Che cos'è un WordPress Pharma Hack?

Pubblicato: 2022-06-24

Una delle tecniche più comuni per l'hacking di un sito Web consiste nella manipolazione degli indici di ricerca per includere contenuti immeritevoli in posizioni di ricerca elevate. Questo è un tipo di hack SEO di Black Hat, noto anche come hack farmaceutico di WordPress o spam SEO.

Per milioni di proprietari di siti Web in tutto il mondo, WordPress è la soluzione migliore per creare negozi di e-commerce e qualsiasi altro tipo di sito Web. E a causa della popolarità del CMS WordPress, è un obiettivo frequente di attacchi e hack dannosi. Ma cos'è esattamente un hack farmaceutico di WordPress?

In questa guida, discuteremo i dettagli di cos'è un hack farmaceutico di WordPress, alcuni esempi importanti di come appare questo tipo di attacco e come prevenirli. Diamo un'occhiata.

Che cos'è un WordPress Pharma Hack?

In poche parole, un hack farmaceutico di WordPress è una tecnica di hacking che utilizza il malware per infettare un sito WordPress legittimo per reindirizzare a pagine Web di spam che mostrano annunci che vendono versioni imitative di prodotti farmaceutici di marca, come Cialis e Viagra.

A volte, questi hack indirizzeranno ad altri tipi di prodotti farmaceutici. Ma Cialis e Viagra sono di gran lunga i più comuni.

Un hack farmaceutico è un tipo di hack SEO di Black Hat o spam SEO.

Ottieni il contenuto bonus: una guida alla sicurezza di WordPress
Clicca qui

Perché gli hacker sfruttano i siti WordPress con gli hack farmaceutici?

C'è una risposta semplice al motivo per cui gli hacker prendono di mira i siti WordPress con hack farmaceutici: le ricerche online sono un'enorme fonte di referral di traffico. Un hack SEO è il modo più semplice per portare molto più traffico di riferimento senza impegnarsi per generare traffico in modo organico.

Un hack farmaceutico di WordPress garantisce che l'hacker abbia un posto di rilievo nelle SERP (Search Engine Results Page) hackerando siti con un'elevata autorità di ricerca, quindi infettandoli con hack di reindirizzamento dello spam.

cos'è un trucco farmaceutico

Che aspetto ha un hack farmaceutico di WordPress?

In un recente hack farmaceutico di WordPress, abbiamo assistito a una versione molto sofisticata di come appare l'hack. In questo attacco farmaceutico, l'hacker ha adattato i risultati di ricerca di Google direttamente con il nome di un sito Web all'interno del titolo.

In questo modo, le persone credono sinceramente di fare clic su un sito Web legittimo che vende prodotti farmaceutici legali.

cos'è un hack farmaceutico di WordPress

Come puoi vedere, l'hacking fa sembrare che stai per fare clic su un annuncio farmaceutico legittimo, quando stai davvero facendo clic sullo spam.

Come sapere se il tuo sito Web WordPress è stato infettato da un hack farmaceutico

Senza sapere cosa stai cercando, è difficile rilevare lo spam SEO perché non è immediatamente visibile se sei un amministratore di WordPress o un gestore di siti web. I bravi hacker sanno come nascondere ciò che stanno facendo seguendo pratiche come il cloaking.

Tuttavia, ci sono alcuni semplici trucchi e strumenti che puoi utilizzare per scoprire se il tuo sito è stato infettato da un hack farmaceutico.

1. Usa un plugin di sicurezza per WordPress

In qualità di proprietario responsabile di un sito WordPress, è importante capire che la sicurezza del tuo sito è della massima importanza. Se gestisci un sito che non è completamente protetto da una potente suite di plug-in di sicurezza di WordPress, stai mettendo l'intero sito e i tuoi utenti a rischio di un potenziale attacco alla sicurezza informatica.

Un buon plugin di sicurezza per WordPress deve essere potente, completamente aggiornato e facile da usare per i proprietari di siti web.

