Messaggi di errore di sicurezza in un sito: Google Search Console
Articolo datato
Questo articolo non è più aggiornato da almeno 4 mesi perciò verifica le informazioni che vi sono contenute in quanto potrebbero essere obsolete.
Il team della sicurezza di Google ha pubblicato un articolo per spiegare come oltre 10 milioni di utenti della rete visionano siti web compromessi da malware e truffe online.
Il motore di ricerca, per evitare questi problemi, ha implementato diverse funzionalità atte a prevenire e salvaguardare la sicurezza di chi naviga sul web e in particolare:
- nel pannello di Google Search Console, se il sito è stato agganciato allo strumento, viene segnalato quando le pagine sono infettate da script malevoli
- all'email di riferimento del pannello di Google Search Console viene inviata una email quando viene individuato un sito compromesso (o almeno così dicono, nel caso studio che vedremo in seguito devo dire che nel mio caso o non è successo oppure ho eliminato inavvertitamente la mail, cosa questa che però assolutamente non ricordo)
- utilizzando il browser Chrome o Firefox, le pagine dei siti web in cui è stato iniettato del codice che potrebbe pregiudicare la sicurezza, vengono inibite di default bloccando la navigazione grazie ad una pagina di errore
- I siti web compressi nel mondo
- Caso studio: un sito infettato
- Tutelare la sicurezza di un sito Wordpress
I siti web compromessi nel mondo
Gli sviluppatori di Google ci fanno sapere che spesso, i webmaster dei siti compromessi, non si rendono conto delle falle alla sicurezza dei propri prodotti e dei problemi che creano all'utenza e, per questo dal motore di ricerca, negli anni hanno implementato un servizio automatico in Google Search Console per rilevare questi problemi.
In particolare da Google ci fanno sapere che lo scorso anno (il 2015) il motore di ricerca ha individuato circa 800000 siti compromessi e che ogni settimana al mondo vengono scoperti 16500 nuovi siti con codice malevolo.
I segnali di Google per i siti compromessi come vengono gestiti?
Dal team del motore di ricerca ci spiegano come vengono interpretati i messaggi indirizzati ai webmaster proprietari di siti compromessi e in particolare veniamo a sapere che:
- per Google in alcuni casi è difficile venire in contatto con gli sviluppatori di siti web su cui viene individuato codice malevolo, sopratutto se i siti non vengono collegati alla Google Search Console;
- i web master a cui è stata inviata una email di notifica di sito hackerato al 75% hanno chiuso le falle e fissato i problemi;
- per i siti in cui Google non è riuscito a recuperare una email di contatto il messaggio di errore nella Search Console ha aiutato a sistemare il 43% dei casi, mentre gli avvertimenti sul browser (che su Chrome inibiscono la totale navigazione dello stesso) hanno contribuito a sistemare il problema al 54% dei casi;
Ulteriori informazioni fornite dal motore di ricerca sono:
- una volta inviato un messaggio di errore ai webmaster, le notifiche dettagliate degli errori sulla Google Search Console, hanno aiutato gli sviluppatori a risolvere i problemi in media in 3 giorni e con una velocità del 62% più veloce rispetto al passato;
- dopo aver pulito un sito web è necessario che questo non venga riattaccato, a causa di falle non definitivamente chiuse. Per questo Google continua a monitorare i siti web compromessi e ripuliti, scoprendo che il 12% di questi siti dopo 30 giorni vengono compromessi nuovamente;
Cos'è un malware?
Un software nato o modificato al fine di creare danni ai dati di un utente o di un computer viene definito malware. In italiano questa parola la possiamo tradurre in codice maligno, programma malvagio o codice malevolo. I virus, i trojan, gli spyware e gli adaware, per fare qualche esempio, sono tutti malware.
Caso Studio: un sito web infettato
Questo preambolo è necessario a spiegarvi un caso, di sito da me gestito, che si è trovato in questa situazione.
Il sito è uno di quelli che uso per i test, per cui non sempre è aggiornato e ancor meno da me visitato. Attivo dal 2013 è stato realizzato in Wordpress, con un tema Pro acquistato anni fa e alcune plugin tra le più classiche.
