AVVISO IMPORTANTE: Dato l'elevato numero di richieste, Eternal Curiosity non può accettare nuovi clienti, sia che si tratti di consulenze scritte che di ottimizzazione SEO diretta. Valutiamo solo casi eccezionali e ad alto budget. Per informazioni, vi invitiamo a scriverci a [email protected]

Questo articolo apparteneva al vecchio blog (blog.danilopetrozzi.it), per cui le informazioni potrebbero non essere più aggiornate ed attendibili.

5 semplici trucchi per capire se il tuo sito è stato hackerato

Identificare e curare un caso di hacking è utile non solo per gli ovvi motivi di sicurezza, privacy, integrità delle credenziali, e così via, ma anche sotto il profilo SEO.

Un sito bucato, può essere usato per inviare mail spam di massa, per fare parasite hosting (di cui ho parlato in questo articolo), per inserire backlink nascosti nel codice. Le conseguenze per il posizionamento possono essere disastrose.

Nel caso di parasite hosting, il sito potrebbe aver ricevuto migliaia di backlink effettuati dal cracker per posizionare le pagine parassita: se per caso ci fosse un nuovo aggiornamento Penguin, o similari, il sito potrebbe ricevere una penalizzazione drastica.

Quanto è diffuso l’hacking per scopi SEO

L’hacking per fini SEO è più diffuso di quanto tu possa immaginare.

Basta effettuare semplici query su Google per vedere decine di migliaia di siti italiani che (inconsapevolmente) linkano o reindirizzano verso pagine di Viagra:

 

SERP italiane vittime di hacking

 

I siti più colpiti, generalmente, sono quelli fatti in WordPress/Joomla (dato che sono i CMS più diffusi, e quindi è più facile mietere vittime) oppure i siti estremamente autorevoli (siti governativi, .edu, e così via) il cui hacking “vale la candela” anche se si tratta di un solo sito, invece di cento.

Il modo migliore per proteggersi, ovviamente, è la prevenzione. Questo argomento, però, necessita di un altro post per essere approfondito a dovere.

Oggi vi insegno i 5 modi migliori per identificare un hack già avvenuto senza avere conoscenze da sistemista.

 

5 metodi facilissimi per capire se il tuo sito è stato bucato

Premessa: le tecniche seguenti servono per capire se il tuo sito è stato bucato quando non è ovvio il contrario, ossia nei casi in cui il sito sembra intoccato, tutto è al suo posto e a prima vista sembra che non ci sia alcun problema. Per ovvi motivi, parlerò di tecniche che non richiedono conoscenze da sistemista (nei casi più gravi, ahimé, un sistemista vi serve!)

Iniziamo:

 

1) Strumento di diagnostica di Google

Basta aprire un URL per ottenere importanti informazioni. L’URL è il seguente (ovviamente dovete cambiare esempio.it con il vostro dominio)

Se il dominio è pulito, la schermata sarà una cosa simile a questa:

pagina diagnostica di google danilo petrozziSe invece Google avesse identificato dei problemi, sarebbero riportati nelle specifiche aree.

 

2) Ricerca di pagine anomale nell’index

Grazie all’operatore site: seguito da altre query, è possibile individuare pagine anomale, che possono identificare un hack.

Le prime analisi con il site, prevedono la combinazione con keyword notoriamente “spammose”, ad esempio:

Se per caso si è vittima di parasite hosting, con questi semplici comandi è possibile individuare immediatamente le pagine parassita.

Se questo negozietto statunitense per articoli da regalo avesse seguito il mio consiglio, ora non si ritroverebbe questo:

 

sito bucato parasite hosting spam

 

Un altro modo per controllare la presenza di nuove pagine anomale è la seguente:

serp risultati recenti per diagnosi hacking

 

Grazie ai modificatori temporali, è possibile restringere il campo ai risultati delle ultime 24 ore o dell’ultima settimana.

Se stai analizzando un sito che non viene aggiornato di frequente, e questo strumento ti mostra dei risultati, probabilmente devi indagare!

 

3) Analisi con Webmaster Tools

Query di ricerca

query di ricerca google webmaster toolsSe nella scheda “query di ricerca” di Webmaster Tools compaiono delle nuove keyword sconosciute, è probabile che sia in corso un atto di parasite hosting.

(a volte, se l’hacking è molto pesante, l’incremento di traffico dovuto a parasite hosting potrebbe vedersi già dal grafico in cima alla pagina. Se le impression si sono impennate in un periodo recente, senza apparente motivo, potrebbe significare che pagine parassita si sono posizionate)

Se il tuo sito si è posizionato per alcune keyword grazie al parasite hosting, i dati verranno registrati in questa schermata di WMT.

Per controllare diversi periodi temporali, puoi usare lo switch posto in alto a destra.

Se credi che il tuo sito sia stato bucato di recente, restringi la ricerca alle ultime 2-3 settimane (un tempo sufficiente per far assimilare i dati a Webmaster Tools, che è notoriamente lento)

Se nella lista delle keyword trovi delle parole che non sono legate al tuo sito, copiale e incollale su Google per capire cosa sta succedendo

(attenzione: potrebbero aver generato traffico su altre lingue, non necessariamente IT. Se necessario, usa Google.com o altri TLD per trovare le SERP giuste)

Pagine indicizzate

Nella schermata “Stato dell’indicizzazione” è possibile controllare se c’è stato un aumento anomalo delle pagine indicizzate da Google.