E il plug-in iThemes Security Pro è un'ottima soluzione. iThemes Security ha una potente funzione di Scansione del sito che si integra con Navigazione sicura di Google per mostrare se il tuo sito è elencato nella Blocklist di Google, che di solito indica che hai qualche tipo di malware sul tuo sito.

iThemes Security offre anche il rilevamento delle modifiche ai file, che è un modo efficace per monitorare eventuali modifiche ai file sul tuo sito. Gli hacker di solito modificano o modificano i file sul tuo sito, quindi tenere un registro di queste modifiche (e ricevere avvisi quando i file cambiano) può aiutare a indicare che è successo qualcosa di sospetto, cosa è stato modificato e quando è successo.

2. Controlla Ricerca Google

Per trovare siti Web infetti, cerca parole chiave come viagra wp-page . Tieni presente che, a causa delle politiche per i webmaster di Google, i siti infetti non verranno mostrati nella prima pagina dei risultati. Dovrai scorrere almeno alle pagine tre e quattro.

Se vedi il tuo sito Web nella ricerca, significa che il tuo sito è vittima di un hack farmaceutico di WordPress o di altro spam SEO black hat.

Noterai che l'elenco include siti infetti e pagine false. Se fai clic su queste pagine, verrai probabilmente reindirizzato ad altre pagine. Oppure, il contenuto di spam potrebbe essere caricato sulla pagina del sito Web legittimo a causa dell'infezione.

Per scoprire se una qualsiasi delle pagine del tuo sito è stata infettata da spam SEO per il Viagra, aggiungi semplicemente la parola "viagra" al tuo nome di dominio in una ricerca su Google ( viagra site:yourdomain.com ).

Spesso vengono infettate solo un paio di pagine del tuo sito. E quelle pagine non sono visibili nella dashboard di WordPress. Facendo questa ricerca, scoprirai quali sono quelle pagine/URL infetti.

3. Controlla i risultati come Google Bot

Come discusso, queste pagine di spam farmaceutico non sono visibili su un motore di ricerca standard. Ma uno user agent, come Googlebot, può vederli e rilevarli.

Per visualizzare ciò che vede Googlebot, è sufficiente utilizzare un browser User-Agent Switcher che può essere installato su Firefox o Chrome.

Ecco come:

  • Installa un componente aggiuntivo User-Agent Switcher
  • Passare alla pagina Web infetta
  • Modifica la stringa User-Agent in una di quelle indicate di seguito:
    • Mozilla/5.0 (compatibile; Googlebot/2.1; +http://www.google.com/bot.html)
    • Googlebot/2.1 (+http://www.google.com/bot.html)
  • Fare clic con il pulsante destro del mouse sulla pagina e visualizzare l'origine della pagina. Ciò ti consentirà di vedere il reindirizzamento

Tieni presente che se hai lo switcher user-agent attivo per troppo tempo, potresti essere inserito nella lista nera o bloccato da siti che mantengono buoni protocolli di sicurezza. Questo perché, a loro, apparirai come Googlebot.

L'anatomia di un WordPress Pharma Hack

Ora, analizziamo l'anatomia reale di ciò che accade durante un hack farmaceutico di WordPress.

1. La tua vulnerabilità a un hack farmaceutico

Per eseguire questo tipo di hack, l'hacker deve prima sfruttare una vulnerabilità nota o un exploit zero-day.

Alcune delle vulnerabilità più comuni includono:

  • Iniezioni SQL di XSS. Questi si verificano a causa di scarsi standard di codifica del software all'interno del tema o dei plug-in che esegui. A volte, questi problemi si verificano anche nel software principale di WordPress. Mantieni sempre aggiornato il software che esegui su WordPress, inclusi plugin e temi.
  • FTP deboli e password dell'account. Le password complesse sono assolutamente essenziali se sei il proprietario di un sito WordPress. E questo vale per i siti Web di tutte le dimensioni. Anche il repository GitHub di Linux Gen è stato recentemente violato a causa di credenziali di accesso deboli.
  • La visualizzazione degli errori e l'elenco dei contenuti sono abilitati. Di conseguenza, i file critici del tuo sito sono liberamente leggibili da chiunque su Internet.

2. La persistenza di un hack farmaceutico

Un hack farmaceutico di WordPress riesce alterando il contenuto della directory principale. E la maggior parte degli attacchi di spam avverrà attraverso le tue cartelle /includes o /misc .

