Stai navigando sul tuo sito e ovunque clicchi si aprono solo pop-up e pubblicità ?

Mi dispiace per te, molto probabilmente il tuo sito è stato infettato dal malware WP-VCD!

Non disperarti qui di seguito troverai la soluzione per rimuovere definitivamente il malware dal tuo sito.

Negli ultimi mesi, per gli utenti che utilizzano WordPress, è nato un nuovo problema, molti siti infatti sono stati infettati dal Malware WP-WCD, un malware che è in grado di contaminare in modo automatico il codice di diversi file contenuti dentro WordPress, con stringhe di codice che generano diversi tipi di pubblicità pop-up direttamente nelle pagine del sito. Queste pubblicità permettono di generare guadagni agli Hackers che hanno messo in rete questo Malware.

In che modo il malware può infettare il sito?

Esistono svariati modi in cui il malware WP-VCD  può collegarsi al tuo sito, quelli più comuni sono: 

Scaricare e installare temi WordPress premium piratati gratuiti (nulled theme).
Download e installazione di plugin dannosi gratuiti.

Gli sviluppatori integrano una backdoor che si è diffonde attraverso tutte le installazioni locali, anche quelle più recenti e che in futuro renderà il tuo sito vulnerabile agli attacchi.

“Quindi: non scaricare mai i temi e i plugin premium gratis o da fonti non ufficiali!”

Quali sono gli effetti del malware sul sito?

Il malware WP-VCD genera automaticamente fastidiose pubblicità pop-up che si aprono quando gli utenti visitano il sito, (ad esempio quelle che ti avvisano che il tuo dispositivo infetto da virus, oppure il classico “congratulazioni hai vinto un iphoneX”). Pop-up che spingono l’utente ad abbandonare il vostro sito web.

Questo malware non si limita solo ad inserire pop-up e pubblicità sul sito, ma causa anche la sospensione del vostro sito da molti circuiti di advertising, primi fra tutti Google Adwords e Facebook Ads. Questo perché il vostro sito viene visto come rischioso e pericoloso per gli utenti. In più, se non viene risolto in tempi rapidi, si ottengono penalizzazioni in fatto di posizionamento sui motori di ricerca o peggio ancora, il sito sarà inserito nella black list di google e di altri motori di ricerca. Una penalizzazione dalla quale è molto difficile uscire.

Come riconoscere se il Malware WP-VCD ha infettato il vostro sito

WP-VCD è in grado di propagarsi in tutte le installazioni di WordPress presenti nel vostro Hosting condiviso. Quindi, se avete più siti sviluppati con WordPress sullo stesso Hosting condiviso, il malware può aver infettato anche tutti gli altri siti.

Il Malware WP-VCD per prima cosa infetta il codice del file fuctions.php del vostro tema principale ( e tutti quelli installati anche se non attivi), con delle stringhe di codice che vanno a generare i seguenti files all’interno della cartella WP-INCLUDES:

• il file WP-VCD.php
• un file WP-TMP.php
• un file WP-FEED.php
• e nelle versioni più vecchie del malware anche un file CLASS.WP.php (il vero file di wordpress è WP-CLASS.php, questo non va eliminato)

Questi sono tutti file che non esistono in wordpress, al quale  vengono dati nomi simili ai file originali di wordpress per non dare nell’occhio, oltre alla modifica delle date di “ultima modifica” per nasconderli ancora meglio. Oltre a questi file, vengono generate delle backdoors ben nascoste in altre cartelle (non sempre le stesse) per consentire all’hacker di tornare ad infettare il vostro sito, nel momento in cui andate ad eliminare i file.

Come rimuovere definitivamente il malware wp-vcd dal sito

Passaggio 1: installare ed eseguire una scansione del sito web con il plugin Wordfence

Passaggio 2: leggere il rapporto di scansione per identificare i file infetti.

Passaggio 3: accedere al server o cPanel ed eseguire il backup del sito e del database. (Lo so, quei backup conterrebbero codici dannosi, ma non hai alcuna opzione, a meno che tu non abbia un backup pulito)

Passaggio 4: Per risolvere questo problema con una soluzione efficace e definitiva, come prima cosa vanno cercate ed eliminate le backdoors nelle cartelle dell’installazione wordpress tramite FTP, controllandole una ad una per cercare i file sospetti.

Una volta eliminate le backdoors, si può procedere eliminando il codice generato dal malware nel file fuctions.php del tema (la figura riportata qui sotto indica la parte di codice che va eliminata). Oppure se non siete molto pratici di codice php vi basterà sovrascrivere il file infetto con il file originale del tema.

Dopo aver fatto questo, si possono andare ad eliminare gli altri file generati nella cartella wp-includes (wp-vcd.php, wp-tmp.php, class.wp.php, wp-feed.php).

IMPORTANTE! Si deve procedere con questi steps, perchè il codice che genera i file è nel file fuctions.php del tema. Quindi se eliminate i file prima di occuparvi del file fuctions.php, si rigenereranno in pochi secondi.

Inoltre è consigliato verificare che i file core di WordPress non siano infetti.
Se risultano infetti , basta sostituire sostituire i file core scaricando WordPress dalla repository ufficiale .

Passaggio 5: Eseguire nuovamente la scansione del sito utilizzando Wordfence e assicurarsi che il sito sia pulito.

Passaggio 6: non utilizzare mai temi premium gratuiti. La maggior parte dei temi premium disponibili per il download gratuito sono compromessi e potrebbero contenere codici dannosi.

Se non riesci a liberarti del malware dopo aver letto la guida qui sopra, puoi contattarmi tramite la pagina contatti o i dati riportati qui sotto e risolverò il problema nel minor tempo possibile. Non mi occupo solo dello sviluppo, del posizionamento di siti web,servizi grafici e gestione social media a Rimini e provincia, ma anche di assistenza web.