Il mio sito è segnalato da Google come compromesso da malware: cosa posso fare?

Se il tuo sito è infettato da malware, o veicolo di “phishing”, è necessario rimediare al danno il più velocemente possibile.

Segnaliamo di seguito alcune guide allo scopo:
http://www.google.com/support/webmasters/bin/answer.py?hl=it&answer=163634
http://knol.google.com/k/riona-macnamara/removing-malware-from-your-site/2vl8me364idq/1
http://www.antiphishing.org/reports/APWG_WTD_HackedWebsite.pdf

Se non hai la possibilità o la capacità di intervenire autonomamente:

  • puoi richiedere l’intervento del nostro servizio clienti, che effettuerà una bonifica delle parti evidentemente infette e monitorerà il sito per verificare l’eventuale ripresentarsi del problema.
    La rimozione delle parti infette potrà portare a dei malfunzionamenti nel sito o alla scomparsa di alcune pagine; la soluzione di tali problemi sarà di tua esclusiva competenza.
    Tale operazione è a pagamento.
  • puoi affidare ad un servizio esterno l’incarico di individuare e rimuovere la minaccia (consigliamo a questo proposito, ad esempio, il servizio di Sucuri.net – che oltretutto fornisce anche un efficace servizio di monitoraggio del sito, segnalando tempestivamente infezioni e vulnerabilità)
  • puoi cancellare completamente il sito oppure, in caso di difficoltà a farlo, puoi chiedere al nostro servizio clienti di cancellarlo: tale operazione è gratuita.
    Dopo la cancellazione, potrai ricaricarne i contenuti, dopo aver verificato che sono “puliti”.

Cosa fare e cosa non fare per non diventare uno “spammer”

Cos’è lo spam?

Questa è la definizione di spam data dal Garante per la Protezione dei Dati Personali:

Spamming o spam è l’invio, talora massiccio e ripetuto, tramite operatore o con modalità automatizzate, di comunicazioni non richieste (via telefono, e-mail, fax, sms o mms), senza che il destinatario abbia ricevuto un’informativa sul trattamento dei dati personali o abbia prestato il consenso a ricevere messaggi. Negli ultimi tempi, lo spamming sta interessando anche il mondo dei social network e quello dei sistemi di messaggistica per smartphone e tablet. 

