Il modo migliore per conoscerci?

Sito internet hackerato - Background

Sito internet hackerato: cosa si deve controllare?

Articoli correlati

Gli argomenti

Tabella dei Contenuti

Se hai un sito internet, probabilmente, da quando lo hai creato continui a controllarlo e aggiornarlo costantemente. E fai bene, perché è il modo migliore per avere dei buoni risultati! 

Una mattina però, succede qualcosa di imprevisto.

Lo apri e vieni portato da qualche altra parte, magari su un altro sito che vende pillole, scarpe (o, più correttamente, scatole con dentro mattoni) o filmini a luci rosse.

Se è così, non c’è da girarci tanto intorno: il tuo sito è stato hackerato, bucato, insomma qualche criminale informatico se ne è impossessato per i propri scopi.

Ti chiederai: “Ma come è possibile? Sono sicuro di avere fatto tutto bene!” 

Hai mantenuto il giusto comportamento e lavora con te un’agenzia SEO che sa ciò che sta facendo. Teoricamente, dovrebbe andare tutto bene. Eppure è successo.

Come è potuto succedere? 

Perchè il mio sito è stato hackerato? Prova a farti delle domande 

Perchè è successo? Come è stato possibile che il tuo sito internet sia stato hackerato?

È successo perché è difficile mantenere un sito sicuro: servono competenze, abilità e strumenti per controllare sempre la situazione. 

Prova un attimo a farti queste domande:

  • Il tuo sito è aggiornato? (magari hai WordPress e ci sono aggiornamenti da fare)
  • I plugin che usi sono aggiornati?
  • Il tema che usi è aggiornato?
  • Usi plugin molto comuni?
  • Sei su un server condiviso?

Se hai risposto “no” o “non lo so” a tutte le domande, mi spiace dirtelo, ma il tuo sito potrebbe già essere stato hackerato e tu nemmeno te ne sei accorto.

In queste situazioni, infatti, occorre fare attenzione ad aspetti distinti, ma ugualmente importanti:

  • Controllare il codice del sito
  • Controllare lo stato di salute SEO
  • Controllare i risultati su Google
  • Controllare i backlink

Iniziamo vedendo insieme ogni step.

1. Per prima cosa controlla il codice del sito con l’aiuto del team di sviluppo

La prima cosa da fare è controllare il codice per verificare che sia pulito.

Per farlo ti serve l’aiuto di uno sviluppatore esperto, che potrà individuare ed eliminare tutto il codice manomesso e sistemare il sito dall’interno. 

Si tratta del primo passo da compiere, propedeutico a tutti gli altri step, e che poi verrà verificato insieme al team tecnico (se ne hai uno, se non ce l’hai dovrai provvedere).

Anche a un nostro cliente è capitato di ritrovarsi il sito sconvolto dal giorno alla notte e per fortuna abbiamo avuto la fortuna di collaborare con il team di 14SPM, che è intervenuto più che prontamente per tappare le falle create dall’hacker.

2. Controlla in che stato di salute è la SEO del sito

Quali sono le pagine del sito che l’hacker è riuscito a modificare per i suoi scopi?

Analizza attentamente tutte le pagine del tuo sito -non tralasciarne nessuna-  e prova a cercare il tuo nome su Google.

Potresti trovare pagine che sono state completamente sostituite facendoti finire su altri siti quando clicchi sul tuo nome su Google. Siti che probabilmente l’hacker ha costruito per condurre le sue attività criminali.

Per farti un’idea precisa di quello che sta succedendo, avvia una scansione con Screaming Frog ed esegui l’analisi manuale del sito, in questo modo potrai capire non solo cosa non va, ma anche cosa occorre fare per sistemare tutti i problemi, definendo le priorità su ciò che bisogna immediatamente rimediare e ciò che puoi rimandare ad un secondo momento.

Ad esempio, presta attenzione a:

  • Eventuali Title Tag che sono stati modificati.
  • Pagine che rispondono con un redirect 301, cioè pagine spostate da un luogo ad un altro (attento però, non è detto che tu possa scoprirle tutte da Screaming Frog).
  • Modifiche dei contenuti della pagina e se sono stati inseriti link uscenti
  • Eventuali segnalazioni in Google Search Console. Se ricevi segnalazioni allora l’attacco è andato a buon fine ed è abbastanza tardi, perché significa che Google ha messo il sito in quarantena. (Se non altro, almeno avrai scoperto l’attacco, anche se di certo è una situazione non ottimale).

3. Controllare su Google Search Console la presenza di query spam

Se l’attacco è stato scoperto dopo un po’ di tempo, è possibile che intanto Google abbia iniziato a posizionare il sito per alcune ricerche spam, cioè ricerche che non c’entrano niente con la tua attività.

