Come eliminare da Wordpress l'exploit “Hacked By haxorsistz” Come eliminare da Wordpress l'exploit “Hacked By haxorsistz”

Il problema è stato rilevato inizialmente da alcuni blog Wordpress spagnoli per poi diffondersi su numerose installazioni in tutto il mondo. La rimozione di questo malware è indispensabile per preservare l'indicizzazione del proprio web sui motori di ricerca e di conseguenza l'intero lavoro di SEO a monte. Di seguito analizzeremo i vari step che l'utente dovrà eseguire per portare a termine la rimozione di tale malware dal proprio blog WordPress. 

Come eliminare malware su WordPress

La schermata di Wordpress corrotta dall' exploit presenta all'utente la ripetizione della frase “Hacked By haxorsistz” (in alcuni casi semplicemente “Hacked by hacker”) sullo schermo e comporta, in certi casi, la cancellazione di tutti i post del proprio blog, l'impossibilità di accedere alla sezione amministrativa e di visualizzare il sito stesso per gli utenti.

Per procedere con l'operazione di rimozione del malware l'utente, a livello di database, avrà bisogno di accedere a PHPMyAdmin oppure accedere al db con un client equivalente, e prendere nota del prefisso delle proprie tabelle Wordpress (solitamente è wp_).

E' molto importante che l'utente disponga di un backup integro del sito, precedente all'exploit: in caso contrario, dovrà scaricare una versione di Wordpress ex novo dal sito ufficiale, senza alcuna garanzia di un recupero totale dei propri dati.

Dovrà verificare la presenza dei seguenti file nella cartella di Wordpress ed eventualmente ripristinarli da un backup oppure da un tema integro originale. Per farlo sarà opportuno accedere al sito mediante FTP con le consuete credenziali di accesso e navigare dalla root (cartella principale identificata da /) fino alle posizioni indicate.


I seguenti file del tema attivo (per intenderci nel percorso /wp-content/theme/nome-del-tema-attivo) potrebbero essere infetti: header.php, 404.php, functions.php, index.php. Essi dovranno essere sovrascritti dall'utente con versioni integre degli stessi file (prelevate ad esempio dal medesimo tema che stavate utilizzando, nella sua copia originale) oppure semplicemente essere rimossi con tutta la cartella che li contiene, avendo cura di caricare poi un tema di default al fine di favorire le operazioni di recupero.

Il file index.php nella directory principale (root o /) di installazione di Wordpress potrebbe anch'esso essere infetto e dovrà essere sostituito con uno prelevato dal file ZIP di Wordpress integro nell'ultima versione.

Qualora l'utente non riuscisse a eseguire queste operazioni dovrà reinstallare Wordpress da zero, cancellando tutti i file mediante FTP, ripulendo il database, generando un export del database da PHPMyAdmin (file .sql da scaricare) ed effettuando, infine, l'import da PHPMyadmin del file .sql generato (upload del file .sql da PHPMyadmin).

L'utente, a questo punto, dovrà verificare la presenza dei seguenti file ed eventualmente rimuoverli mediante FTP:

  •  gay.php nella cartella /wp-admin;
  • selli.php nella directory root di Wordpress.


Infine, dovrà ripulire, i dati corrotti contenuti nei widget del proprio blog mediante FTP, cancellando le cartelle contenute in /wp-content/plugins. Dovrà poi eliminare i plugin dal database ricorrendo a questa istruzione da PHPMyAdmin (si assume che wp_ sia il prefisso utilizzato sul vostro database che avevamo individuato all'inizio):

UPDATE wp_options SET option_value = 'a:0:{}' WHERE option_name = 'active_plugins';(versioni di WP successive alla 2.9) oppure UPDATE wp_options SET option_value = '' WHERE option_name = 'active_plugins';(versioni di WP precedenti alla 2.9).


Per ulteriori informazioni vi invitiamo a leggere i seguenti articoli del nostro blog:

 

Hai trovato questa risposta utile?

share Ricerche correlate