Se il tuo sito è infetto

Se Google rileva che il tuo sito è stato compromesso, te lo comunicheremo in Strumenti per i Webmaster (per assicurarti una pronta notifica, puoi fare in modo che i messaggi del Centro messaggi vengano inoltrati al tuo account email). Se l'hacker ha inserito malware nel tuo sito, lo classificheremo inoltre come infetto nei nostri risultati di ricerca, al fine di proteggere gli altri utenti.

Se il tuo sito è stato compromesso o infettato da malware, devi agire rapidamente per porre rimedio al danno. Google consiglia di esaminare le raccomandazioni fornite dall'organizzazione antiphishing.org.

A prescindere dalla piattaforma o dal tipo di infezione, Google consiglia di procedere nel seguente modo:

1: Metti il sito in quarantena
È estremamente importante prendere provvedimenti per evitare che il sito infetti qualcun altro e impedire agli hacker di abusare ulteriormente del sistema.
  • Metti immediatamente il sito offline. È estremamente importante prendere provvedimenti per evitare che il sito infetti qualcun altro.
  • Contatta il tuo hoster web. Se l'attacco colpisce altri siti sullo stesso provider di servizi di hosting, questi potrebbe avere già iniziato a prendere provvedimenti per risolvere il problema.
  • Modifica le password di tutti gli utenti e di tutti gli account (ad esempio, accesso FTP, account amministratore, account di authoring del sistema di gestione dei contenuti). Controlla i tuoi utenti: è possibile che l'hacker abbia creato uno o più account nuovi. Linee guida per la password.

Se hai accesso al tuo server, Google consiglia di configurarlo affinché restituisca un codice di stato 503. Mettere il sito offline è meglio che utilizzare robots.txt per impedirne la scansione.

2 Valuta il danno

Una volta bloccato il sito, dovrai identificare la portata e la gravità del danno causato. Google consiglia di procedere nel seguente modo:

  • Visita la pagina di diagnostica Navigazione sicura di Google relativa al tuo sito (http://www.google.com/safebrowsing/diagnostic?site=www.example.com) (sostituisci www.example.com con l'URL del tuo sito) per visualizzare informazioni specifiche su ciò che è stato rilevato dagli strumenti di scansione automatica di Google.
  • Esegui una scansione del tuo computer utilizzando un programma di scansione aggiornato per identificare il codice dannoso che gli hacker potrebbero avere aggiunto. Assicurati di eseguire la scansione di tutti i contenuti, non solo dei file di testo, poiché i contenuti dannosi spesso possono essere incorporati nelle immagini.
  • Se il tuo sito è stato infettato da malware, consulta la pagina Malware di Strumenti per i Webmaster (nella dashboard del sito, fai clic su Condizione e quindi su Malware.) In questa pagina vengono elencati gli URL di esempio del tuo sito che sono stati identificati come contenenti codice dannoso. A volte gli hacker aggiungono nuovi URL al sito per scopi lesivi (ad esempio, con intenti di phishing).
  • Utilizza lo Strumento per la rimozione di URL di Strumenti per i Webmaster per richiedere la rimozione di pagine o di URL compromessi. In questo modo le pagine compromesse non vengono pubblicate per gli utenti.
  • Segnala pagine di phishing al team di Navigazione sicura di Google.
  • Utilizza lo strumento Visualizza come Google di Strumenti per i Webmaster per rilevare il malware che potrebbe essere nascosto ai browser degli utenti ma visualizzato dal crawler del motore di ricerca di Google.
  • Esamina le raccomandazioni di antiphishing.org su come trattare i siti compromessi.
  • Se hai altri siti, controlla se sono stati compromessi.

