già presente oppure può essere acquistato a parte Imunify Security che ha la funzione di bloccare questo virus WordPress come moltissimi altri.
Che cosa fa Imunify Security per mantenere la sicurezza dei piani Hosting?
Imunify rileva tutti i tipi di malware in tutti i tipi di file – Non importa se i vostri siti web sono basati su PHP (come WordPress, Joomla e Drupal), o realizzati con il classico HTML statico. Le nostre avanzate tecniche di de-offuscamento consentono di rilevare il codice dannoso nascosto nei file utilizzando la crittografia o la codifica.
Imunify è una protezione anti-malware efficace – Può rilevare e notificare molti metodi di attacco: back door, web shell, virus, script di “black hat SEO”, pagine di phishing e molti altri. È quindi possibile intervenire per pulire manualmente i file infetti e proteggere i siti Web.
Imunify pulizia automatica. Imunify permette di rimuovere con un solo clic qualsiasi codice malevolo o virus, di cui oltre il 97% può essere pulito automaticamente.
Imunify Security è compreso nei seguenti piani Hosting:
Imunify Security è il nuovo software di sicurezza della Xlogic che ha l’obiettivo di pulire il sito web da Malware e Virus.
In alcuni casi mantenere i software (CMS) e gli script aggiornati non serve! (ps. anche se ti consigliamo sempre di effettuare gli aggiornamenti periodici di WordPress e di effettuare sempre dei backup del sito web).
E’ importante ricordare che la maggior parte dei plugin, temi e altri script non vengono creati dagli sviluppatori dei CMS ma sono scritti da sviluppatori esterni e possono contenere buchi di sicurezza o files nocivi.
Disponibile da oggi Imunify Security – Sicurezza Hosting
Che cosa fa Imunify Security per mantenere la sicurezza dei piani Hosting?
Imunify rileva tutti i tipi di malware in tutti i tipi di file – Non importa se i vostri siti web sono basati su PHP (come WordPress, Joomla e Drupal), o realizzati con il classico HTML statico. Le nostre avanzate tecniche di de-offuscamento consentono di rilevare il codice dannoso nascosto nei file utilizzando la crittografia o la codifica.
Imunify è una protezione anti-malware efficace – Può rilevare e notificare molti metodi di attacco: back door, web shell, virus, script di “black hat SEO”, pagine di phishing e molti altri. È quindi possibile intervenire per pulire manualmente i file infetti e proteggere i siti Web.
Imunify pulizia automatica. Imunify permette di rimuovere con un solo clic qualsiasi codice malevolo o virus, di cui oltre il 97% può essere pulito automaticamente.
Sicurezza Hosting: Come funziona Imunify?
Rendi sicuro il tuo sito WordPress con Imunify che lo puoi trovare in cPanel, cliccando sull’icona come in figura:
Una volta cliccata l’icona si aprirà la schermata di Imunify con le seguenti colonne:
Di seguito gli stati presenti e le azioni che si possono svolgere all’interno della pagina di questo antivirus avanzato per i siti web su Xlogic Hosting:
• Rilevato: visualizza l’ora esatta in cui un file è stato rilevato come dannoso
• File: il percorso in cui si trova il file che inizia con root
• Motivo: descrive la firma rilevata durante il processo di scansione. I nomi in questa colonna dipendono dal fornitore della firma
• Stato: visualizza lo stato del file: _ Infetto: rilevata una minaccia dopo la scansione. Se un file non è stato pulito dopo la pulizia, viene visualizzata l’icona delle informazioni. Passa il mouse sopra l’icona delle informazioni per visualizzare il motivo _ Pulito: il file infetto viene ripulito _ Content rimosso: un contenuto del file è stato rimosso dopo la pulizia _ Cleanup in coda: il file infetto viene messo in coda per la pulizia
• Azioni: _ Aggiungi a Ignore List: aggiungi il file a Ignore List e rimuovilo dall’elenco dei file con Malware. NB. se un file viene aggiunto a Ignore List, Imunify non eseguirà più la scansione di questo file _ Visualizza file: fai clic sull’icona a forma di occhio nella riga del file ed il contenuto del file verrà visualizzato nel popup. Solo i primi 100Kb del contenuto del file verranno mostrati. _ Cleanup: fai clic per pulire il file infetto _ Elimina: rimuove il file dal server e dall’elenco dei files dannosi _ Ripristina originale: fare clic su Ripristina originale per ripristinare il file originale dopo la pulizia se il backup è disponibile. I files originali vengono conservati per 15 giorni.
