Attacchi SEO spam in sottodirectory di siti WordPress

In uno degli ultimi articoli di Sucuri, pubblicato un mese fa, ma diffuso nuovamente in questi giorni, veniamo a conoscenza di un metodo utilizzato da chi effettua Black Hat SEO realizzando in una sottodirectory, di un sito Wordpress compromesso, un nuovo sito web con cui diffondere contenuti SPAM.

Gli obiettivi di un attacco di questo tipo possono essere:

• penalizzare il dominio su cui viene effettuato l'attacco;
• utilizzare il trust del dominio per realizzare link building spam;

In particolare questa tecnica è particolarmente insidiosa perché:

• è relativamente più difficile da venire scoperta dal proprietario del dominio;
• sfrutta le risorse dell'host minando le prestazioni del sito che, a sua insaputa, ospita il sito web parassita;

[bctt tweet="Analizziamo un caso di negative #SEO mediante compromissione di sito Wordpress e contenuti SPAM" username="posizioneseo"]

Come si sviluppa l'attacco SEO spam

Fernando Barbosa, del team di Sucuri, ci spiega che su almeno tre siti Wordpress è stato riconosciuto lo stesso tipo di attacco SEO spam.

Nel dettaglio il webmaster malevolo, dopo aver bucato i siti bersaglio (tutti con la stessa installazione di Wordpress, la 4.0.12), ha:

• Aggiunto due directory nella root del dominio (./raybaner e ./oakleyer);
• Utilizzando le stesse credenziali del sito Wordpress infettato (presumibilmente recuperate dal file wp.config.php) ha inserito diverse tabelle, con prefisso differente dal sito originale;
• Su queste tabelle ha creato due siti Wordpress, che oltre all'installazione classica avevano al loro interno degli script utili per generare in automatico contenuti e, in particolare, con diverse funzioni:
  • etpost.php: per creare/aggiornare i post spam nel database;
  • etchk.php: script per verificare se il nome dei post spam nel database (immagino per non creare duplicati da quel punto di vista);
  • map.php: per realizzare la sitemap del sito spam.
  • etreply.php: per automatizzare la pubblicazione di commenti spam.

Grazie ai singoli script il responsabile dell'attacco ha così la possibilità di gestire tutti i siti spam, presenti nei Wordpress compromessi, in maniera automatica e globale.

Come riconoscere questa tipologia di Black Hat SEO

Sempre da Sucuri ci fanno sapere come è possibile riconoscere se un sito Wordpress viene compromesso da un attacco di questo tipo. In particolare Fernando Barbosa ci fa sapere che, grazie a Search Console (o mediante altri tool SEO) è possibile comprendere se abbiamo visite al nostro sito per query totalmente non pertinenti e di chiara matrice spam.

Una volta che ci viene il dubbio è poi possibile effettuare una ricerca nell'indice di Google, mediante un operatore fornito dal noto search engine. Infatti utilizzando il comando [site:il-tuo-dominio.tlp parola_spam] possiamo capire se Google restituisce risultati relativi a pagine spam presenti nel nostro dominio e, come in questo caso, all'interno di siti Wordpress parassiti.

Per essere poi totalmente sicuri possiamo analizzare i log del nostro server e, se ne abbiamo la possibilità, il carico di risorse che a parità di utenti per i siti compromessi dovrebbe variare in negativo.

Il miglior metodo per evitare problemi di questo tipo

Ad oggi la migliore prevenzione rimane l'aggiornamento e la manutenzione del noto CMS, oltre naturalmente le più banali pratiche di chi utilizza la rete:

• password complesse;
• non lasciare incustodite le proprie credenziali;
• non fornire le credenziali del proprio host a persone non di fiducia;

Se pensiamo di avere un sito compromesso è poi opportuno rivolgersi ad uno sviluppatore o se siamo stati vittima di un attacco Black Hat di questo tipo ad un consulente SEO, che a seguito di analisi, ci potrà guidare nei passi da seguire per sistemare il problema.