Che cos’è un’iniezione di codice?
Un’iniezione di codice o attacco virus al sito web è un’intrusione di dati o una negazione di accesso al sito. In questo tipo di attacchi si tenta di modificare file e valori propri del CMS e anche la struttura della programmazione web.
Le tecniche di iniezione di codice sono molto popolari nell’ambito dell’“hacking” per ottenere accesso a informazioni riservate, aumentare privilegi o accedere a sistemi protetti. Questo tipo di attacchi ha sempre finalità malevole, tra cui:
Modifica arbitraria di valori in un database tramite iniezione .SQL. L’impatto può andare da modifiche nell’aspetto del sito fino alla compromissione di dati molto sensibili.
Installazione di malware o esecuzione di codice malevolo su un Server tramite iniezione di codice PHP.
Aumentare o diminuire i privilegi del proprietario del sito, generando vulnerabilità nel sistema operativo.
Attaccare gli utenti di siti web tramite iniezioni di codice PHP o script shell. Questa tecnica consente a un attaccante di inviare codice a un’applicazione web che verrà poi eseguito localmente dal Server Web.
Penalizzazione da parte di Google e accesso limitato al sito, compromettendo la reputazione del sito web.
Invio massivo di spam.
Comparsa di pubblicità e immagini indesiderate sul sito.
Fattori di rischio
Questo tipo di vulnerabilità può verificarsi molto frequentemente nei seguenti casi:
Quando il sito (CMS; WordPress, Joomla, Prestashop, ecc.) non viene aggiornato da tempo.
Quando plugin o temi non provengono dal repository ufficiale del CMS. A volte si installano plugin e temi gratuiti non ufficiali che possono provocare vulnerabilità e falle di sicurezza.
Quando non è mai stata modificata la password di accesso al gestore FTP e al Pannello di controllo del CMS.
Perché può accadere anche con il firewall attivo?
Cdmon dispone di strumenti per rilevare virus negli hosting (sia web che posta elettronica). Tutte le misure di protezione sono attive sul Server. Tuttavia, si raccomanda al cliente di mantenere aggiornato il sito e il CMS utilizzato.
Quando si rileva che il sito è infetto e può generare “phishing” o altri sintomi di infezione, l’hosting viene bloccato per evitare problemi al server e prevenire la perdita di dati. Cdmon si occupa di analizzare il sito alla ricerca di file sospetti contenenti codice infetto. Successivamente il cliente viene informato.
Come procedere in caso di iniezione?
In
cdmon disponiamo di un servizio di consulenza WordPress che si occupa di aggiornare e pulire il suo WordPress per renderlo completamente ottimale.
Aggiorniamo il tuo WordPress
Tuttavia, è possibile che utilizzi un altro CMS o preferisca effettuare la revisione autonomamente. Può procedere in modo indipendente da cdmon. Raccomandiamo di seguire questi passaggi:
Per evitare futuri attacchi, per quanto possibile, si raccomanda di aggiornare il CMS così come i plugin o temi installati.
Avere l’hosting su un Server che consenta di modificare la versione PHP.
Modificare la password del gestore FTP. Si consiglia di cambiarla periodicamente.
Modificare utente e password di accesso al Pannello di controllo del CMS.
Installare plugin di sicurezza. I CMS dispongono generalmente di vari plugin per il rilevamento di virus. È inoltre importante, soprattutto nei moduli web, configurare reCaptcha.
Creare un file robots.txt per evitare che alcune parti del sito vengano scansionate o indicizzate da alcuni motori di ricerca.
Se il sito è stato bloccato da Google, una volta pulito, è necessario contattare tramite lo strumento “Webmaster Tools di Google” affinché possano revisionare il sito e rimuovere la restrizione di accesso.
Si raccomanda di effettuare copie di sicurezza dell’hosting. Cdmon esegue backup giornalieri e il cliente, dal suo Pannello di controllo di cdmon, dispone dello strumento di ripristino del sito fino a 14 giorni. Tuttavia, si consiglia di avere una copia locale sul proprio computer, poiché se il sito è infetto da oltre 14 giorni, anche ripristinandolo a uno stato precedente dal Pannello di controllo, potrebbe risultare ancora infetto.