Sicurezza Hosting: Qual’è il costo di Imunify Security
Antivirus Imunify Security – Sicurezza Hosting è compreso nei piani Hosting:
Imunify Security è opzionale per tutti gli altri piani Hosting e può essere ordinato in fase d’ordine per soli 30 euro(+ iva) l’anno.
Sicurezza Hosting: SOS WP ha parlato di noi
Anche SOS WP ha parlato del nostro antivirus per la sicurezza Hosting, se ti va puoi leggere l’intera recensione che hanno scritto su Xlogic Hosting. Recensione Xlogic: Hosting WordPress Italiano
Attiva subito Imunify Security per rendere sicuro il tuo sito web, se hai un sito in WordPress passa al nostro piano Hosting WordPress dove è inclusa l’assistenza di WP e dove è incluso questo software avanzato per la sicurezza del sito web.
Per qualsiasi informazioni contatta la nostra assistenza!
Che tu abbia un blog, un sito aziendale o un sito e-commerce poco importa, perché qualsiasi sito web su Internet può essere un bersaglio per gli Hacker o comunque può essere vulnerabile.
In questo articolo ti mostreremo i motivi più comuni per cui il tuo sito Joomla viene hackerato e ti daremo dei consigli per poter risolvere il problema.
I motivi più comuni per cui il tuo sito Joomla viene hackerato
Sicurezza del sito web e del computer
Il più delle volte un sito web viene hackerato perché l’utente non inserisce una password d’accesso valida e complessa, in questo modo l’hacker è facilitato a rilevare le credenziali.
Inoltre se all’interno del proprio Computer sono presenti dei virus o malware, il sito web potrebbe venire compromesso in quanto gli hacker possono rubare tutti i cookies e le informazioni salvate all’interno del pc come le credenziali d’accesso.
Il Phishing è un metodo che include un indirizzo mail o un sito web utilizzato dagli hacker per rubare le credenziali di accesso del tuo sito o le informazioni di pagamento.
In pratica gli hacker creano ad Hoc la struttura del sito web facendoti pensare in questo caso che un amministratore Joomla ti chiede di accedere con urgenza all’interno del tuo account, in questo modo l’hacker ti ruberà le informazioni che inserirai.
Plugin e temi vulnerabili
All’interno di Joomla è molto importante implementare il sito web con temi, plugin, widget e altri strumenti che ti permetteranno di avere una completa gestione del sito web.
Tutti questi strumenti sono molto potenti ed utili ma potrebbero venire compromessi ed utilizzati dagli hacker per accedere all’interno del sito web.
E’ molto importante aggiornare regolarmente i plugin, addons ed i temi in quanto se non aggiornati potrebbero crearsi delle falle dove l’hacker potrebbe riuscire ad accedere più facilmente.
Come faccio a capire se il mio sito Joomla è stato hackerato
A volte non è semplice capire se il proprio sito web è stato hackerato perché potrebbe succedere che non siano presenti dei veri e propri segnali, in questo caso lo potresti scoprire “grazie” al tuo Provider Hosting che ti invierà una mail avvisandoti che il tuo sito web è stato violato e che probabilmente sta inviando delle mail in Spam o in Phishing.
