Wp-vcd malware è il nome con cui viene identificato un tipo di malware che attacca i siti con CMS ( content management system ) WordPress.
La caratteristica principale di questo malware è che effettua un code injection all’interno dei file di WordPress, permettendo all’utente lato front-end, di atterrare su una pagina esterna rispetto al sito che sta visitando.
L’attivazione del Wp-vcd malware viene effettuata attraverso il click su alcuni link o titoli.
COME SI INFETTA IL NOSTRO SITO WORDPRESS?
Il sito viene infettato dal malware grazie all’installazione di plugin e/o temi “taroccati”, scaricati da siti non attendibili e/o non presenti nella repository di WordPress.
In molte guide trovate su internet, in cui si parla del wp-vcd malware, come causa dell’infezione si fa riferimento anche agli shared hosting o ai cloud hosting.
Il motivo di questa associazione viene fatta in quanto, essendo degli hosting condivisi con altri utenti, si presuppone che l’infezione di un sito su un determinato hosting, possa causare la trasmissione del malware anche ad altri siti.
Consultandomi però con i tecnici di Siteground ( azienda in cui ho acquistato il mio cloud hosting ) hanno escluso categoricamente che l’infezione sia avvenuta lato server.
COME MI ACCORGO DI AVERE IL WP-VCD MALWARE SUL MIO SITO?
L’infezione si nota molto facilmente.
Lato front-end, tramite il browser in modalità anonima, puoi notare che alcuni link ti riportano su una pagina esterna.
Questo è un primo elemento caratteristico del malware, che ti deve far suonare un campanello d’allarme.
Lato backend invece, tramite FTP, possiamo notare che nelle cartelle di WordPress sono stati aggiunti nuovi file. In particolare in WP-INCLUDES possiamo trovare tre nuovi file chiamati:
– Wp-feed.php
– Wp-tmp.php
– Wp-vcd.php
Inoltre all’interno del file post.php alla riga 1 troviamo la presenza di un codice malevole di attivazione.
Ed infine all’interno della cartella del tema (ma anche nel tema child o in altri temi installati) nel file functions.php, possiamo trovare dalla riga 1 un codice del tipo:
if (isset($_REQUEST[‘action’]) && isset($_REQUEST[‘password’]) && ($_REQUEST[‘password’]...
Se anche tu noti questi files e la presenza di codice malevolo, allora il tuo sito è stato infettato dal wp-vcd malware.
COME RIMUOVO IL MALWARE DAL MIO SITO?
Dalle varie guide che ho trovato online, tutte suggerivano di cancellare prima il codice malevole dal/dai file/files functions.php del/dei tema/temi e successivamente eliminare i tre file dalla cartella WP-INCLUDES e infine pulire il file post.php dalla prima riga.
Puntualmente però dopo poche ore il wp-vcd malware si ripresentava.
Così ho continuato a cercare altre soluzioni in altre guide e quest’ultime suggerivano di installare un firewall che avrebbe permesso di bloccare definitivamente il malware e impedito la sua diffusione.
In teoria il suggerimento era corretto nella forma, ma in realtà quando il malware si trova ormai all’interno dei files del sito o nei files di backup, purtroppo continua ad autoriprodursi.
Quindi dopo tanta fatica nella pulizia, soprattutto se si hanno più siti installati sul singolo hosting, ci si ritrova nuovamente al punto di partenza.
COME FACCIO QUINDI AD ELIMINARE DEFINITIVAMENTE IL WP-VCD MALWARE DAL MIO SITO?
La soluzione che ho trovato l’ho studiata e testata sui miei siti per diversi mesi.
– Per prima cosa ho installato il plugin “Wordfence”, che puoi trovare nella repository di WordPress.
– Ho effettuato una scansione dei miei files.
– Una volta terminata la scansione, il plugin mi notifica i problemi con i files citati precedentemente divisi per riga.
– Cliccando su ogni riga, il plugin mi mostra una finestra, con più dettagli del problema.
– Affianco ad ogni files ci sono le porte che vengono utilizzate dal malware per propagarsi e per effettuare la connessione esterna.
– Nel mio caso il malware utilizzava sempre le stesse tre porte, così per evitare la connessione esterna, mi è bastato contattare i tecnici di Siteground e chiedergli di bloccare lato server quelle tre porte sia nel protocollo UDP che TCP.
Dopo aver effettuato il blocco e ripulito tutto il sito dai vari codici malevoli e dai tre file, il problema non mi si è più presentato.
In questo modo sono riuscito a debellare definitivamente il problema del wp-vcd malware.
Provate anche voi questa piccola guida e fatemi sapere se ha funzionato.