Se hai accesso al tuo server, segui questi passaggi aggiuntivi:

  • Verifica se eventuali reindirizzamenti aperti nel tuo sito sono stati compromessi con codice dannoso.
  • Verifica il tuo file .htaccess (Apache) o altri meccanismi di controllo dell'accesso in base alla piattaforma del tuo sito web per rilevare eventuali modifiche dannose.
  • Verifica i log del server per controllare quando i file sono stati compromessi (ma tieni presente che gli hacker possono alterare anche i tuoi log). Cerca attività sospette quali tentativi di accesso non riusciti, cronologia dei comandi (in particolare quelli principali) o account utente sconosciuti.
3. Ripulisci il sito

Ripulisci i contenuti, rimuovendo le eventuali pagine aggiunte, gli eventuali contenuti di spam e qualsiasi codice sospetto identificato dai sistemi di scansione antivirus o dallo strumento Dettagli malware. Se hai copie di backup dei tuoi contenuti, considera l'ipotesi di eliminarli completamente e di sostituirli con l'ultima copia di backup teoricamente non infetta (dopo avere controllato che sia pulita e priva di contenuti compromessi). Puoi verificare se hai ripulito completamente i contenuti compromessi utilizzando lo strumento Visualizza come Google di Strumenti per i Webmaster.

Se hai accesso al tuo server, Google consiglia di procedere nel seguente modo:

  • Aggiorna eventuali pacchetti software all'ultima versione. Google consiglia una reinstallazione completa del sistema operativo da una fonte attendibile per essere sicuri di rimuovere tutte le eventuali operazioni svolte dall'hacker. Accertati anche di reinstallare o aggiornare le piattaforme di blogging, i sistemi di gestione dei contenuti o qualsiasi altro tipo di software di terze parti installato.
  • Quando sei sicuro che il sito sia pulito, cambia nuovamente le password.
  • Rimetti online il sistema. Modifica la configurazione del server in modo che non restituisca più il codice di stato 503 ed esegui qualsiasi altra operazione necessaria per rendere il sito disponibile al pubblico.
  • Se hai utilizzato lo strumento per la rimozione di URL per richiedere la rimozione degli URL che adesso sono puliti e pronti per essere visualizzati nuovamente nei risultati di ricerca, utilizza lo stesso strumento per revocare la richiesta.
4. Chiedi a Google di esaminare il tuo sito

Se il tuo sito è stato infettato da malware

Una volta appurato che tutto il codice dannoso è stato rimosso, puoi richiedere un controllo malware del tuo sito. Google controllerà il tuo sito e, se non rileva malware, rimuoverà l'etichetta di avviso visualizzata nella pagina dei risultati di ricerca in relazione al tuo sito.

  1. Nella home page di Strumenti per i Webmaster, seleziona il sito desiderato.
  2. Fai clic su Buono stato, quindi su Malware.
  3. Fai clic su Richiedi un controllo.
Una volta confermato che il sito è pulito, la rimozione dell'avviso malware associato al tuo sito nei risultati di ricerca potrebbe richiedere più o meno un giorno.

Se gli hacker hanno inserito spam nel tuo sito

Una volta che il tuo sito è completamente privo di spam, puoi chiedere a Google di riconsiderarlo per l'inserimento nei risultati di ricerca. Questo passaggio è necessario solo per lo spam rilevato manualmente, ovvero da un utente. Se lo spam sul tuo sito è stato rilevato mediante un algoritmo, Google sottopone a una scansione costante le pagine del tuo sito e rimuoverà automaticamente l'etichetta una volta che i problemi sono stati risolti.

Per scoprire se il tuo sito è stato oggetto di un'azione di manomissione manuale e richiederne la riconsiderazione in tal caso:

  1. Accedi a Strumenti per i Webmaster con l'account Google.
  2. Assicurati di avere aggiunto e verificato il sito che deve essere riconsiderato.
  3. Nella dashboard di Strumenti per i Webmaster, fai clic su Traffico di ricerca, quindi su Azioni manuali per visualizzare tutte le azioni manuali eseguite sul sito. Assicurati di avere risolto i problemi elencati in questa pagina.
  4. Richiedi la riconsiderazione del tuo sito.

Indipendentemente dal fatto che il problema di spam sia stato rilevato manualmente o mediante un algoritmo, il processo di riconsiderazione può richiedere fino ad alcune settimane.


Risorse utili

Di seguito sono riportate alcune risorse utili per la pulizia del sito e per evitare che venga nuovamente infettato.