Backlink

L’ultimo step, per sfruttare WMT al meglio, è controllare la scheda “link che rimandano al tuo sito” e trovare la sezione con gli ultimi link rilevati da Google. In questo modo, potranno essere individuati eventuali backlink di massa fatti dal cracker.

 

4) Controlla l’FTP

Potrebbero aver bucato il tuo sito solo per inserire shell o altre risorse in grado di perseguire scopi illeciti. (es. invio di email spam di massa dal tuo sito)

Un trucco che spesso porta ottimi risultati è questo: apri il tuo client FTP preferito e collegati allo spazio web del sito.

La maggiorparte dei client, come ad esempio WinSCP, permettono di vedere la data dell’ultima modifica dei file. Ti basta ordinare in modo decrescente questo parametro per vedere i file che sono stati modificati per ultimi.

Vedi dei nuovi file che sono stati caricati di recente (spesso .php)?

Vedi delle modifiche di cui non hai memoria sull’index.php o su altri file sensibili?

Probabilmente l’FTP è stato violato per iniettare shell o codici malevoli. Apri i file incriminati e vai in cerca delle porzioni di codice che sono state aggiunte.

Spesso i cracker usano metodi per oscurare il codice come la codifica in base64, l’uso di eval(), e altri stratagemmi simili. Se vedi un blocco pieno di caratteri strani, senza senso, al 99% è codice malevolo.

 

5) Analisi dei link nascosti

Di recente, questo è l’hack più diffuso dato che è invisibile, difficilmente individuabile e permette ai cracker di ottenere vantaggi SEO simili al parasite hosting, ma senza destare sospetti.

In passato, i cracker si limitavano a bucare siti (template, plugin, ecc) e a inserire backlink verso i propri siti. Il webmaster doveva solo vederli e procedere alla pulizia. Oggi i cracker si sono fatti furbi e hanno escogitato un semplice trucco per rendere invisibili questi link.

I link nascosti vengono mostrati solo a googlebot e non al tuo browser, in questo modo ottengono 2 piccioni con una fava. Tu non vedi i link, ma il bot di Google sì. Per fare ciò, scrivono qualche riga in php che controlla l’user-agent e agisce di conseguenza: sono istruzioni elementari.

Questo significa che sul tuo sito potrebbero esserci link nascosti che non vedi, ma che googlebot rileva quando fa il crawling della pagina, con tutte le conseguenze del caso.

Per “vedere” questo tipo di link, hai due possibilità:

  • Usi il “visualizzatore di Google“, presente in Webmaster Tools sotto il pannello “Scansione”. Dato che la scansione la fa tramite googlebot, e non tramite il tuo browser, il source e lo screenshot che vedrai saranno gli stessi visti da googlebot (eventualmente, corredati dei link spam)
  • Usi un tool di scansione online che permette di variare l’user-agent. Io mi trovo bene con urivalet.com.  Dopo aver inserito il tuo sito devi solo impostare l’user-agent su Googlebot 2.1 e premere Submit. Il tool scansionerà la pagina, fingendosi quell’user-agent, e poi ti dirà tutte le informazioni di cui hai bisogno. Per facilitare tutto, urivalet ti fornisce un box chiamato “external links” (dopo aver scansionato, è il penultimo box in fondo) con la lista dei link esterni trovati in pagina. Se a colpo d’occhio vedi qualche link strano, hai fatto centro.

 

Prevenire è meglio che curare

Come tutte le cose, la prevenzione è una gran rottura ma poi ti fa risparmiare tempo, risorse, denaro.

I 5 consigli che ti ho dato ti aiutano nel caso in cui il danno è già stato fatto, ma almeno hai la possibilità di ridurre sensibilmente le conseguenze, sopratutto lato SEO.

E ora, vai a caccia di siti hackerati 😀

 

Danilo petrozzi

Ciao! Io sono Danilo Petrozzi, il fondatore di Eternal Curiosity. Oltre a essere un senior SEO Specialist e un Web Developer, è dall'età di 9 anni che mi appassiono a qualsiasi cosa ruoti intorno al web e all'informatica in generale.

Commenti (2)

  • Avatar

    Gianluca Tedesco

    |

    Ciao,
    il mio sito wordpress è stato bucato con questa ultima innovazione, nel senso che ho link nel sito ma visibili solo con googlebot. Come faccio a risolvere?
    Nel caso puoi darmi una mano?

    Se ti va scrivimi in pvt.

    Grazie.

    Gianluca

    Reply

    • Avatar

      Danilo petrozzi

      |

      Il modo migliore per risolvere è affidarsi a un professionista. Data la complessità dell’attacco, è sufficiente dimenticarsi di piccole porzioni di codice per fare in modo che il problema si ripresenti in futuro, purtroppo.

      Reply

Lascia un commento