Invece, il più delle volte ti accorgerai che il tuo sito web è stato hackerato in base a diversi motivi:
Rallentamento del caricamento delle pagine del sito web
Apertura automatica di link esterni e annunci pubblicitari all’interno del sito web
Home Page modificata con la firma dell’Hacker
Moltissimi Hacker avvieranno download non autorizzati sul tuo computer o sul browser dal momento in cui il tuo sito verrà violato quindi se all’interno di una delle pagine del tuo sito web verrà automaticamente avviato il download significa che il tuo sito è stato compromesso ed è stato hackerato.
Come posso proteggere il mio sito Joomla
Prevenire è meglio che curare… detto questo è di fondamentale importanza mantenere sempre aggiornato il proprio sito web, quindi tutti i plugins, gli addons, i temi e soprattutto la versione di Joomla dovranno essere costantemente aggiornati.
Ma perché è necessario aggiornare sempre tutte le risorse? Perché gli sviluppatori Joomla rilasciano costantemente gli aggiornamenti per correggere i Bug e per rilevare le vulnerabilità di sicurezza in cui gli Hacker potrebbero tentare di sfruttare per riuscire ad accedere all’interno del sito Joomla.
Un consiglio molto efficace per mantenere il sito più sicuro è quello di non dare i permessi di scrittura a tutti i files .php, quindi in questo modo mantenere i files .php in sola lettura impedirà agli hacker di accedere all’interno del sito mediante questi files.
Gli hacker potrebbero tentare di accedere recuperando i dati della tabella del Database ed è possibile impedire questa operazione cambiando il prefisso del database delle tabelle.
E’ molto importante effettuare periodicamente un backup del sito web, in questo modo per qualsiasi problema avrai sempre la possibilità di ripristinare una copia del tuo sito funzionante.
Con Xlogic potrai effettuare il backup manualmente direttamente dal pannello di controllo di cPanel oppure potrai attivare il servizio di backup automatico, in questo modo in due semplici click potrai ripristinare il backup dell’interno sito web, dei files, delle cartelle oppure solamente di alcuni elementi scelti.
Per ogni utente la paura più grande è quella di trovarsi il proprio sito web infetto.
Come ad esempio nel sistema operativo di Windows c’è il rischio di prendere i virus anche sul web c’è questo rischio che a parer mio può essere ancora più dannoso in quanto potrebbe ad esempio provocare:
– Perdita dei dati presenti nel sito web.
– Impossibilità nell’accedere nel back end del proprio CMS.
– Possibilità di far partire a propria insaputa migliaia di mail e quindi essere inseriti nelle black list perchè considerati come elementi dannosi che effettuano spam.
Oltre ai rischi sopra elencati e ovviamente a molti altri c’è una parte ancor più importante da tenere in considerazione;
stiamo parlando della visibilità e della credibilità che può aver un sito infetto; ovviamente se in un sito web viene rilevato un virus o malware, i motori di ricerca iniziano ad evitarlo e di conseguenza le visite iniziano a crollare e il sito perde di visibilità e scende di posizione rapidamente.
Per poter risalire al problema, come prima cosa bisogna focalizzare il momento in cui il sito ha iniziato ad avere problemi; dopo aver focalizzato il momento, bisogna pensare a che cosa si è fatto subito prima, ad esempio ci potrebbe essere stata l’installazione di uno script, plugin, tema oppure l’aggiornamento di uno script, tema, cms.
Come prima cosa bisogna effettuare questa verifica:
Dal browser bisognerà copiare il seguente url seguito dal sito web che deve essere analizzato
E’ un tool utilizzato per controllare se vi è del codice maligno all’interno delle query SQL e fornisce anche dettagli sui CMS utilizzati; permette fino a 4 scan di siti al giorno gratuitamente, i report verranno inviati via mail.
