Questa guida è stata creata appositamente per un tipo di attività illecita che aggiunge al tuo sito pagine con un gran numero di parole chiave senza senso, che chiamiamo attività illecita con parole chiave e link mascherati. È scritto principalmente per gli utenti dei più diffusi sistemi di gestione dei contenuti (CMS). Tuttavia, se non utilizzi un CMS, questa guida potrebbe comunque esserti utile.
Identificare l'hack
La compromissione con parole chiave e link con cloaking crea automaticamente molte pagine con testo, link e immagini privi di senso. Queste pagine talvolta contengono elementi di base del modello del sito di origine, perciò a prima vista la pagina potrebbe sembrare una normale pagina del sito, finché non se ne legge il contenuto.
Le pagine compromesse vengono create per manipolare i fattori di ranking di Google. Gli hacker spesso tentano di monetizzare questa attività vendendo i link sulle pagine compromesse a diverse terze parti. Spesso le pagine compromesse reindirizzano anche i visitatori a una pagina non correlata in cui gli hacker possono guadagnare.
Per prima cosa, controlla lo strumento Problemi di sicurezza in Search Console per verificare se Google ha rilevato una di queste pagine compromesse sul tuo sito. A volte, puoi anche trovare le pagine aprendo la Ricerca Google e digitando site:_your site url_
, con l'URL a livello di radice del tuo sito. I risultati di questa ricerca mostrano le pagine che Google ha indicizzato per il tuo sito, incluse quelle compromesse. Esamina un paio di pagine dei risultati di ricerca per vedere se noti URL insoliti.
Se non visualizzi contenuti compromessi nella Ricerca Google, utilizza gli stessi termini di ricerca con un altro motore di ricerca. Ecco un esempio di come potrebbe essere:
![Risultati di ricerca generati da questo hack.](https://web.dev/static/articles/fix-the-cloaked-keywords-hack/image/search-results-generated.png?hl=it)
In genere, quando fai clic su un link a una pagina compromessa, viene visualizzato un messaggio di reindirizzamento a un altro sito o una pagina piena di contenuti incomprensibili. Tuttavia, potresti anche visualizzare un messaggio che indica che la pagina non esiste (per esempio, un errore 404). Non farti ingannare. Gli hacker cercano di indurti con l'inganno a pensare che la pagina non sia più disponibile o che sia stata riparata, quando in realtà è ancora compromessa. Per farlo, nascondono i contenuti.
Per verificare la presenza di cloaking, inserisci gli URL del tuo sito nello strumento Controllo URL. Lo strumento Visualizza come Google ti consente di vedere i contenuti nascosti sottostanti.
![Una pagina di esempio creata da questo hack.](https://web.dev/static/articles/fix-the-cloaked-keywords-hack/image/example-hacked-page.png?hl=it)
Correggere l'hack
Prima di iniziare, esegui il backup dell'intero sito offline. In questo modo, potrai ripristinare i file in un secondo momento, se necessario. Salva tutti i file presenti sul server in una posizione al di fuori del server.
Se utilizzi un sistema di gestione dei contenuti (CMS), come WordPress o Drupal, potresti essere in grado di utilizzare un plug-in di backup per salvare il tuo sito. Ricordati di eseguire il backup anche del database. Per scoprire come, consulta la documentazione del tuo CMS.
Controlla il file .htaccess
(3 passaggi)
La compromissione con parole chiave e link con cloaking utilizza il file .htaccess
per creare automaticamente pagine con cloaking sul tuo sito. Acquisire familiarità con le .htaccess
nozioni di base sul sito ufficiale di Apache può aiutarti a capire meglio in che modo l'attacco sta interessando il tuo sito, ma non è obbligatorio.
Passaggio 1
Individua il file .htaccess
sul tuo sito. Se non sai dove trovarlo
e utilizzi un CMS come WordPress, Joomla o Drupal, cerca "posizione del file .htaccess" in un motore di ricerca insieme al nome del tuo CMS.
A seconda del sito, potresti visualizzare più file .htaccess
.