Uno spammer otterrà la persistenza, o l'accesso prolungato, utilizzando metodi come:

  • Aggiunta di nuove pagine come leftpanelsin.php , cache.php , ecc.
  • Modifica di file PHP come index.php , wp-page.php , nav.php , ecc.
  • Nascondere i file spam all'interno della cartella /images . I web crawler non si aspettano di vedere i file qui, il che impedisce loro di essere rilevati.
  • Offuscare il codice usando la codifica base64
  • Modifica di xmlrpc.php per evitare il rilevamento da parte dei webmaster
  • Utilizzo di cron job per reinfettare
  • Cloaking: differenziazione tra i web crawler in base allo user-agent. Il risultato è che il contenuto visualizzato da Googlebot è diverso dal contenuto che vede un utente Mozilla.
  • Punto aggiunto prima dell'estensione del file. Pertanto, rinominando la pagina come .otherfile per essere invisibile.

3. I risultati di un hack farmaceutico

Cosa succede a te, come proprietario di un sito WordPress, quando un hacker riesce in un hack farmaceutico sul tuo sito?

  • Il tuo sito perderà la sua buona reputazione, poiché ora visualizzerà annunci di Cialis e Viagra.
  • Probabilmente verrai bloccato da Google, il che significa che sarà molto difficile riguadagnare la reputazione del tuo sito.
  • Gli utenti non si fideranno più del tuo sito e non torneranno.
  • Le classifiche dei motori di ricerca precipiteranno.
  • Il tuo sito genererà clic su altri siti. Gli stessi clic per cui hai lavorato così diligentemente per guadagnare andranno altrove.

Ovviamente, tutti questi risultati sono dannosi per il tuo sito web e la tua attività.

Correzione di un hack farmaceutico di WordPress

Gli hack farmaceutici sono nascosti. Pertanto, la ricerca e la rimozione di un hack farmaceutico di WordPress può essere un processo lungo e noioso.

Ecco cosa fare:

1. Fai il backup del tuo sito

Per assicurarti di non perdere tutto il lavoro che hai inserito nel tuo sito, scarica il plug-in BackupBuddy ed esegui un backup completo dei file principali, del database e dei file di temi e plug-in. Sì, anche il malware. Fidati di noi, sarai felice di avere che qualcosa va storto durante il processo di pulizia.

Ovviamente, è utile avere un backup della versione "pulita" del tuo sito prima dell'hacking farmaceutico, quindi assicurati di implementare i backup come misura di sicurezza preventiva.

2. Cerca vulnerabilità, malware noto e stato della tua blocklist di Google

Usa il plug-in iThemes Security Pro discusso in precedenza per eseguire una scansione completa del tuo sito. La funzione Scansione del sito esegue la scansione della versione principale, dei plug-in e dei temi di WordPress alla ricerca di eventuali vulnerabilità note che potrebbero aver aperto una backdoor per l'attacco. Inoltre, Site Scan si integra con Google Safe Browsing che indica se Google ha trovato malware noto sul tuo sito. In tal caso, il tuo sito verrà aggiunto alla blocklist di Google. iThemes Security mostrerà lo stato della tua Blocklist di Google.

3. Rimuovere i file infetti

Usa un client FTP per connetterti al tuo server di hosting. In alternativa, puoi utilizzare un file manager.

Passare alla cartella /wp-content/ e cercare i plug-in e i file compromessi. I file che vengono violati includeranno parole come .cache , .class o .old che vengono utilizzati per camuffarli come file plug-in legittimi.

Ricorda che un punto posizionato all'inizio del nome di un file li rende nascosti. Quindi assicurati di avere l'opzione "mostra file nascosti" selezionata quando lo fai.

Quando archivi questi file, rimuovili.

Dai un'occhiata al nostro post completo, alla checklist scaricabile e al video su come pulire un sito WordPress violato.

4. Pulisci il tuo file .htaccess

Il file .htaccess è un file di configurazione di alto livello per il server che definisce come vengono elaborate le richieste del server.

