- Home
- Categorie
- Coding e Sistemistica
- WordPress
- Problema visite
-
Problema visite
Buongiorno a tutti,
ho un problema e non essendo esperta, chiedo aiuto a voi. Ho un sito wordpress e fino poco tempo fa tutto ok.
Ultimamente al mio indirizzo email mi arrivano parecchie email spam, inoltre dalle statistiche di google analytics ed anche visualizzando ora il traffico in diretta, noto tantissimi accessi da: giappone/cina etc. Gli indirizzi ip sono tutti diversi. Le visite sono tutte impostate in questo modo:/kind/21014.htm
/seat/23592.htm
/play/32272.htmQueste solo alcune, ho la sensazione che qualcuno stia combinando qualcosa di "strano" sul sito. Non posso bannarli tutti perchè sono infiniti, cambiano sempre ip.
Ho chiesto aiuto al mio provider e mi ha risposto che ho file compromessi e devo verificarli, ma sinceramente non so come fare.Attendo vostri aiuti o metodi per garantire la sicurezza al sito.
Grazie.
-
Ciao, io non sono certo esperta ma posso consigliarti un paio di cose su wordpress che mi hanno salvato
cose da fare prima
(so che può sembrare stupido ma se hai file compromessi magari è perchè qualche malintenzionato ha fatto l'accesso al backend del tuo WP)- username e password admin complesse
- eliminato i suggerimenti "wrong user, wrong password" dal login (ci sono dei plugin se non vuoi modificare via codice)
- cambiare l'url della pagina di login - anche qui ci sono dei plugin free se non vuoi metter mano al codice
- installare plugin sulla sicurezza e settarlo con molta cura - io uso sempre wordfence in versione free e mi sono sempre trovata bene
- io poi ho anche un account norton free dove puoi registrare il tuo dominio e loro lo monitorano (non so se serva ma è carino che quando un utente ha norton e fa una ricerca su google esca il bollino verde
)
Nel tuo caso hai già dei file compromessi quindi direi che dovresti installare wordfence e fargli fare una scansione - il programma ti dice quali sono i files che ha trovato modificati se riesci li sistemi o li elimini
vai su google e cerca i siti che ti permettono di scansionare free il tuo dominio mi pare che AVG abbia un tool ma ce ne sono svariati
tramite analytics ti direi anche, di verificare i link in uscita del tuo sitoQuello che non ho capito (prob è perché sono inesperta) è cosa intendi con
Le visite sono tutte impostate in questo modo:
/kind/21014.htm
.....
nel senso che sono delle pagine extra inserite nel tuo dominio? E che questi ip vanno a vedere quelle pagine?detto ciò spero che tu risolva quanto prima anche se a volte risulta più pratico rifare tutto da quanto mi dicono
-
Grazie mille taffarel,
spiegazione dettagliata a cui farò riferimento.Partiamo dal fatto che sono insesperta, non sono un tecnico o cose simili. Il provider mi ha semplicemente detto di fare tutto da capo, ma il sito era abbastanza posizionato e i contenuti sono tantissimi. Dunque sto cercando altre soluzioni prima di azzerare tutto e creare un sito ex novo.
Allego uno screen di cosa vedo io, come accessi, potrai constatare che sono tanti ( e sono solo una parte ), da indirizzi ip diversi e tutti simili fra di loro. Se cerco ora su google il mio sito, appare con scritte "strane" indirizzato al mio sito. Quindi ho paura che sia proprio un sabotaggio in corso, anche se non capisco il perchè essendo un semplice e piccolo grafico.
Stats: i67.tinypic.com/2z5j3hi.jpg
Risultati di ricerca con stringa intera: i65.tinypic.com/2ex6e6c.png
Risultati di ricerca da google inserendo solo il dominio: i66.tinypic.com/a3ozd1.png
Il file errorlog rimanda ad una miriade di errori di redirect, intanto. [[ [19-Sep-2016 10:49:44 UTC] WordPress errore sul database Got error 'repetition-operator operand invalid' from regexp per la query SELECT a.id, a.url_redirect from phsjp_psp_link_redirect as a WHERE 1=1 and a.url regexp '^miosito.it/***/81724.htm/?$'; fatta da require('wp-blog-header.php'), wp, WP->main, do_action_ref_array, call_user_func_array, pspLinkRedirect->redirect_header, pspLinkRedirect->getUrlRedirect ]]
Spero di non essere spacciata, lasciatemelo dire ragazzi/e..che scocciatura!
