A volte può capitare, se il sito non è aggiornato, se i plugin non sono più aggiornati o semplicemente non più supportati o se non si usano degli accorgimenti, che il sito possa essere infettato da malware/virus.

Si può utilizzare anche Maldet come indicato in questa guida.

Alcuni comandi sono eseguibili da ssh che ormai qualsiasi servizio hosting dovrebbe fornire incluso nel servizio come VHosting.

Di seguito alcuni accorgimenti per rilevale eventuale codice malevolo sul proprio sito (o su quello dei propri clienti).

I seguenti metodi sono solo indicativi e non garantiscono la pulizia al 100%. Il modo migliore di fare il check e ripulire un sito da malware è farlo manualmente o affidarsi a professionisti del settore.

Scansione tramite strumenti del provider hosting

Alcuni provider possono avere la funzionalità integrata per fare la scansione del sito web. In questo caso su VHosting si può utilizzare Imunify.

Basta cliccare sull’apposita icona

Successivamente basta cliccare su “Scansione” per avviare il controllo dello spazio

Verrà quindi eseguita la scansione di tutti i files presenti sullo spazio

Alla fine della scansione è possibile vedere quanti file infetti sono stati trovati

E cliccando sulla voce “Visualizza record” vi è la possibilità di avere tutti i dettagli dei files infetti.

Controllo con wp-cli

La procedura di controllo tramite wp-cli è abbastanza semplice.  Si può fare la scansione sia sul core di wordpress che sui plugins.

Una volta fatto il login si può lancare il comando di check del core di wordpress

 

wp core verify-checksums

 

In questo caso non viene rilevato nulla. Si può procedere a verificare prima la lista dei plugin disponibili con il seguente comando

wp plugin list

con cui si può notare se ci sono nomi file anomali o meno. (evidenziati in giallo nello screen)

Individuando o meno i plugin infetti/anomali si può lanciare il comando

wp plugin verify-checksums --all

per verificarne il checksum.

 

I plugins scaricati correttamente da wordpress.org avranno il checksum corretto e risulterà in una lista del tipo

Success: Verified 3 of 28 plugins (25 skipped).

mentre quelli che non sono possibili da verificare risulteranno con dei warning

Warning: Could not retrieve the checksums for version 1.0 of plugin dqtobud, skipping.

Warning: Could not retrieve the checksums for version 1.0 of plugin dqtobud, skipping.

E’ doveroso indicare, tuttavia, che i warning rimangono, appunto, degli avvertimenti. Bisogna fare delle verifiche più approfondite sopratutto in caso di plugin acquistati da terzi siti.

In questo caso già dal nome si può intuire che qualcosa non va ed è necessario fare un controllo più approfondito.

 

Check con comandi SSH

E’ possibile effettuare il check di eventuali file infetti utilizzando dei comandi da ssh, cercando specifici codici all’interno dei files.

I malware/virus solitamente tendono ad includere all’interno del normale codice del loro codice tramite “@include” . Basterà  lanciare il comando

grep -r --include=\*.php "@include"

 

In questo caso, evidenziato con scritta rossa, è stato rilevato un codice anomalo in un file index.php. Basta verificare quel file per capire se è ok o meno.

Un altro controllo che può essere fatto è la ricerca, nella cartella uploads, di files PHP e senza estensione in quanto non dovrebbero trovarsi li.

Basta lanciare, in questo caso, il comando, nella cartella “uploads” per cercare file PHP

find -name "*.php"

ed il seguente comando per trovare file senza estensione

find . -type f ! -name "*.*"

 

 

Scansione tramite plugin

Da wordpress è possibile fare scansioni tramite plugin appositi. Uno dei più utilizzati è wordfence  .

Una volta installato sarà possibile utilizzare la funzione di SCAN

Basta cliccare su SCAN e poi START NEW SCAN per far avviare la modalità di scansione.

Verrà quindi avviata la scansione con il check di ciò che è installato sul sito

A fine scansione verrà mostrato il risultato di eventuali file infetti.

E cliccando su “details” verrà mostrato il contenuto sospetto. Si avrà la possibilità di intervenire subito.

Un’alternativa a wordfence è WP-Cerberus. Basta scaricarlo ed attivarlo per poterlo subito usare.

Basta andare nel suo menù e cliccare su “integrità del sito” per scegliere tra una scansione rapida o completa.

Verrà quindi avviata un’analisi per la scansione

Per poi avvisare della fine della scansione con i risultati

Viene quindi mostrato tutto ciò che è stato controllato con i dettagli.

Cliccando su “trova codice malevolo” è possibile verificare cosa induce il plugin a sospettare che si tratti di codice infetto permettendo di eseguire azioni di rimozione.