Oltre al repository ufficiale di WordPress, centinaia e migliaia di siti Web offrono plug-in ed estensioni gratuiti da WordPress. Il problema è che non puoi sempre fidarti di loro.
Non solo i design e i componenti aggiuntivi gratuiti, ma anche l’alta qualità e le funzionalità scaricate da warez e torrent possono essere infettate da questo codice dannoso.
1. Verifica la presenza di virus o trojan nello script
Scansionare il tuo script annullato alla ricerca di un virus. Visita virustotal.com e carica il file zip … scansiona, se c’è un segnale rosso significa che il file è infetto.
2. Verifica la presenza di codice nascosto nel tuo plug-in
Molti si stanno godendo il plug-in annullato. Eppure, inconsapevolmente, esiste un collegamento nascosto incorporato nel plug-in. Tuttavia, per verificarlo è possibile installare il plug-in Exploit scanner dal repository di WordPress. Questo ti aiuterà a scoprire se ci sono plugin infetti.
- Wordfence plugin (installa una vecchia versione così non ti devi registrare e poi aggiornala)
- Sucuri Security siteweb (check the website for known malware, viruses, blacklisting status, website errors, out-of-date software, and malicious code)
- Virustotal siteweb (analyse suspicious files, domains, IPs and URLs to detect malware)
- SiteGuard siteweb (website’s current susceptibility to potential hackers and malware, as well as detecting if it has already been compromised)
- Quattera siteweb (malware protection for every website)
… contenuto visibile ai soli Amici
[private]
3. Controlla l’autenticità del tema
Trovare un backlink in un tema “Nulled” è molto comune. Ti consiglio quindi prima di ogni installazione su server di produzione, di controllare molto bene il codice del tema come sopra ti ho descritto.
Come posso scansionare un tema WordPress alla ricerca di malware?
- Scansiona il tuo sito con uno dei tools online sopra proposti o meglio con tutti;
- Fai attenzione che VirusTotal nella maggior parte dei casi non rileverà alcun virus perché non è pensato per codici php
Se hai un server in locale del tipo XAMPP, leggi questo utile articolo: 10 migliori scanner di sicurezza del codice PHP
Ribadisco il consiglio di NON utilizzare alcun tema o plug-in WP “Nulled”. Perché la maggior parte contiene virus, pubblicità, malware. Ma se lo utilizzerai comunque, scansiona il tuo sito Web settimanalmente o mensilmente con i siti sopra menzionati. Sono molto affidabili.
Come pulire il tema WordPress infetto?
Se hai usato MalCare per scansionare i temi di WordPress alla ricerca di malware , puoi usarlo anche per pulire il tema.
1. Pulizia di un tema installato. Apri la Dashboard di Malcare e seleziona il tuo sito web.
Nella pagina successiva, nella sezione chiamata Sicurezza. Fai clic su Auto-Clean (servizio premium) e MalCare in pochi minuti inizierà a pulire il tuo sito.

2. Pulizia di un tema prima dell’installazione
Anche se pulisci il tema e lo installi, stai mettendo a rischio il tuo sito. Se il tema è mal codificato, gli hacker possono facilmente trovare una vulnerabilità e sfruttarla per ottenere l’accesso al tuo sito.
La pulizia manuale di un tema infetto è meglio lasciarla a uno sviluppatore esperto. Detto questo, anche i professionisti di WordPress con più di 10 anni di esperienza sono riluttanti a eliminare un pezzo di codice.
Alcune funzioni PHP come eval, base64_decode, gzinflate, ecc. non sono dannose per impostazione predefinita. Molti plugin utilizzano queste funzioni per eseguire operazioni. Se elimini un pezzo di codice legittimo, il tuo sito web verrà danneggiato.
- How to Clean a Hacked WordPress Site using Wordfence
- How to clean hacked WordPress site step by step guide
Oppure fai una semplice ricerca su Google: Cleaning WordPress theme hacked
[/private]