Crea un elenco di tutte le posizioni dei file .htaccess
.
Passaggio 2
Apri il file .htaccess
per visualizzarne i contenuti. Cerca una riga di codice simile alla seguente:
RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]
Le variabili in questa riga possono variare, ad esempio Sia cj2fa
che tobeornottobe
possono essere qualsiasi combinazione di lettere o parole. È importante identificare il .php
a cui si fa riferimento in questa riga.
Prendi nota del file .php
menzionato nel file .htaccess
. Nell'esempio, il file .php
è denominato injected_file.php
, ma in realtà il nome file non sarà così evidente. Di solito si tratta di un insieme casuale di parole innocue come
horsekeys.php
o potatolake.php
. È probabile che si tratti di un file .php
dannoso che dobbiamo rintracciare e rimuovere in un secondo momento.
Passaggio 3
Sostituisci tutti i file .htaccess
con una versione pulita o predefinita del file .htaccess
. In genere puoi trovare una versione predefinita di un file .htaccess
cercando "file .htaccess
predefinito" e il nome del tuo CMS. Per i siti con più
.htaccess
file, trova una versione pulita di ciascuno ed esegui la sostituzione.
Se non esiste un .htaccess
predefinito e non hai mai configurato un file .htaccess
sul tuo sito, il file .htaccess
che trovi sul tuo sito è probabilmente dannoso.
Salva una copia dei file .htaccess
offline per sicurezza e dal tuo sito.
Trovare ed eliminare altri file dannosi (5 passaggi)
Identificare i file dannosi può essere complicato e richiedere molto tempo. Prenditi il tuo tempo quando controlli i file. Se non l'hai ancora fatto, è un buon momento per eseguire il backup dei file sul tuo sito. Cerca la documentazione del tuo CMS specifico per scoprire come eseguire il backup del tuo sito.
Passaggio 1
Se utilizzi un CMS, reinstalla tutti i file di base (predefiniti) inclusi nella distribuzione predefinita del tuo CMS, nonché tutto ciò che potresti aver aggiunto (ad esempio temi, moduli, plug-in). In questo modo, puoi assicurarti che questi file non contengano contenuti compromessi. Puoi cercare "reinstalla" e il nome del tuo CMS per trovare le istruzioni di reinstallazione. Se hai plug-in, moduli, estensioni o temi, assicurati di reinstallarli.
Passaggio 2
Inizia cercando il file .php
che hai identificato nel file .htaccess
in precedenza. A seconda di come accedi ai file sul server, dovresti avere un qualche tipo di funzione di ricerca. Cerca il nome file malevolo. Se la trovi, crea prima una copia di backup e archiviala in un'altra posizione per sicurezza, nel caso in cui tu debba ripristinarla, quindi eliminala dal tuo sito.
Passaggio 3
Cerca eventuali file dannosi o compromessi rimanenti. Potresti aver già rimosso tutti i file dannosi nei due passaggi precedenti, ma è importante confermare che sul tuo sito non siano presenti altri file compromessi.
Potresti sentirti sopraffatto se pensi di dover aprire e controllare ogni file PHP. Crea invece un elenco di file PHP sospetti che vuoi esaminare. Ecco alcuni modi per determinare quali file PHP sono sospetti:
- Se hai già ricaricato i file del CMS, controlla solo i file che non fanno parte delle cartelle o dei file del CMS predefiniti. In questo modo dovresti escludere molti file PHP e avere solo una manciata di file da esaminare.
- Ordina i file presenti sul sito in base alla data dell'ultima modifica. Cerca i file modificati entro pochi mesi dalla prima volta che hai scoperto che il tuo sito è stato compromesso.
- Ordina i file presenti sul sito in base alle dimensioni. Cerca i file di dimensioni insolitamente grandi.
Passaggio 4
Una volta ottenuto un elenco di file PHP sospetti, controlla se sono dannosi. Se non hai dimestichezza con PHP, questa procedura potrebbe richiedere più tempo, quindi consulta la documentazione PHP. Se non hai mai scritto codice, ti consigliamo di richiedere assistenza. Nel frattempo, esistono alcuni schemi di base che puoi cercare per identificare i file dannosi.