Alcuni giorni fa, effettuando una prova di accesso con Chrome per realizzare un nuovo esperimento, mi è comparso il seguente screenshot:
Stesso discorso utilizzando il browser Firefox, che segnala la compromissione del sito in maniera diversa e volendo, permette all'utente di visualizzare lo stesso la pagina:
Ho fatto quindi accesso alla Google Serch Console e, dopo aver selezionato la risorsa relativa al sito compromesso da malware, ho selezionato la voce dal menù laterale Problema di sicurezza.
Questo è quel che mi è apparso:
Quindi il 19 marzo 2016 Google ha riscontrato iniezione di codice malware su alcune pagine del sito da me gestito e in particolare il 2 aprile sulla home page.
Sono quindi andato a vedere le mail arretrate, sulla gmail associata all'account e a partire dal 19 marzo 2016 ho guardato tutti i messaggi provenienti da Search Console, non trovandone nessuno corrispondente al messaggio di errore relativo all'iniezione di codice malware.
Analizziamo il caso studio di un sito web compromesso da codice malware e come risolvere Share on X
A livello di accessi al sito cosa cambia in un sito infetto?
Ho poi analizzato gli accessi al sito, che sono pochi in quanto è un sito di test, ma indicativi di come vi sia un crollo delle visite da parte degli utenti con Chrome e Firefox.
In particolare questo è il report degli accessi dei visitatori al sito con Browser Chrome nel periodo tra il 1 marzo 2016 e il 16 aprile.
Come potete vedere a partire dal 2 aprile gli accessi degli utenti con il browser di casa Google sono crollati, a causa del messaggio di errore ad avvertire dell'infezione sulle pagine.
In questo grafico di comparazione con il periodo precedente è ben più visibile la differenza di accesso da parte dell'utenza:
Una volta corretto il problema e conseguentemente eliminata la splash screen di errore fornita ai visitatori le visite sono tornate a livelli normali, come vediamo da analisi degli accessi (sempre per browser Chrome) su Google Analytics:
Come vedete nel grafico in rosso vi è il periodo di problemi a causa dell'infezione da Malware, in verde il periodo dopo aver eliminato l'infezione e il buco tra le due giornate e... che mi son dimenticato di reinserire il codice di tracciamento di Analytics. Come vedremo nel paragrafo a seguire in cui vi spiegherò come ho risolto il problema vedremo infatti che, se non è un sito di test e poco valore come questo, è opportuno fare le cose bene, non dimenticando nessun passaggio.
In sintesi ai fini SEO
Se il nostro obiettivo è posizionare un sito web, per effettuare attività commerciale attraverso la rete o acquisire lead è necessario che:
- il sito sia accessibile da tutti i browser;
- tutte le pagine del sito siano fruibili;
- l'esperienza utente sia delle migliori: un messaggio di errore ad avvertire di possibile software dannoso o ancor peggio installare malware nel computer dei nostri visitatori, sono entrambi metodi per peggiorare la percezione che l'utenza ha del nostro brand;
Analisi del problema grazie a Google Search Console
Oltre a fornirci dei messaggi di errore, relativi alle infezioni e alla compromissione dei nostri siti web, Google Search Console, ci fornisce delle informazioni utili a comprendere quali script generano problemi.
Queste informazioni naturalmente variano di caso in caso e in particolare la mia situazione era la seguente:
- sito web con tema grafico PRO, ma di bassissimo livello;
- il tema grafico non essendo aggiornato da anni è stato bucato, in particolare nelle librerie javascript condivise, bucando di conseguenza tutti i siti web che lo utilizzano o lo includono, fra cui il mio;
Ho però scoperto tutto questo analizzando i messaggi forniti dalla Search Console.
Infatti quando un sito viene contrassegnato come infetto, una volta nella console nella sezione Problemi di sicurezza, premendo sul link mostra dettagli ci comparirà una finestra di questo tipo:
In cui il pannello fornirà informazioni relativi a tutte le righe di codice infetto. Premendo poi sul box ad espansione Snippet sospetto la finestra si aprirà mostrando i tag con il codice incriminato:
Come potete vedere balza subito all'occhio che il problema era nel tema della Heroic Themes, acquistato su Mojo Theme.