Attendo suggerimenti, più dettagliati sono meglio è, in quanto non esperta. Così posso seguirvi meglio.Grazie mille a tutti intanto per la pazienza e per i consigli.
-
ho visto le immagini
credo che ti abbiano- iniettato del codice html nelle pagine (hai ispezionato il codice sorgente? Ad una mia amica avevano inserito su tutti i loghi aziendali dell'htm che rimandava a siti illegali)
- e anche creato delle pagine non collegate "all'albero" dove poi sopra hanno messo come una patina trasparente che linka a degli altri siti
deduco che tu o il tuo servizio hosting non abbiate un backup non compromesso del sito e del db altrimenti non stavamo qui giusto? altra cosa da aggiungere alla lista degli indispensabili
- hai cambiato le password di tutti gli utenti di wp?
- hai verificato che non ci siano degli amministratori/utenti abusivi, cioè non creati da te? E se ne trovi non esitare a cancellarli
3)** hai installato wordfence e gli hai fatto fare una scansione per capire quali e soprattutto quanti file sono stati manomessi?** perchè se hai una valanga di contenuti (1000 post) ma hanno rovinato solo 10 pagine ti conviene cercare di sistemare/cancellare quelle se invece hanno oramai bucato tutto il sito.... - dovresti cambiare password FTP
- magari aiuta anche cambiare la psw del db
- altra cosa non ho visto se hai settato i permalink personalizzati oppure sono al formato originale post?../
- hai disattivato i plugin non necessari?
- a volte le brecce sono permesse anche da plugin non sicuri e/o non aggiornati
detto questo non mi risulta che esista un tool che ti ripulisce il sito e se non ricordo male più tempo passa peggio è perché quando google se ne accorge te lo indica come compromesso in ricerca (vai su google e ricerchi la "guida per i siti compromessi") e poi la procedura è tediosa
-
Ciao Taffarel e grazie di nuovo, a seguire ciò che ho fatto e rispondo alle tue domande:
- hai cambiato le password di tutti gli utenti di wp? Cambiate
- hai verificato che non ci siano degli amministratori/utenti abusivi, cioè non creati da te? E se ne trovi non esitare a cancellarli Sono solo io presente
3)** hai installato wordfence e gli hai fatto fare una scansione per capire quali e soprattutto quanti file sono stati manomessi?** perchè se hai una valanga di contenuti (1000 post) ma hanno rovinato solo 10 pagine ti conviene cercare di sistemare/cancellare quelle se invece hanno oramai bucato tutto il sito....Wordfence si blocca come da screenshot, per il resto dice tutto bene. - dovresti cambiare password FTP Cambiato
- magari aiuta anche cambiare la psw del db Cambiato
- altra cosa non ho visto se hai settato i permalink personalizzati oppure sono al formato originale post?../ I permalink li ho settati fin dall'inizio personalizzati
- hai disattivato i plugin non necessari? Ho tutti plugin gratuiti e quelli premium sono stati acquistati, quindi tutto regolare.
Ecco lo screen della scansione, cosi se puoi aiutarmi mi faresti felice:
i64.tinypic.com/211sznb.png
i65.tinypic.com/2dgs3dy.pngE purtroppo anche oggi, un continuo:
Attendo grazie.
- a volte le brecce sono permesse anche da plugin non sicuri e/o non aggiornati
-
Se vuoi, prova anche col plugin "Sucuri Security - Auditing, Malware Scanner and Security Hardening", che contiene un ottimo Malware Scanner...
Sul sito di Sucuri è uscito pochi giorni fa un articolo su come analizzare e correggere un sito compromesso.A proposito... i file del tipo /play/32272.htm sono realmente presenti sul tuo sito?
-
Ciao , potresti fornirci la url del sito ?
probabilmente sei stata bucata nel core e con massivi link inbound di Spam.
-
Il sito in questione è: francescasi.it
Sucuri mi da che è tutto ok ( CLEAN )! Però ho vari tentativi di accessi falliti ( ho attivato la ricezione via email ).
((A proposito... i file del tipo /play/32272.htm sono realmente presenti sul tuo sito?)) Tutte queste pagine danno errore 404 e sono a me sconosciute.
Praticamente ora sono 2 le soluzione, dato che non sono un tecnico :(:
- mi affido a qualcuno che risolva questa cosa, anche se non so se sia risolvibile.
- ri creo tutto da capo ( disperazione + totale ).