Il Malware sfrutta le vulnerabilità tecniche e il comportamento umano per trovare l’accesso ad un computer, siti web e reti. Qualsiasi sito web e qualsiasi dispositivo di rete è vulnerabile alle infezioni malware. Anche i siti di grandi dimensioni, estremamente popolari possono essere manipolati.
Cosa posso fare per proteggere il mio sito? Nulla garantisce la sicurezza assoluta, alcune pratiche e dei principi di base possono aiutare a prevenire e proteggere i vostri visitatori. Prevenire il Malware su un sito web richiede tre accorgimenti: il sito stesso, la password utilizzata per caricare i contenuti del sito e il computer utilizzato per caricare i contenuti del sito.
Come proteggere il proprio sito?
Eseguire il backup regolarmente. Un backup pulito è il modo più semplice per ripristinare il proprio sito, se qualcosa va storto. Il backup può essere eseguito manualmente o automaticamente.
Mantenere tutti i software e gli script aggiornati. Ciò significa che il sito web, WordPress, Drupal, Joomla etc.. ma anche tutti i plugin, temi, estensioni, script o altri software devono essere sempre aggiornati. Molti sistemi di gestione dei contenuti (CMS) hanno un pannello di amministrazione user-friendly che notifica gli amministratori del sito, quando sono disponibili aggiornamenti software. Aggiorna subito! Questo è una delle migliori difese contro il Malware.
Rimuovere eventuali script, plugin o altri software che non vengono più usati. Se si installa un tema o un plugin e si decide di non usarlo, bisogna rimuoverlo subito, invece di lasciarlo inutilizzato nel sito.
Usare cautela quando si decide di usare script di terze parti e plugin da installare. E’ importante ricordare che la maggior parte dei plugin, temi e altri script non vengono creati dagli sviluppatori dei CMS. Sono scritti da sviluppatori esterni e programmatori e possono contenere buchi di sicurezza. Si consiglia di controllare sempre la reputazione del software di terze parti e il suo sviluppatore prima di installarlo.
Registrarsi a Google Webmaster Tools. Google Strumenti per Webmaster vi darà accesso a una serie di strumenti utili e informazioni correlate che consentono di controllare le prestazioni e il contenuto del sito. Se gli scanner di Google rilevano qualcosa di sospetto sul sito, sarete in grado di trovare le informazioni tramite la bacheca.
Considerare l’utilizzo di un servizio di monitoraggio per il sito. Ci sono una serie di aziende stimabili che possono monitorare il sito web e all’occorrenza segnalare le attività sospette e notificare le vulnerabilità del sito.
Utilizzare le password. Assicurarsi di cambiare tutte le password predefinite subito e non memorizzarle sul computer è un ottima scelta. Modificare le password regolarmente, anche se non si ha motivo di credere che il sito sia stato compromesso. Non utilizzare la stessa password per più account e soprattutto se tali account possono essere utilizzati per accedere al sito! Se avete difficoltà a ricordare o creare delle password sicure, ci sono alcuni strumenti gratuiti per la gestione delle password che possono aiutare a gestire i dati di accesso.
Utilizzare adeguati permessi dei file. In genere consigliamo di impostare i file a 644 e le cartelle a 755. Non si dovrebbero mai cambiare i permessi se non si sa esattamente a cosa servono!
Proteggere il proprio computer e le connessioni di rete. Il sito web può essere infettato se si utilizza un computer infetto per aggiornare il sito. Questa è una causa comune di hack del sito. Se non si utilizza un antivirus affidabile, consigliamo di trovarne uno e controllare regolarmente ogni PC utilizzato per aggiornare il sito.
Utilizzare e proteggere le connessioni di rete. Attraverso le reti WiFi si possono lasciare delle informazioni sensibili, come ad esempio le credenziali di accesso del proprio sito. Con la proliferazione di notebook ultraportatili e dispositivi mobili è sempre più facile aggiornare un sito web in movimento, utilizzare una connessione di rete protetta è la soluzione migliore.