Quello che bisogna fare ora è proprio capire quali sono le ricerche spam che il sito sta attirando e, soprattutto, quali pagine sono state generate ed indicizzate da Google.

Per scoprirlo devi osservare le ricerche “sporche”, così facendo potrai individuare le pagine che sono state generate. Una volta trovate, non puoi semplicemente eliminarle, ma dovrai richiedere anche la rimozione dagli indici di Google.

4. A questo punto ti manca solo il controllo dei backlink del sito

Quali pagine sono finite dentro una rete di link spam? Un controllo con i tool Majestic ed Ahrefs ti permette di individuare le pagine generate dall’ hacker per ripulire il sito anche da quelle URL. 

Trovare la rete di link spam ti aiuta anche a individuare ulteriori pagine spam generate e collegate ad altri siti tramite backlink che magari ti erano sfuggite. 

La Search Console di Google è un altro importantissimo strumento di aiuto in questi casi. Una volta raccolti tutti i link, è necessario segnalare il disconoscimento tramite tool Disavow (che trovi sempre su Google Search Console). 

Google sostiene di essere in grado di riconoscere lo spam, e i suoi sforzi in questo senso sono sicuramente ammirevoli, ma diciamocelo in tutta franchezza: non è così bravo.

Spam direttamente in un sottodominio di un prodotto Google. L’idea è presa dalla newsletter di Kevin Indig.

Il disconoscimento è importante per comunicare chiaramente a Google che il tuo sito non deve essere associato ad eventuali altri siti, perché non è assolutamente parte della rete spam.

Poni estrema attenzione nella fase di disconoscimento: è molto importante controllare bene cosa si inserisce nel disavow, onde evitare di disconoscere anche link importanti e di valore.

Perché un sito viene hackerato?

Una domanda quanto mai comune che merita una risposta approfondita. Sicuramente la motivazione più comune, cioè che hackerino siti per puro passatempo, non regge. Anche perché non è la risposta corretta.

Non è la risposta corretta perché, in realtà, inserire codice malevolo in un sito permette di guadagnare da attività spam.

Per capirci meglio torniamo all’esempio pratico del nostro cliente: nel suo caso erano state inserite pagine e redirect verso un sito dedicato alla vendita di maschere N95 e schermi protettivi, sfruttando il picco di ricerche legato alle mascherine nei mesi di lockdown. Con tutta probabilità, però, nessuna maschera sarebbe mai arrivata all’acquirente. 

Quindi gli hacker avevano virato i visitatori del sito del nostro cliente verso un sito “finto” creato da loro per raccogliere gli ordini- e i pagamenti- di mascherine che non sarebbero mai state mandate agli acquirenti.

Oltre alle attività di redirect spam, gli hacker spesso inseriscono nei siti diverse pagine con backlink a siti spam, per sostenerlo e potenziarlo per il poco tempo necessario a realizzare ingenti “vendite”.

Infatti, inserendo pagine spam sui siti vittima con link verso il sito pensato per guadagnare, possono sfruttare una debolezza purtroppo molto nota di Google: quando il motore di ricerca osserva moltissimi link ottenuti da una certa pagina e per un certo argomento, la ritiene estremamente importante e la posiziona nelle primissime posizioni dei risultati di ricerca. Perché la ritiene, erroneamente, una pagina autorevole e degna, quindi, di stare tra le prime posizioni.

Un disegno che simula come funzionano le reti di link spam

Da questo puoi capire che l’attività di link building è (ancora) davvero molto potente, dunque va fatta e seguita nel migliore dei modi, perché è in grado di fare tanto bene… ma anche tanto male!

Oltre a ciò, entrando in un sito si possono ottenere anche tante informazioni relative ai clienti di una azienda e tanti altri dati che possono essere rivenduti in canali non controllati.

Alcuni attacchi, però, hanno molta meno risonanza e sono pensati solamente per iniettare codice malevolo che poi verrà attivato in un secondo momento, quando sarà il momento del vero attacco.

E tu stai proteggendo adeguatamente il tuo sito?

Alla luce di tutto ciò che ti abbiamo detto, puoi dire di essere veramente sicuro che il tuo sito non sia stato compromesso a tua insaputa? 

La prudenza non è mai troppa in questi casi. Se hai un sito per cui hai investito e lavorato tanto, è necessario tenerlo sempre sotto stretta sorveglianza. 

Magari hai guadagnato abbastanza visibilità da aver attirato l’attenzione di qualche hacker che potrebbe decidere di sfruttarla per i suoi scopi, oppure potresti avere dei competitor troppo aggressivi che potrebbero decidere di utilizzare tecniche poco ortodosse per farti fuori. 

Il nostro consiglio è di essere sempre prudente! Non perdere tutti gli investimenti fatti solo perché non ti sei impegnato abbastanza nella sicurezza, chiedi un’analisi ed un controllo, specie per le cose che non puoi controllare da solo!