Come eliminare un virus da wordpress che apre pop up pubblicitari

Molti utenti mi hanno contattato perchè il loro sito in wordpress ha cominciato a dare i numeri.

Il sito in wordrpess se veniva aperto da un browser di un PC fisso non dava nessun segno di hackeraggio, ma se aperto da un mobile il sito web faceva aprire pop up pubblicitari, di solito di quelli truffa.

Ma come può essere?

Allora ho passato in scansione i file del core di wordpress scoprendo un malware.

Questo malware ha agito su piu file modificandoli.

Ovviamente se non si dispone di una copia di backup non infetta bisogna ripulire wordpress.

Come fare senza perdere tutto?

Ecco un metodo indolore.

Per avere conferma che la causa del malware sia la vostra installazione wordpress bisogna che controlliate la cartella wp-includes

Questa cartella NON dovrebbe contenere questo file wp-vcd.php

Se invece lo trovate vuol dire che siete infetti.

L’infezione potrebbe essere stata scaturita da un plugin nulled o un thema nulled.

Questo malware crea e modifica altri file nella cartella wp-includes.

Per essere sicuri di eliminare il virus dovete procedere cosi:

Scaricate la stessa versione di wordpress che avete già installato da qui:VERSIONI DI WORDPRESS

Decomprimete il pacchetto sul vostro desktop.

Ora collegatevi via ftp al vostro sito web e nella cartella della root individuate e CANCELLATE TOTALMENTE la cartella wp-includes

Dopo averla eliminata caricate la nuova cartella wp-includes che avete precedentemente scaricato del wordpress pulio. SOLO LA CARTELLA wp-includes

Ora dovete recarvi nella cartella del vostro thema.

Esempio root/wp-content/themes/VOSTROTEMA/functions.php

Il file functions.php sarà infetto. Se lo aprite con un file di editor noterete che le prime righe contengono un codice simile a questo:

$install_code = 'c18615a1ef0e1cd813b388b4b6e29bcdc18615a1ef0e1cd813b388b4b6e29bcd[...Blah blah blah..]
$install_hash = md5($_SERVER['HTTP_HOST'] . AUTH_SALT);
   $install_code = str_replace('{$PASSWORD}' , $install_hash, base64_decode( $install_code ));

In questo caso se avete un file di backup ripristinate il vecchio functions.php altrimenti dovreste eliminare solo la prima parte di codice fino all’inizio del codice originale.

Se avete un thema child dovrete ripetere l’operazione anche per quel che riguarda il suo file functions.php.

Dovrete ripetere questo passaggio su tutti i themi presenti perchè saranno corrotti tutti i file functions.php

Dopo questo passaggio il sito web dovrebbe essere pulito, fate una prova sul vostro mobile dopo aver cancellato la cache del browser.

Potrebbe però durare poco perche se siete infetti probabilmente un PLUGIN o un THEMA sono i responsabili.

Eliminate plugin e themi sospetti.

Un altra osservazione degna di nota è che se avete un hosting multidominio con altre installazioni di wordpress queste saranno tutte infette.

Conclusioni

Non scaricate e installate plugin di dubbia provenienza o nulled , stessa cosa per i themi.

Per gli sviluppatori che volessero approfondire le dinamiche del malware metto i link delle fonti:

Medium.com

GITHUB