Un hacker è in grado di utilizzare questo file per creare backdoor di siti Web. Nel file .htaccess, cerca qualsiasi codice simile a questo:

 RewriteEngine attivato
RewriteCond %{ENV:REDIRECT_STATUS} 200
RewriteRule ^ - [L]
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR] #verifica per Google, Yahoo, msn, aol e bing crawler
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^(.*)$ somehackfile.php?$1 [L] #reindirizza a un file hack

Rinomina il file .htaccess corrente. Quindi, per rigenerare completamente il file .htaccess, vai semplicemente alla dashboard di WordPress, vai su Impostazioni, quindi seleziona Permalink e fai clic su Salva.

5. Rimuovere il codice dannoso nel database

Questo è un passaggio che non dovresti eseguire fino a quando non avrai eseguito un backup completo del sito utilizzando il plug-in BackupBuddy.

Al termine, puoi pulire manualmente il database con questi passaggi:

  • Vai a phpMyAdmin
  • Seleziona il database
  • Fare clic sulla tabella wp_options
  • Usa la scheda Cerca per cercare voci dannose

Un campione di possibili voci dannose da cercare sono:

  • fwp
  • wp_check_hash
  • class_generic_support
  • widget_generico_support
  • credenziali_ftp

Ricorda di stare estremamente attento a non eliminare nulla di importante dalla tabella wp_options . Ciò potrebbe causare un grave malfunzionamento del tuo sito o un arresto anomalo completo.

Naturalmente, se non ti senti a tuo agio a scavare così in profondità nel tuo sito, è meglio cercare l'aiuto di un esperto.

6. Trova e rimuovi il codice sospetto

Il codice sospetto è una delle principali cause degli hack del sito Web di WordPress. Il codice sospetto sarà simile a:

 <ul>
<li><a href="hackerdomain.com">Qualcosa2</a></li>

Un codice come questo reindirizzerà il tuo sito a un dominio controllato dall'attaccante. È importante verificare la presenza di domini nel codice del tuo sito che non dovrebbero essere presenti.

Molto spesso, un hacker nasconderà il proprio codice in base64. Questo li aiuta a evitare di essere scoperti. Ciò significa che, invece di vedere l'URL del loro sito Web (hackerdomain.com), apparirà invece qualcosa come YXR0YWNrZXJkb21haW4uY29t .

O, naturalmente, questo rende il codice sospetto più difficile da rilevare. Per cercare queste codifiche base64 nei tuoi file, è utile usare il comando grep:

 trova . -name "*.php" -exec grep "base64"'{}'\; -stampa &> b64-detections.txt

Questo codice ricerca i file .php scelti per le codifiche base64. Successivamente, i risultati vengono archiviati in b64-detections.txt.

Una volta che hai quel file, cerca una risorsa online che li decodifichi in modo da poter scoprire cosa sta succedendo sul tuo sito dietro le quinte.

7. Cerca le differenze di contenuto

Il plug-in iThemes Security Pro può essere utilizzato per monitorare eventuali modifiche ai file sul tuo sito e confronterà i file core di WordPress e i file di terze parti nel repository di WordPress per voci e nomi di file insoliti o sospetti.

Dopo aver determinato quali dei tuoi file sono stati violati, puoi eliminare il codice infetto o ripristinare i file del plug-in. È molto importante pulire completamente il codice del tuo sito. Il codice dannoso che viene lasciato indietro potrebbe causare rapidamente la reinfezione del tuo sito.

8. Ripristina la reputazione del tuo sito

Ora che hai ripulito il tuo sito, dovrai eseguire un triage sulla reputazione del tuo sito con Google.

La semplice pulizia e ripristino del tuo sito WordPress compromesso non ripristinerà automaticamente la reputazione del sito. In effetti, ci sono diverse cose che devi fare per assicurarti che Google e gli altri motori di ricerca non continuino a penalizzare il tuo sito dopo che è stato violato e pulito.

Spesso, il primo segno che avrai che il tuo sito è stato violato è che Google ti informa della situazione. Per vedere come Google sta attualmente visualizzando il tuo sito, vai su Google Search Console.

Se trovi delle Sitemap estranee in Search Console che non dovrebbero essere presenti o che sembrano pubblicare link di spam, ti consigliamo di eliminarli immediatamente. Successivamente, ti consigliamo di dare un'occhiata a eventuali problemi di sicurezza esistenti in Search Console. Se è attualmente visualizzato il grande schermo rosso di sventura e oscurità di Google, vedrai alcune grandi bandiere nella Search Console sotto Problemi di sicurezza.

