Pensare che il tuo sito Drupal sia sicuro al 100% è un errore. Se non hai preso tutte le giuste precauzioni, c’è una piccola probabilità che il sito presenti delle falle e quindi possa essere hackerato. In questo post voglio spiegarti in 10 passi come fare per controllare la sicurezza del tuo sito e come agire nel caso in cui tu abbia subito un attacco hacker.
1. Verifica la presenza di malware attivi
La prima operazione che devi compiere è quella di verificare che sul tuo sito siano presenti dei malware attivi. Ti vengono in aiuto due strumenti disponibili online che puoi raggiungere a questi indirizzi:
Se i test dovessero risultare negativi non significa che il tuo sito è sicuro, ma semplicemente che non rappresenta una minaccia immediata per i tuoi utenti.
2. Guarda i video di Brian
Brian Lewis è un esperto Drupal molto affermato in rete, che ha creato una serie di video che spiegano alla perfezione l’utilizzo di questo CMS. Tra questi c’è ne uno molto interessante che ti consiglio di guardare, dal titolo “Come ripristinare il sito hackerato”, ti potrebbe essere davvero di aiuto.
3. Verifica la tabella menu_router di Drupal
La prima cosa cui hanno avuto accesso gli hacker è stata proprio la tabella menu_router. Devi verificare (come ti mostra la grafica ripresa dal blog di Tamer Zoubi) nella tabella la presenza della funzione file_put_contents(), la funzione PHP che viene richiamata dagli hacker per creare file sul server.
4. Controlla gli uteti Drupal e i rispettivi ruoli
Molti siti Drupal infettati riportano la presenza di utenti generati con ruoli di amministratore. Alcuni nomi più utilizzati dagli hacker sono: drupaldev, megauser, sistema e admin122, ma è altamente possibile che gli hacker abbiano utilizzato anche nomi assolutamente casuali. Controlla quindi la presenza di eventuali user amministratori che ti sembrano strani.
5. Controlla la directory /modules/ e la directory /sites/
Spesso esperti Drupal hanno trovato all’interno di questi cartelle dei file infetti. Timer Zoubi ad esempio ha trovato il file /modules/forum/bmeq.php. Un utente Reddit ha trovato, invece, una backdoor in /sites/all/files/ctools/syscore.php. All’interno di questo file è possibile trovare del codice criptato per proteggere il lavoro degli hacker.
6. Verifica il file .htaccess
Molti hacker agiscono direttamente sul file .htaccess, modificando le misure di sicurezza. Verificalo confrontandolo con un .htaccess di backup iniziale o con .htacceaa direttamente fornito da Drupal.
7. Qualcuno ha effettuato a patch del tuo sito Drupal?
È possibile che sul sito si trovino dei reports di aggiornamenti di Drupal degli stessi hacker che consentono di nascondere le loro tracce e di ecitare ad altri hacker di accedere al sito.
8. Installa il modulo Drupalgeddon
Il modulo Drupalgeddon è stato progettato per verificare la presenza di backdoor. Gli sviluppatori del modulo affermano che in realtà non è perfetto, ma potrebbere essere comunque di aiuto per scoprire la presenza di file sospetti.
9. Cosa devi fare se il sito è stato hackerato?
Fin qui ti ho spiegato come verificare se il tuo sito Drupal ha subito un attacco hacker. A questo punto, se ritieni che lo sia stato puoi trovare delle guide molto interessanti a questi link, che ti consentiranno con molta probabilità di risolvere il problema:
- Il diagramma di flusso di Bevan Rudge, che ti permette di prendere decisioni sul da farsi;
- I passi da compiere per risanare il tuo sito spiegati da Greg Knaddison.
10. Come proteggere il tuo sito da attacchi futuri
Sia il tuo sito sia stato minacciato da hacker, sia che non lo sia stato, è bene metterlo in sicurezza per il futuro. A questo proposito ti consiglio per prima cosa di scegliere un host ottimizzato per Drupal, in grado di eseguire degli aggiornamenti automatici di sicurezza.
In secondo luogo ti consiglio di attivare sul tuo host un firewall, la migliore difesa contro gli attacchi hacker. La maggior parte dei provider fornisce dei firewall sicuri in grado di contrastare il lavoro di coloro che intendono violare il tuo sito.
Per ultimo ti consiglio di effettuare spesso copie di backup, per ripristinare immediatamente il sistema funzionante in caso di eventuali attacchi hacker.
Spero questa mini-guida ti sia stata utile per verificare la sicurezza del tuo sito Drupal e per indicarti delle possibili precauzioni da prendere per il futuro.