A seguito di analisi dei temi realizzati da questa azienda ho poi scoperto che tutti i temi di questi sviluppatore sono stati bucati, sicuramente perchè utilizzano tutti le stesse librerie Javascript.
Cosa non rileva la Google Search Console
La console per i webmaster di Google ci aiuta a comprendere l'integrità, a livello di sicurezza del nostro sito web, ma non rileva se siamo stati sotto attacco di spam e se vi è stata iniezione di commenti con link di basso valore o a argomenti da noi non selezionati, che potrebbero portare ad una penalizzazione da parte di Google Penguin. E' opportuno quindi monitorare se vi è la possibilità, da parte di utenti malintenzionati, di inserire commenti/link spam e in quel caso provvedere a chiudere le falle. Per chi utilizza Wordpress a tale proposito consiglio la lettura di un mio articolo in cui spiego quale plugin è utile per il controllo automatico del modulo dei commenti.
A seguito di pulizia del codice come segnalarlo a Google?
In questo periodo, non avendo tempo da dedicare ad un sito di test low budget, ho semplicemente e brutalmente cambiato tema passando ad uno free. A causa del poco tempo dedicato a questo progetto non ho poi inserito il codice di Google Analytics, perdendo le visite di un paio di giorni.
Ho poi proceduto a cambiare:
- la password del db di sql, modificando di conseguenza il campo dedicato nel file
wp-config.php
; - la password di accesso a Wordpress, dell'utente amministrativo (nel sito non vi erano altri utenti, altrimenti è necessario modificare anche le password relative);
Ho poi rimesso su un backup del sito (senza il tema che ha generato il problema), eliminando i file sul server, per evitare la presenza di script utilizzati come backdoor.
Dopo aver eseguito queste azioni ho poi da Google Search Console, nella sezione di sicurezza, flaggato il campo “Ho risolto questi problemi” e premuto sul bottone Richiedi un controllo e atteso i risultati.
Il sito ha passato così il controllo della sicurezza e anche da browser ora non vi sono più splash screen a mostrare l'errore di codice infetto da malware.
Ricordiamoci però, in casi come questi, di monitorare nei giorni a venire la Search Console, per comprendere se a successiva verifica del sito i problemi di sicurezza vengono risolti del tutto.
Come evitare i problemi di sicurezza con Wordpress
Vediamo insieme alcune buone pratiche da seguire su Wordpress, a seguito di questa esperienza, per non incorrere nello stesso problema:
- Collegare il nostro sito alla Google Search Console e monitorarli regolarmente;
- Mantenere aggiornato il core di Wordpress;
- Aggiornare regolarmente le plugin;
- Mantenere aggiornato il tema grafico e seguire gli sviluppi, se il tema viene abbandonato pensare in anticipo di cambiarlo alla volta di un prodotto più seguito ed affidabile. Questo punto è molto importante, perchè a differenza dell'aggiornamento del core di WP e delle plugin, non sempre viene segnalata la necessità di aggiornare il theme;
- Scegliere i temi PRO da store che tutelano gli acquirenti, Mojo theme devo dire che mi ha deluso parecchio, sopratutto ora che ho scoperto che non controlla i temi che fornisce e che prova a vendere diversi prodotti bucati da codice malevolo.
Come analizzare la sicurezza del codice di Wordpress
Nel caso non riusciamo a comprendere cosa ha provocato problemi di sicurezza nel nostro sito o se non vi è possibilità di sostituire il software infetto una utile plugin per analizzare il codice è quella fornita dal team di Sucuri, dal nome Sucuri Scanner che ci permette di effettuare, una volta installata e configurata, un audit del nostro sito web alla ricerca di possibili infezioni da codice malevolo.
La configurazione richiede però determinate competenze e l'uso di questo software necessita di un articolo dettagliato che in questo lungo articolo tralascio.
Approfondimenti Correlati
Lascia un commento
Commenti
RI.DO.PC. - P.IVA 10902370013
© 2013-2024 Tutti i diritti riservati