Sito web hackerato

Vi sono due punti d’ingresso molto utilizzati dagli hacker e dai criminali informatici per accedere a un sito Web.

Furto dei dati di accesso

I dati per accedere all’amministrazione del sito web (ad es. dati di accesso FTP) sono stati rubati. Per ottenerli, generalmente i criminali infettano il computer di un amministratore (webmaster) con un software nocivo («trojan»). Quando il webmaster accede al sito via FTP o via interfaccia web, le informazioni di identificazione (nome utente e password) vengono copiate e inviate ai cibercriminali. Così facendo gli hacker ottengono un accesso illimitato al sito e possono modificarlo e aggiungere contenuti nocivi.

CMS obsoleti

I sistemi di gestione dei contenuti («content management systems», CMS) come WordPress, Joomla o Typo3, e i loro moduli aggiuntivi (plug-in) sono molto diffusi e costituiscono pertanto un obiettivo di attacco privilegiato dagli hacker e dai cibercriminali. Essi individuano regolarmente delle vulnerabilità nel codice di programma e le sfruttano per infettare i siti web che utilizzano CMS o plug-in obsoleti con malware o pagine di phishing.

Localizzare il codice nocivo

È necessario controllare attentamente le pagine e le directory colpite. È probabile che lo stesso codice nocivo sia presente in numerosi sezioni o che in una stessa web directory ve ne siano più di uno. È anche possibile che venga inserito un codice nocivo destinato a infettare altri computer. Spesso si tratta di file eseguibili con estensione .exe, .bat, .ps1 ecc. Se non riuscite a individuare il codice nocivo raccomandiamo di contattare il vostro web hosting provider.

Eliminare il codice nocivo

Una volta individuato, il codice nocivo deve essere eliminato. A seconda delle circostanze, il ripristino di un backup precedente può essere d’aiuto.

Installare la versione attuale del CMS

Se utilizzate un CMS come WordPress, Joomla o Typo3, assicuratevi di aver installato la versione più recente. In tal modo impedirete ai criminali di infettare nuovamente il sito web sfruttando la stessa lacuna di sicurezza. La versione più recente del CMS è di volta in volta indicata sui siti del produttore.

Attenzione: non dimenticate di aggiornare gli eventuali moduli aggiuntivi installati (plug-in), poiché anche le lacune di sicurezza di questi ultimi vengono sfruttate regolarmente dai criminali.

Verificare la presenza di malware su tutti i computer del webmaster

Prima di modificare i dati di accesso FTP e CMS occorre accertarsi di aver eliminato i software nocivi da tutti i computer utilizzati per amministrare il sito web (ossia tutti i computer sui quali sono stati inseriti i dati di accesso al CMS).

Modificare i dati di accesso

Dopo aver verificato i computer ed eliminato eventuali software nocivi, modificate i dati di accesso FTP e CMS. In questo modo impedirete ai criminali di reinfettare il sito utilizzando i dati (nome di utente e password) rubati in precedenza. Se il computer in questione è stato usato per accedere ad altri servizi Internet (webmail, Paypal, ecc.) dovete cambiare anche le password di questi ultimi.

Se non modificate i dati di accesso, lasciate una porta aperta ai cibercriminali, che potranno sfruttare le stesse informazioni per infettare nuovamente il vostro sito web.

Ulteriori informazioni

Misure preventive

Dopo la disinfestazione vi raccomandiamo di adottare misure supplementari per impedire ai cibercriminali di accedere nuovamente al vostro sito web. Si prega di notare le nostre misure a protezione dei sistemi di gestione dei contenuti (CMS).