Qualche giorno fa mi sono trovato a scambiare qualche parola con un amico che potremmo definire smanettone e che cura a livello amatoriale alcuni siti in WordPress fatti realizzare tempo addietro da una Web Agency per l'azienda della compagna. Si, anche quelli che fanno siti in WordPress si fanno chiamare Web Agency, certe volte si fanno addirittura chiamare Software Factory, ma sorvoliamo.
Tra una chiacchiera e l'altra il mio amico mi chiede se ho idea di cosa possa essere accaduto ad uno dei suoi siti che è stato hackerato e mostra caratteri cinesi/giapponesi nei risultati di ricerca Google al posto del testo originale del sito, lui ha anche ripristinato un backup ed ha reinstallato il sito da zero ma nonostante una nuova password molto sicura viene puntualmente hackerato dopo soli pochi giorni. Il sito è aggiornato a WordPress 6.0.1 e tutti i plugin sono aggiornati.
In pratica il sito gestito alla buona dal mio amico è stato vittima di un attacco molto particolare chiamato Japanase Keyword Hack.
N.B.: i caratteri infatti sono Giapponesi e non Cinesi.
Il Japanase Keyword Hack compromette un sito indicizzato su Google e crea automaticamente nuove pagine in giapponese che linkano a negozi di merce contraffatta o illegale, queste pagine vengono quindi indicizzate da Google e vengono monetizzate tramite link di affiliazione.
Il problema principale è si WordPress ma soprattutto la totale assenza di misure di sicurezza.
Il sito viene puntualmente hackerato nonostante i ripristini, le nuove installazioni e le nuove password forti perché nessuno accede al sito tramite la password ma poiché viene compromesso sfruttando la vulnerabilità di qualcuno dei plugin installati. Ciò è possibile poiché le botnet possono agire indisturbatamente vista l'assenza di qualsiasi misura di sicurezza lato server e possono tentare in sequenza centinaia di exploit in maniera completamente automatizzata.
La colpa ovviamente non è del fornitore di hosting condiviso, ma di chi decide di hostare un sito aziendale su uno shared host sul quale non è possibile avere un minimo controllo.
E' impensabile avere tre siti aziendali ospitati in hosting condiviso su uno dei tanti provider esistenti in Italia, nel dettaglio si tratta di un sito per un dominio di secondo livello e di due siti per due sottodomini di terzo livello.
Se il sito fosse stato ospitato anche solo su un VPS Linux con accesso ssh, sarebbe allora stato possibile configurare delle misure di protezione attive e passive che avrebbero almeno parzialmente difeso il sito WordPress anche se questo utilizza un plugin vulnerabile. Su un VPS si avrebbe avuto anche accesso completo ai log del webserver e quindi il debug per identificare il plugin colpevole sarebbe stato molto più semplice e veloce.
Ovviamente il mio amico non è stata l'unica vittima di questo particolare hack che da anni miete vittime in giro per il mondo (*, *, *, *).
Per capire se si è vittima del Japanase Keyword Hack basta cercare su Google tutte le pagine indicizzate con site:miosito.it e basta dare un'occhiata alla sitemap del sito.
Un sito vittima di questo hack rischia di essere bannato da Google e dall'Hosting.
Rimuovere il Japanase Keyword Hack richiede la bonifica dell'intero sito web e della Search Console di Google, qui i suggerimenti (ovvi) di Google.
Dopo aver rimosso il Japanase Keyword Hack sarebbe poi opportuno mettere in sicurezza il sito e il VPS.
Da buono smanettone il mio amico ha prima deciso di risolvere il problema da solo, e solo dopo aver peggiorato la situazione ha deciso di affidarci la bonifica del suo sito web.
Se anche tu sei vittima del Japanase Keyword Hack ed hai bisogno di aiuto non esitare a contattarci, se invece non ti interessa risolvere il problema ed anche tu vuoi smanettare da solo allora buon divertimento.
Aggiungi un commento