Anche oggi, dopo 4 giorni di assenza, torno e trovo tantissimi accessi fasulli con questi link che rimandano ad errore 404.
Grazie per l'aiuto.
-
Ciao
Prova a fare ricerca di Google con parola chiave il nome del tuo sito. Vedrai che sei stata Hackerata (o meglio Crackerata)
Poi con un tool Backlink Checker verifica i backlinks del tuo sito. A me risultano circa 50 backlinks di spam In lingua Cinese con Anchor Text la root del tuo sito.
Potrebbero essere stati compromessi anche dei file nel core del tuo Wordpress che devi ripristinare (da backup), oltre poi dedicarti ad una operazione di Disavow (Rifiuto dei backlink) attraverso la Search Console di Google.
Non spaventarti, pazienza e si risolve. Sono attacchi malevoli che possono accadere.
-
Grazie Donomassimo per la spiegazione,
se esporto i contenuti ( di testo ed immagini ) ora, con il tool esporta di wordpress mi porto dietro anche tutto il problema?
Purtroppo l'ultimo backup che ho è vecchissimo.Inoltre ti chiedo, dato che ho capito che dovrò ri fare tutto da capo, una guida per questa operazione "disavow" che dici, in modo che posso seguirla.
Grazie.
-
Ciao
Solitamente queste situazioni si risolvono in pochi minuti ripristinando da Backup.
Se non hai questa possibilità si può tentare di analizzare e rimuovere la minaccia manualmente, invece di rifare il sito daccapo.
Esportare i contenuti è una operazione che non ho mai preso in considerazione, quindi non so che dirti. A naso mi sembra macchinosa, ma è una mia impressione basata sul nulla.
Il disavow non è altro che un file txt da inviare a Google ,con l'elenco delle url che vuoi rimuovere. Tutto ciò si fa da Google Search Console.
-
@fsdesign said:
Inoltre ti chiedo, dato che ho capito che dovrò ri fare tutto da capo, una guida per questa operazione "disavow" che dici, in modo che posso seguirla.
Grazie.
-
Grazie Donomassimo,
purtroppo pare che non ci siano proprio backup "sani", quindi da capo.
-
Ciao a tutti, oggi mi pare da controlli sul sito e google analytics che le visite si stanno "attenuando" alla normalità. Ho installato sucuri ed è attivo, ora vorrei un consiglio: è comunque meglio che io ri crei tutto da capo o posso lasciare le cose cosi come stanno?
Attendo vostre.
-
Ciao perdonami se ripeto questa cosa
Puoi dirci cosa vedi nelle serp di Google se fai una ricerca del tuo sito?
Che Title e Description vedi ?
-
Ciao Donomassimo,
effettuando una ricerca del sito su google vengono mostrate varie pagine ( corrette ) e varie pagine con title e description non corrette. La prima ad esempio è:
[h=3]Cressi Matrix Masque de Plongée/Natation - Clear/Bleufrancescasi.it/Ricerca qui: bit.ly/2cvB6Cx
-
@fsdesign said:
Ciao Donomassimo,
effettuando una ricerca del sito su google vengono mostrate varie pagine ( corrette ) e varie pagine con title e description non corrette. La prima ad esempio è:
Cressi Matrix Masque de Plongée/Natation - Clear/BleuRicerca qui: bit.ly/2cvB6Cx
Esatto. Convinta che sei stata bucata ?
Vedi che c'è anche un alert di Google che dice "Questo sito potrebbe essere compromesso." ? (con Chrome io lo vedo questo alert)
-
Si ho visto proprio ora, niente cancello il mondo!
Grazie DonNon so perchè ma vorrei sapere chi è stato per mandargli un pacco bomba ahahah:D
-
@fsdesign said:
Si ho visto proprio ora, niente cancello il mondo!
Grazie DonNon so perchè ma vorrei sapere chi è stato per mandargli un pacco bomba ahahah:D
Secondo me ti conviene di cercare di andare a scovare i file malevoli prima di soluzioni estreme.
Puoi cercare ad esempio tutti i file modificati in una data che a te non risulta possibile. (file del core, non dei contenuti)
-
Purtroppo non sono un tecnico, ho provato a cercare file malevoli ma niente, via ftp non li vedo. Ho provato con scanner, firewall e altro e mi dicono che è tutto ok. Ormai è fatta. Sito in azzeramento, sono dispiaciuta ma vabbeh capita.
Grazie mille. Ora appena tornerò online provederò a precauzioni e a fare backup regolarmente.
