Il problema
Il sito era stato compromesso: defacing della home page, redirect 301 sistematico verso un dominio scam (con perdita totale di traffico organico) e oltre 200 backdoor installate sul server come meccanismo di persistenza. Il portale era effettivamente fuori uso e l'esposizione del dominio stava bruciando la reputazione SEO accumulata negli anni.
L'approccio
- Analisi forensica iniziale per identificare entry point, perimetro di impatto e timeline della compromissione, prima di toccare la produzione.
- Containment: blocco del traffico maligno verso il dominio scam, isolamento del server compromesso, snapshot del filesystem come evidenza.
- Eradication: identificazione ed eliminazione sistematica di tutte le 200+ backdoor (file system, cron job, processi, configurazioni di servizio, plugin WordPress manomessi, utenze ombra nel database).
- Recovery: rimozione del redirect 301, ripristino del contenuto originale da backup verificato, hardening della configurazione del web server.
- Post-mortem documentato e applicazione di misure preventive: security headers, hardening Docker, gestione segreti, reverse proxy Traefik con CrowdSec, monitoring di base.
Il risultato
- 200+ backdoor rimosse: file system, cron job, processi e configurazioni di servizio bonificati in modo verificabile.
- Redirect 301 maligno neutralizzato: il traffico organico è tornato sul contenuto originale entro pochi giorni.
- Nessuna penalty SEO permanente: la reputazione del dominio è stata recuperata senza riscritture forzate.
- Configurazione hardened: il sito post-recovery gira dietro reverse proxy Traefik con CrowdSec attivo, security headers configurati per impedire la stessa classe di compromissione.
L'incidente è stato chiuso con un post-mortem strutturato e un piano di hardening che ha sostituito la configurazione fragile pre-attacco con una baseline ripetibile.