Se utilizzi un CMS e non hai l'abitudine di modificare direttamente questi file, confronta i file sul tuo server con un elenco dei file predefiniti pacchettizzati con il CMS e eventuali plug-in e temi. Cerca i file che non appartengono alla raccolta, nonché quelli più grandi della versione predefinita.
Innanzitutto, scansiona i file sospetti che hai già identificato per cercare grandi blocchi di testo con una combinazione di lettere e numeri apparentemente confusi. Il grande blocco di testo è solitamente preceduto da una combinazione di funzioni PHP come base64_decode
, rot13
, eval
, strrev
o gzinflate
.
Ecco un esempio di come potrebbe essere il blocco di codice. A volte tutto questo codice viene inserito in una lunga riga di testo, che sembra più piccola di quanto non sia in realtà.
// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
A volte il codice non è confuso e sembra un normale script. Se non hai la certezza che il codice sia errato, visita la nostra community di assistenza di Google Search Central, dove un gruppo di webmaster esperti può aiutarti a esaminare i file.
Passaggio 5
Ora che sai quali file sono sospetti, crea un backup o una copia locale salvandoli sul tuo computer, nel caso in cui uno dei file non sia dannoso, e poi elimina i file sospetti dal tuo sito.
Verificare se il sito è pulito
Una volta eliminati i file compromessi, controlla se il tuo duro lavoro è stato ripagato. Ricordi le pagine incomprensibili che hai identificato in precedenza? Utilizza di nuovo lo strumento Recupera come Google per verificare se esistono ancora. Se la risposta è "Non trovato" in Recupera come Google, è probabile che non ci siano problemi e puoi procedere alla correzione delle vulnerabilità sul tuo sito.
Come faccio a evitare future compromissioni?
Il passaggio finale per prevenire attacchi futuri è correggere le vulnerabilità del tuo sito. Uno studio ha rilevato che il 20% dei siti compromessi viene nuovamente compromesso entro un giorno. È quindi utile sapere esattamente come è stato compromesso il tuo sito. Leggi i principali modi in cui i siti web vengono compromessi dagli spammer per iniziare la tua indagine.
Se non riesci a capire in che modo il tuo sito è stato compromesso, segui questo elenco di controllo per ridurre le vulnerabilità sul tuo sito:
- Esegui regolarmente la scansione del computer: utilizza qualsiasi programma antivirus di uso comune per verificare la presenza di virus o vulnerabilità.
- Cambia regolarmente le password: cambiare regolarmente le password di tutti gli account del tuo sito web, come il provider di hosting, l'FTP e il CMS, può impedire l'accesso non autorizzato al tuo sito. È importante creare una password efficace e univoca per ogni account.
- Utilizza l'autenticazione a due fattori (2FA) o configura una passkey: la 2FA e le passkey rendono molto più difficile per gli hacker accedere, anche se riescono a rubare la tua password.
- Aggiorna regolarmente il CMS, i plug-in, le estensioni e i moduli: molti siti vengono compromessi perché utilizzano software obsoleto. Alcuni CMS supportano l'aggiornamento automatico.
- Valuta la possibilità di abbonarti a un servizio di sicurezza per monitorare il tuo sito: esistono molti ottimi servizi che possono aiutarti a monitorare il tuo sito a un piccolo costo. Per mantenere sicuro il tuo sito, valuta se registrarti a tali servizi.
Risorse aggiuntive
Se continui a riscontrare problemi con la correzione del tuo sito, abbiamo altre risorse che potrebbero esserti utili.
Questi strumenti analizzano i siti e potrebbero riuscire a rilevare contenuti problematici. Google non li esegue e non li supporta, ad eccezione dello strumento VirusTotal.
Questi scanner non possono garantire di essere in grado di identificare ogni tipo di contenuti problematici. Continua a controllare regolarmente la sicurezza del tuo sito.
Ecco alcune risorse aggiuntive che possono esserti utili: