Mi occupo da circa 15 anni di internet e nuove tecnologie. Sono un Freelancer e lavoro alla realizzazione di siti web e come front end developer.

WordPress – utenti appaiono senza averli aggiunti come risolvere

wordpress-utenti-appaiono-senza-averli-iscritti
wordpress-utenti-appaiono-senza-averli-iscritti

Un problema di WordPress che attualmente si sta proponendo a tanti blogger è quello di utenti che appaiono senza che si siano aggiunti. Spesso poi questi utenti hanno privilegi di amministratore. Vediamo come risolvere questo problema e da cosa è causato.

ATTENZIONE – se non siete pratici affidatevi ad un professionista eventuali danni causati da questa guida non saranno di nostra responsabilità .

Nuovi utenti senza averli aggiunti cause

Nella maggior parte dei casi la causa degli utenti che troviamo in WordPress senza che siano stati da noi aggiunti è una falla di un plugin che ha permesso agli hacker di entrare nel nostro pannello admin. Uno dei plugin più utilizzati e che recentemente ha avuto una grossa falla di sicurezza è WP GDPR Compliance. Se quindi avete questo problema una delle possibili cause potrebbe essere proprio questo plugin. Se lo avete installato e se gli utenti aggiunti hanno privilegi di amministratore probabilmente avete trovato il motivo.

Se gli utenti che trovate non hanno i privilegi di amministratore forse il vostro WordPress nelle impostazioni ha la possibilità  di far registrare nuovi utenti.

In altri casi potrebbero essere altri plugin ad essere stati hackerati oppure lo stesso WordPress.

Vediamo come risolvere in tutti i casi.

GDPR Compliance hackerato come risolvere

Per risolvere completamente il problema degli utenti che si iscrivono a causa della falla in GDPR Compliance occorrono alcuni passi. Non sempre però sono semplici, quindi se non siete molto pratici per evitare danni chiamate un professionista. Accertatevi prima di fare qualsiasi cambiamento di avere una copia di backup.

  1. Se il sito si vede male e ha dei redirect verso altri siti. In questo caso non potrete accedere al pannello admin. Occorre prima di tutto aprire il database del vostro WordPress con Phpmyadmin, in genere si può fare dal pannello di controllo del vostro gestore hosting. Andare alla voce option e controllare se l’indirizzo è quello del vostro sito, nel caso fosse stato cambiato dovrete ripristinarlo. Se non avete questo problema saltate al punto 2.
  2. La prima cosa da fare è disattivare GDPR Compliance e poi cancellarlo completamente tramite FTP. Disattivatelo dal pannello adimn andando in plugin. Poi aprite il vostro programma FTP e andate in wp-content -> plugin e rimuovete GDPR Compliance
  3. A questo punto tornate nel vostro pannello admin di WordPress e andate in Impostazioni->Generali se c’è la spunta alla voce “Chiunque può registrarsi toglietela e alla voce “. Dove c’è “Ruolo predefinito nuovi utenti” mettete editore e salvate.
GDPR-Compliance-hackerato
GDPR-Compliance-hackerato

Questo dovrebbe bastare a ripristinare il tutto, adesso occorrerebbe fare quello che in genere si fa quando si è colpiti da hacker.

Pulizia di WordPress e re-installazione

  1. Fai un backup del sito, se hai sentito i miei consigli dovresti già  averlo, ma fallo nuovamente con le modifiche fatte dopo i punti 1-2-3.
  2. Aggiorna tutti i plugin e WordPress.
  3. Scarica una versione di WordPress nuova e pulita dal sito ufficiale org.
  4. Tramite FTP rimuovi le cartelle e tutti i suoi contenuti da wp-admin e wp-include. Rimuovi tutti i file nella root. ATTENZIONE non rimuovere wp-config.php .htacces e robot.txt.

In pratica dovrebbe rimanere la cartella wp-content con tutti file, wp-config.php .htacces e robot.txt

  1. Ricaricate tutti i file cancellati dalla versione pulita di WordPress, wp-admin, wp-include e i file della root.
  2. A questo punto il vostro WordPress è abbastanza pulito. Resta da verificare i file wp-config.php .htacces e robot.txt, la cartelle wp-content ed eventualmente il database. Qui occorre un pò di esperienza. Nel caso potete cancellare i plugin e reinstallarli, poi aprite tutti i file del theme in uso e controllate se non sia stato modificato il codice. Nel caso potrete cancellarlo e reinstallarlo, se però il theme non ha una funzione di backup perderete le impostazioni che andranno ripristinate manualmente.
  3. Controllate la cartella upload dovrebbe contenere solo le immagini e i media.
  4. Infine cambiate tutte le password, ovvero del DB, FTP e Admin. Occorrerà  riconfigurare il file wp-config.php

Se il problema degli utenti che si iscrivono era semplicemente di impostazione di WordPress e cioè non avevano i permessi admin basta verificare e seguire quello scritto nel punto 3

Se il problema non riguarda GDPR Compliance

Se il problema non riguarda GDPR Compliance dovete cercare l’intrusione, potete provare a vedere i file di log rilasciati dal vostro hosting. Comunque se eseguite dal punto 4 in poi non dovreste più avere problemi.

Consigli per evitare problemi futuri

Sicurezza WordPress utenti
Sicurezza WordPress utenti

Per evitare in futuro problemi i consigli da seguire sono pochi, ma importanti:

  1. Tenere aggiornato WordPress
  2. Tenere aggiornati tutti i plugin
  3. Avere sempre una copia di backup
  4. Eventualmente installare un plugin per la sicurezza come Wordfence Security
  5. Utilizzare password forti per FTP, database e accesso admin.
  6. Non utilizzate come user: admin

Lascia un commento