Lo spammer – cioè colui che invia lo spam – utilizza riferimenti (e-mail, numeri telefonici, ecc.) per l’invio di messaggi promozionali spesso raccolti in modo non lecito o in maniera automatica via Internet (su gruppi Usenet, newsgroups, forum, ecc.), mediante speciali 
programmi (spambot, ecc.) o, più semplicemente, facendo invii massivi a caso ad indirizzi e-mail basati sull’uso di nomi comuni 
Scopo dello spamming è veicolare messaggi pubblicitari, ma tale pratica è legata anche a veri e propri tentativi di truffa, come il phishing. In Italia l’invio di messaggi automatizzati a fini promozionali non desiderati è soggetto a sanzioni amministrative e penali. 
Differenze tra spam ed invii leciti
Sempre nella definizione del Garante:
Se il contatto e-mail o telefonico è stato raccolto con il consenso del destinatario o secondo le modalità previste dalla legge (es: nell’ambito di un contratto per la fornitura di un qualche servizio), non si può parlare di spam. 
In ogni caso, se le comunicazioni pubblicitarie o altro tipo richieste (es: invio di newsletter, ecc.) risultano ad un certo punto indesiderate, è diritto del destinatario opporsi al trattamento dei propri dati inviando una e-mail al mittente per chiedere la 
sospensione dell’invio o utilizzando, se disponibili, le procedure on-line per la cancellazione dei tuoi dati dal database di chi  
invia le comunicazioni.
Linee guida per non essere considerati spammer
Se il contatto e-mail o telefonico è stato raccolto con il consenso del destinatario o secondo le modalità previste
dalla legge (es: nell’ambito di un contratto per la fornitura di un qualche servizio), non si può parlare di spam.
Casi di indirizzi email utilizzabili:
  • indirizzi email di clienti, con cui siano già in essere rapporti commerciali, ed ai quali sia stata quindi fornita la relativa informativa sul trattamento dei dati personali;
  • indirizzi email di utenti che si siano autonomamente e spontaneamente registrati sul sito del mittente;
  • indirizzi email di utenti presenti in indirizzari forniti da aziende che li abbiano raccolti nel rispetto della legge
    (nota: gli indirizzari del tipo “database email di Italia – 1.000.000 di indirizzi a 100 euro”  normalmente sono composti da indirizzi raccolti a caso sul web, e NON rispettano i requisiti di legge: quindi, sono del tutto inutilizzabili. Inoltre spesso comprendono indirizzi non più validi, o spamtrap, e quindi il loro uso, oltre ad essere illegale, è anche controproducente. Gli indirizzari di qualità, mirati e gestiti nel rispetto della legge, dolitamente hanno un costo non inferiore ad 1 € per ciascun indirizzo. Quindi, potenzialmente, un indirizzario di qualità di un milione di indirizzi dovrebbe avere un costo di un milione di euro…).
Un indirizzo email raccolto da un sito internet non è utilizzabile per inviare direttamente un’offerta commerciale!
PRIMA di inviare l’offerta, è necessario inviare una comunicazione preventiva, richiedendo il consenso esplicito per l’invio dell’offerta commerciale.
Se l’utente risponderà positivamente, allora si potrà inserire il suo indirizzo nella mailing list.
Viceversa, se l’utente non risponde, o se fornisce un diniego esplicito, non si potrà inserirlo nella mailing list.
NOTA: molti software di mass-mailing incorporano già delle funzioni per l’invio di questa email di richiesta consenso (di testo personalizzabile); consenso che viene raccolto per lo più attraverso un link compreso nel messaggio, che l’utente deve cliccare.
In ogni caso, se le comunicazioni pubblicitarie o altro tipo richieste (es: invio di newsletter, ecc.) risultano ad un certo
punto indesiderate, il destinatario ha il diritto di opporsi al trattamento dei propri dati inviando una e-mail al mittente per chiedere la
sospensione dell’invio o utilizzando, se disponibili, le procedure on-line per la cancellazione dei tuoi dati dal database di chi
invia le comunicazioni.
Anche in questo caso, molti software di mass-mailing comprendono già una completa gestione di questa casistica, permettendo all’utente di cancellarsi da una lista con un semplice clic.

E’ possibile attivare una connessione HTTPS per un sito?

La connessione HTTPS (detta anche “connessione sicura”), è un tipo di connessione che fornisce a chi naviga nel sito la garanzia di trovarsi nel sito “originale” di una certo ente/aziende, e non su un clone.

E’ quindi particolarmente importante per siti di ecommerce o siti che offrono servizi.

Tuttavia anche Facebook recentemente ha imposto, per qualsiasi applicazione esterna che si interfacci con i suoi sistemi, l’obbligo di risiedere su un server con autenticazione HTTPS: il che ha enormemente allargato l’utilizzo di questo protocollo.

Cosa serve per attivare una connessione HTTPS?

  • al dominio da certificare deve essere assegnato un IP dedicato
    Sui server di hosting shared tutti i siti residenti sul medesimo server condividono il medesimo IP; per poter attivare una connessione di tipo HTTPS, è necessario invece configurare il server in modo che a quel certo dominio venga assegnato e riservato in via esclusiva un certo determinato IP;
  • è necessario acquistare ed attivare un certificato SSL
    Esistono moltissimi certificati SSL di marche, caratteristiche e prezzi differenti. A parte le caratteristiche di crittografazione (a 128 o 256 bit), conta molto anche l'”autorevolezza” dell’ente certificatore, nonché la compatibilità con i vari browser (non tutti i certificati vengono gestiti da tutti i browser: quindi, utilizzare un certificato non supportato da un determinato browser può pregiudicare la navigazione sicura nel sito da parte degli utenti che lo utilizzano

Precisiamo che l’opzione non è attivabile sul piano hosting “base illimitato”, ma solo sui piani hosting Pro (oltre che, ovviamente, su soluzioni dedicate: VPS e server dedicati)

