Wordpress e sicurezza | case history...la mia!!!

AAA-cercasi Don Chisciotte

Tutto comincia con la segnalazione di google, sorpresa del ritorno dalle vacanze; il mio blog www.fengshuitrainer.com risulta sulla blacklist come diffusore di malware. Conseguenza del caso, perdita di visite (dalle 200/250 giornaliere a 10/20...na bella botta!), pagina di segnalazione allarmista nei risultati del motore di ricerca e così via e inizia la mia disperata caccia al malevolo.

Ho scoperto che il servizio di statistiche che usavo non era pulito, quindi ho provveduto a togliere lo script per il resto ho controllato il codice ma non ho trovato niente di anomalo...ma non è una certezza, ho provveduto ad eliminare dal db anche un utente che non mi tornava fra quelli iscritti. Devo dire che dopo questa operazione su strumenti per webmaster di google dalla segnalazione di una marea di pagine malevoli siamo tornati alla norma.

Inoltre nel gestire il blog avevo la sensazione di non essere la sola ad amministrare; problemi nella pubblicazione di post, nell'attivazione e disattivazione di plugin insomma...

Leggendo articoli sulla sicurezza dei blog in wp la cosa in comune che ho riscontrato era quella di AGGIORNARE oltre che apportare accorgimenti (che terrò rigorosamente a mente per il futuro) e data la versione ormai datata con la quale lavoravo ho pensato fosse il caso di farlo.

Avendo timore di far cazzate (le ho fatte cmq) ho voluto provare il plugin wordpress-automatic-upgrade di cui ho sentito parlar bene e che ho testato su altri blog e dove tutto è andato a buon fine...ma in questo caso, dopo che tutto sembrava andar bene, dopo l'aggiornamento del DB arrivo alla pagina di login e li mi accorgo che non riesco più ad accedere all'amministrazione. Provo a richiedere nuova password ma niente, all'inserimento dei dati vengo reindirizzata alla pagina di login con questo url http://www.fengshuitrainer.com/wp-login.php?redirect_to=http%3A%2F%2Fwww.fengshuitrainer.com%2Fwp-admin%2F

Provo ad eliminare i cookie ma ninete ... mi rimane un dubbio, avendo utilizzato un sistema di upgrade automatico dove vengono disattivati i plugin per l'aggiornamento e probabilmente riattivati al termine può qualcuno di questi non aggiornato creare problemi? Inoltre non ho la certezza d'aver rimosso "Il malevolo" in particolare nella gestione e non so come fare.

Una soluzione che mi è stata data è la seguente:

"...Per prima cosa backup del database anche se magari è compromesso.

Poi esporti post e commenti con l'esportazone di worpdress (non ho ancora molta dimestichezza con WP ma come posso se non entro nell'amministrazione...)

Poi ti prendi nota dei plugin che utilizzi ed eventualemnte del tema.

Poi ti scarichi in locale le immagine che hai eventualmente caricato.

Cancelli fisicamente tutto incluso il database

Reinstalli ex novo wordpress

Reimporti i post e i commenti che hai esportato precedentemente

Scarichi ex novo i plugin che usavi (non usare eventuali copie che avevi)

Riscarichi il tema

Reinstalli plugin e temi e dovresti aver ripulito il tutto..."

Osservate, commentate, consigliate ... aiutatemi ad uscire dalla mia ignoranza!