Cos'è il malware e come rimuoverlo da un sito

Cos'è il malware

Il malware (abbreviazione di "malicious software", software dannoso) è qualsiasi software progettato per danneggiare, interrompere o ottenere accesso non autorizzato a un sistema informatico. Nel contesto dei siti web, il malware è codice dannoso che gli hacker iniettano nei file o nel database del tuo sito con l'obiettivo di rubare dati, reindirizzare i visitatori, inviare spam o utilizzare il tuo server per ulteriori attacchi.

Le statistiche mostrano che circa 30.000 siti web vengono violati ogni giorno. I siti WordPress sono un bersaglio particolarmente comune perché rappresentano circa il 43% di tutti i siti su Internet, il che li rende attraenti per gli attacchi di massa. Ma nessun sito è immune: qualsiasi sito può essere una vittima senza una protezione adeguata.

Tipi di malware sui siti web

Backdoor

Una backdoor è un meccanismo di accesso nascosto che consente a un hacker di entrare nel tuo sito anche dopo che hai cambiato le password. I file di backdoor sono spesso camuffati da file di sistema legittimi con nomi innocui come "wp-config-backup.php" o "class-user.php". Permettono all'hacker di riprendere il controllo del sito in qualsiasi momento.

Pagine di phishing

Gli hacker possono inserire sul tuo sito false pagine di accesso che imitano banche, servizi di posta elettronica o social network. L'obiettivo è ingannare i visitatori inducendoli a inserire le proprie credenziali. È particolarmente pericoloso perché il tuo sito può finire nelle liste nere e Google può mostrare l'avviso "Sito ingannevole".

Spam SEO (Pharma hack)

Uno degli attacchi più comuni in cui gli hacker iniettano link e contenuti nascosti nelle tue pagine. Di solito si tratta di link a siti farmaceutici, siti di gioco d'azzardo o software piratato. Potresti non vedere lo spam perché spesso viene mostrato solo a Googlebot, non ai visitatori normali.

Redirect malware

Questo tipo di malware reindirizza i visitatori del tuo sito verso siti dannosi. Il redirect può essere condizionale: per esempio, vengono reindirizzati solo gli utenti da mobile, oppure solo i visitatori che arrivano dalla ricerca Google. Questo rende più difficile il rilevamento, perché tu come proprietario potresti non vedere mai il redirect.

Cryptominer

Gli hacker iniettano codice JavaScript che utilizza i computer dei tuoi visitatori per estrarre criptovaluta. Questo rallenta i computer dei visitatori, ne consuma potenza e batteria, mentre i profitti vanno all'hacker. Oggi browser e antivirus bloccano attivamente questo tipo di malware.

Come riconoscere un sito infetto

• Avviso di Google: il browser mostra "Questo sito potrebbe danneggiare il tuo computer" o "Sito ingannevole".
• Calo del posizionamento: un calo improvviso nella ricerca Google senza un motivo evidente.
• File sconosciuti: nuovi file sul server che non hai creato tu.
• Sito lento: il sito è notevolmente più lento di prima senza variazioni di traffico.
• Commenti spam: un'esplosione di commenti spam o di account utente.
• Notifica dell'hosting: il provider di hosting ti avvisa di un'attività sospetta.
• Inserimento nelle liste nere: il tuo sito o IP è in liste nere.

Passaggi per rimuovere il malware

Passaggio 1: crea un backup

Prima di qualsiasi intervento, crea una copia completa del sito (file + database). Anche se il sito è infetto, il backup ti permette di tornare allo stato attuale se qualcosa va storto durante la pulizia.

Passaggio 2: identifica l'infezione

Usa strumenti di scansione: Sucuri SiteCheck (scanner online gratuito), Wordfence (plugin per WordPress) o VirusTotal per controllare i singoli file. In cPanel, usa lo scanner Imunify o ClamAV se disponibile. Controlla anche Google Search Console per eventuali problemi di sicurezza.

Passaggio 3: rimuovi il malware

Reinstalla i file core di WordPress (le directory wp-admin e wp-includes) con copie fresche. Controlla wp-content/uploads per file PHP (non dovrebbero essercene - solo immagini). Esamina wp-config.php e .htaccess alla ricerca di codice sospetto. Rimuovi tutti i temi e i plugin che non usi. Aggiorna tutti i temi e i plugin rimanenti alle versioni più recenti.

Passaggio 4: pulisci il database

Controlla il database alla ricerca di script iniettati, in particolare le tabelle wp_posts e wp_options. Cerca JavaScript sospetto, tag iframe e stringhe codificate in base64. Usa phpMyAdmin per cercare e pulire.

Passaggio 5: cambia tutte le password

Cambia le password per: l'account amministratore di WordPress, FTP/SFTP, cPanel, il database e gli account email. Usa password forti e univoche per ogni account. Rigenera le chiavi di sicurezza di WordPress in wp-config.php usando il generatore di salt di WordPress.

Prevenzione - come prevenire l'infezione

• Aggiornamenti regolari: aggiorna WordPress, temi e plugin non appena sono disponibili nuove versioni.
• Password forti: usa gestori di password e l'autenticazione a due fattori.
• Plugin di sicurezza: installa Wordfence o Sucuri per una protezione attiva.
• Backup regolari: backup giornalieri automatici su una posizione esterna.
• Certificato SSL: usa HTTPS per una comunicazione crittografata.
• Limita i tentativi di accesso: blocca gli indirizzi IP dopo più tentativi di accesso falliti.

Conclusione

Il malware sul tuo sito è un problema serio che può danneggiare la tua reputazione, il posizionamento su Google e la fiducia degli utenti. Prevenire è sempre meglio che curare: mantieni il sito aggiornato, usa password forti e plugin di sicurezza. Se un'infezione si verifica davvero, reagisci rapidamente, pulisci il sito in modo sistematico e adotta tutte le misure per prevenire una reinfezione. Su BeoHosting, i nostri server utilizzano Imunify360 per il rilevamento e il blocco automatici del malware, offrendo un ulteriore livello di protezione per il tuo sito.