Il servizio comprende:
  • l’assegnazione di un IP dedicato per il sito (indispensabile per l’attivazione del certificato SSL)
  • fornitura di un certificato SSL 256 bit
  • installazione e configurazione del certificato SSL
I costi del servizio (aggiuntivo al costo del piano Hosting Pro) variano in funzione sia del tipo di certificato scelto, sia della durata del contratto; si può partire comunque da costi molto contenuti, inferiori ad € 125,00 + IVA /anno.
Per maggiori informazioni, effettuate la richiesta aprendo un ticket di assistenza su panel.newmedialabs.it  ed esponendo anche le vostre necessità.
[box type=”warning”] NOTA: l’attivazione di una connessione HTTPS può richiedere delle operazioni di modifica del sito, in quanto tutti i contenuti forniti devono obbligatoriamente provenire dal medesimo server, oppure comunque solo ed esclusivamente da altri server con connessione HTTPS; richiamare, ad esempio, iframe residenti su server esterni senza passare attraverso una chiamata di tipo HTTPS genererà un errore. [/box]

Il mio sito è stato violato da un hacker: come è potuto accadere?

Può capitare talvolta che un sito venga “hackerato”, ossia compromesso da una qualche fonte esterna.
Le azioni più comuni sono le seguenti:

  • defacing: il sito viene “defacciato”, ovvero la home page viene sostituita con una schermata (che normalmente “celebra” l’hacker che è riuscito nell’operazione, con eventuale contorno di propaganda politica)
  • phishing: all’interno del sito viene inserita una paginetta che riproduce (più o meno fedelmente) il portale di una qualche carta di credito, o di un istituto bancario, o di Paypal; lo scopo è indirizzare degli utenti (con opportune azioni via email) verso questa pagina, che verrà utilizzata per carpirne i dati della carta di credito o di accesso al conto.
  • spam: all’interno del sito viene inserito uno script che comincerà ad inviare spam per tramite del server “ospite”
  • DDOS agent: all’interno del sito viene installato un software che, di concerto con altri software analoghi instalati in altre centinaia di siti in giro per il mondo, ad un certo punto “attaccherà” un certo sito, vero obiettivo dell’azione

Come avvengono queste intrusioni?

Non dovete credere che avvengano sempre per opera di un qualche hacker che in qualche maniera “viola” i sistemi di sicurezza del server; anzi, interventi di questo tipo, effettuati da un qualche operatore “umano” sono rari e sono sempre mirati verso siti specifici.
Esempi di questo tipo ce ne sono a bizzeffe:

il defacing effettuato nel 2009 sul sito di Poste Italiane
il defacing di beppegrillo.it (giugno 2012)
il defacing antidoping del sito di Alex Schwazer (agosto 2012)
il defacing di vittoriosgarbi.it (marzo 2012)
… e tantissimi altri (potete provare a dare un’occhiata al blog ufficiale di Anonymous Italia per rendervi conto del numero e tipo di attacchi svolti)

Questo genere di attacchi è, tutto sommato, il meno preoccupante.

Perchè?

Intanto, perchè si rivolgono sempre verso obiettivi mirati ed “importanti”: se non vi chiamate Vittorio Sgarbi o Alex Schwazer, se il vostro sito non è quello del Ministero dell’Ambiente o dell’Ilva, questi attacchi non dovete temerli.
Poi perchè si tratta di operazioni complesse (e spesso costose), che possono richiedere anche giorni di lavoro e/o un hacker molto abile per arrivare a segno; e difficilmente quindi qualcuno sprecherà giorni e giorni di lavoro per defacciare il sito della pizzeria sotto casa…

Non bisogna neppure credere che queste azioni avvengano per una possibile “vulnerabilità del server”: si, certo, teoricamente è possibile, ma poichè i nostri server sono adeguatamente protetti ed aggiornati, nella pratica non avviene MAI.
L’ultima (e ad oggi anche unica) volta che un nostro server è stato compromesso è stato nel settembre del 2010: nell’arco di pochi minuti, oltre un centinaio di siti hostati su quel server furono defacciati. Quindi, se il vostro sito è l’unico ad aver avuto problemi su un nostro server, potete stare tranquilli che il problema è del sito e non del server.

Nella realtà, la quasi totalità di queste azioni viene svolta da “BOT”, da software che fanno scan continui e sistematici in internet, alla ricerca di siti facili da violare in maniera “automatica”, ovvero senza l’intervento di nessun operatore umano.