Qui è dove chiederai a Google di rivedere il tuo sito web ora che è stato pulito.

Prevenire un hack farmaceutico di WordPress

Se dovessi trovare aree del tuo sito interessate da questo tipo di hack, segui i passaggi descritti in dettaglio in questa guida per risolvere il problema il più rapidamente possibile. Ora che sei a conoscenza di cos'è un hack farmaceutico su WordPress e di come assicurarti che il tuo sito non venga influenzato, è ora di mettersi al lavoro per rafforzare il tuo sito contro eventuali attacchi futuri.

1. Installa e attiva il plug-in iThemes Security Pro

Inizia scaricando e installando il plug-in iThemes Security Pro per determinare se il tuo sito è stato infettato. Il plug-in aggiunge più livelli di sicurezza del sito Web monitorando le modifiche ai file, aumentando la sicurezza dell'utente, scansionando i plug-in e i temi alla ricerca di vulnerabilità (e quindi aggiornandoli automaticamente per te) e fornendo confronti di file online che potrebbero indicare un hack.

Come minimo, abilita le seguenti impostazioni all'interno del plug-in iThemes Security:

  • Abilita l'autenticazione a due fattori per tutti gli utenti amministratori.
  • Abilita Scansione sito iThemes per scansionare il tuo sito web due volte al giorno alla ricerca di plugin, temi e versioni principali di WordPress vulnerabili.
  • Attiva la gestione della versione con l'applicazione di patch di vulnerabilità automatica.
  • Attiva Rilevamento modifiche file

2. Installa e attiva il plug-in BackupBuddy

Avere una strategia di backup per il tuo sito Web è una parte cruciale per prevenire futuri hack. Un backup significa che hai una copia del tuo sito web in un determinato momento, come prima che si verificasse un hack. Avere questo backup significa che puoi facilmente ripristinare il tuo sito a una versione precedente. (Assicurati solo di sostenere eventuali vulnerabilità o backdoor del sito Web) che esistono in quella versione del tuo sito o l'hacking potrebbe verificarsi di nuovo.

3. Utilizzare le migliori pratiche per la sicurezza del sito web

In qualità di gestore, amministratore o proprietario di un sito Web, la tua sicurezza online influirà sulla sicurezza del tuo sito Web.

Per esempio:

  • Non riutilizzare mai le password per più account.
  • Non condividere mai le tue password con altri.
  • Usa l'autenticazione a due fattori per il tuo login di amministratore di WordPress.
  • Non installare mai plugin o temi WordPress annullati.
  • Mantieni la versione principale, i plug-in e i temi di WordPress aggiornati alle ultime versioni.
  • Usa un host web affidabile con una solida sicurezza del server.
  • Usa un plug-in di sicurezza e un plug-in di backup di WordPress.

4. Rimani vigile sulla sicurezza del tuo sito web

La ricerca mostra che il tempo medio necessario per trovare una violazione della sicurezza o un hack è di 200 giorni! I siti trascurati sono spesso i più vulnerabili a questi tipi di hack, quindi assicurati di controllare la sicurezza e le prestazioni del tuo sito anche se hai siti a cui non accedi spesso.

Controllare semplicemente l'aspetto del tuo sito, rivedere i registri di sicurezza e assicurarti che tutti i tuoi temi, plug-in e versioni principali di WordPress siano aggiornati farà molto per prevenire un hack farmaceutico di WordPress. Forte della conoscenza di come proteggere il tuo sito e di alcuni strumenti per aiutarti a fare il lavoro, è più probabile che il tuo sito rimanga sicuro e protetto.

Proteggi e proteggi il tuo sito da hack e violazioni della sicurezza

WordPress attualmente alimenta oltre il 40% di tutti i siti Web, quindi è diventato un facile bersaglio per gli hacker con intenzioni dannose. Il plug-in iThemes Security Pro elimina le congetture dalla sicurezza di WordPress per rendere facile proteggere e proteggere il tuo sito Web WordPress. È come avere un esperto di sicurezza a tempo pieno nel personale che monitora e protegge costantemente il tuo sito WordPress per te.

Ottieni iThemes Security Pro