E quando un sito è “facile da violare”? Quando è presente una qualche vulnerabilità, che riassumiamo di seguito:

  • uso di CMS non aggiornati
    Moltissimi siti vengono oggi realizzati per mezzo di CMS (WordPress, Joomla, Drupal… solo per citare i principali).
    Si tratta di software complessi, che possono nascondere al loro interno dei bug che li rendono violabili.
    Non appena uno di questi bug viene scoperto, normalmente in poco tempo viene rilasciato un aggiornamento che lo risolve. Se però questo aggiornamento non lo installiamo, il nostro sito resterà vulnerabile.
    Potrà capitare che qualcuno (anche dall’altra parte del pianeta) realizzerà un BOT che cercherà sistematicamente siti che utilizzino quella certa versione vulnerabile di quel certo CMS; una volta trovati, sfrutterà (sempre automaticamente) questa vulnerabilità per fare poi quello che vuole all’interno del sito.
    SOLUZIONE: mantenere sempre aggiornato il proprio CMS
  • uso di plugin o temi non aggiornati
    Il meccanismo è lo stesso già visto per i CMS; anche i plugin ed i temi sono software complessi, che possono celare al loro interno delle vulnerabilità.
    SOLUZIONE: mantenere sempre aggiornati i plugin ed i temi
  • uso di plugin o temi infetti
    Può capitare che all’interno di un plugin venga inserita deliberatamente una certa vulnerabilità, una “porta di servizio” nota solo a chi lo ha sviluppato. Il plugin (che può avere l’aspetto più innocente del mondo) viene diffuso, installato magari su centinaia o migliaia di siti fino a quando l’autore non decide di sfruttarlo.
    L’operazione può esser svolta non solo dall’autore del plugin, ma anche da chiunque altro (molto spesso questi moduli sono open surce, e quindi il codice sorgente è liberamente disponibile). Quindi, qualcuno può anche manipolare e modificare un plugin esistente “sano”, e poi cominciare a diffonderne una versione modificata, per sfruttarla in seguito, dopo che il plugin si sarà diffuso
    SOLUZIONE: usate solo ed esclusivamente plugin e temi di “buona reputazione”, e scaricateli solo ed esclusivamente da siti affidabili.
    (Si, quel certo plugin che fa uno show di foto è proprio quello che stavate cercando: ma se vedete che ha solo poche dozzine di installazioni, e che si può scaricare solo da un oscuro sito koreano… meglio lasciar perdere).
  • uso di password banali
    Una delle tecniche più banali è quella del “brute force”: un BOT cercherà di effettuare il log-in sul vostro sito, provando password a caso scelte tra una libreria di una milionata delle password più comuni. Ai primi posti troverete i vari “pippo”, “123456”, “qwerty”, ecc.
    Quindi, se usate una di queste passowrd, il vostro sito verrà violato nell’arco di poche ore. Se usate password un po’ più complesse, ci potranno volere alcuni giorni.
    SOLUZIONE: usate password complesse, di almeno 12 caratteri, che utilizzino lettere maiuscole, minuscole, numeri e caratteri speciali, e che non siano riconducibili ad alcun significato. Una buona password è ad esempio “Aj97%g745Why$”
  • presenza di virus o malware su uno dei PC usati per gestire il Vostro sito
    Se il PC che utilizzate per gestire il vostro sito è infetto da un virus o da un malware, può capitare che (tra il resto) questo malware prenda tutte le password memorizzate nel vostro browser e le invii ad un BOT esterno, che provvederà poi (magari in un futuro non prossimo) a combinare danni.
    Non è necessario che questo avvenga proprio sul PC che utilizzate quotidianamente: è sufficiente che capiti sul PC di un amico/collega/cliente/albergo che avete usato magari sei mesi fa…
    SOLUZIONE:
    – utilizzate sempre un buon ativirus aggiornato
    – se dovete utilizzare un PC “estraneo” per gestire il vostro sito, non memorizzate la password nel browser
    – sempre se dovete usare un PC “estraneo”, a meno che non siate più che certi della “salute” di questo PC, una volta tornati sul vostro PC modificate la password

Questi sono i mezzi più comuni usati per violare un sito; ce ne sono altri, più sofisticati ma anche molto più rari, che qui neppure citiamo.
Tuttavia, osservando gli accorgimenti sopra suggeriti, si riusciranno ad evitare la quasi totalità dei problemi che potranno ragionevolmente verificarsi.

COSA FARE SE IL VOSTRO SITO E’ STATO VIOLATO

  • cancellate tutti i contenuti
  • controllate se il vostro CMS è aggiornato; se non lo fosse, procuratevene una copia aggiornata
  • controllate ed aggiornate TUTTI i plugin utilizzati; eliminate qualsiasi plugin di cui non siate CERTI della genuinità
  • controllate ed aggiornate il tema; se non siete certi della sua genuinità, cambiatelo
  • fate un approfondito check antivirus del vostro PC e di qualsiasi altro PC utilizzato nel corso degli ultimi mesi per gestire il vostro sito
  • modificate tutte le password utilizzate per la gestione (password di amministratore del CMS, password FTP, password di accesso ai db)
  • concluse queste operazioni, potete ricaricare i contenuti del sito

NOTA: per il check del proprio sito, consigliamo di effettuare uno scan antimalware gratuito con il servizio di Sucuri.
Sucuri offre anche un servizio a pagamento per il check continuo del sito e, in caso di necessità, la bonifica dello stesso.

Come rendere più sicura l’installazione di WordPress

WordPress è oggi il CMS più comune e diffuso: solo nei nostri piani di hosting shared ospitiamo oltre un migliaio di siti che lo utilizzano (senza contare le installazioni su VPS o server dedicati).

Come tutti i CMS, apre però il fianco ad alcune vulnerabilità, che possono permettere l’installazione abusiva di codice malevolo.

Riteniamo quindi importante fornire alcuni suggerimenti per aumentare la sicurezza della propria installazionedi WordPress:

MISURE MINIME

  • aggiornate WordPress e tutti i plugin installati all’ultima versione disponibile
  • installate il plugin di sicurezza http://wordpress.org/extend/plugins/better-wp-security/
    (nota: questo plugin è preinstallato di default sul nostro piano hosting dedicato per WordPress: quindi, l’utente in tal caso deve solo abilitarlo e configurarlo)
  • assicuratevi di utilizzare per l’utente admin una password molto “robusta”
    (almeno 10 caratteri, utilizzando lettere maiuscole e minuscole, numeri, caratteri speciali; qualcosa del tipo “fyU7b!vfPjASnw”)
  • non utilizzate l’utente admin per postare ed inserire contenuti
    L’utente admin va utilizzato solo per installare, configurare e gestire l’installazione di WordPress. Tutti i contenuti ed i post vanno inseriti utilizzando un altro profilo utente, creato appositamente
  • fate regolari backup del vostro sito e del database
    Ricordiamo che i backup che noi eseguiamo servono a permettere il ripristino dei servizi in seguito ad un crash del server; se i dati del vostro sito vengono cancellati per errore, o a causa di codice malevolo inseritosi nel sito, non è possibile effettuare il restore dai nostri set di backup
  • utilizzate plugin e template solo da fonte sicura
    Evitate di utilizzare plugin e template scaricati dal primo sito che capita; potrebbero essere contraffatti o infetti.
    Utilizzate solo software scaricato da siti sicuri (p.es. wordpress.org o download.com)

Altri suggerimenti per aumentare la sicurezza di un’installazione WordPress sono disponibili al seguente link:
http://codex.wordpress.org/Hardening_WordPress

 

MISURE SUPPLEMENTARI

[box type=”warning”] NOTA: non tutte queste misure sono adottabili all’interno di un piano di hosting shared. Alcune sono destinate solo a chi ha installazioni all’interno di VPS o server dedicati.[/box]

Disabilitate il comando DROP per l’utente DB_USER
(il comando DROP è virtualmente inutile per l’installazione di WordPress)

Rimuovete i file README ed i file di licenza
(in quanto rendono disponibili informazioni sulla versione utilizzata)

spostate il file wp-config.php ad un livello di directory superiore, ed impostate i relativi permessi a 400

prevenite la possibilità di lettura del file htaccess

limitate l’accesso a wp-admin solo a specifici IP

SE RISCONTRATE UNA VIOLAZIONE DI UNA VOSTRA INSTALLAZIONE WORDPRESS IN UN HOSTING SHARED O FRACTO:

segnalateci immediatamente il fatto con un ticket su panel.newmedialabs.it