Il fatto che i siti web siano hackerati dipende dai contenuti dei siti stessi, non dalle configurazioni o dai sistemi di gestione del server che già la stanno proteggendo dalla maggiorparte dei tentativi di attacco (disponiamo infatti di Web Application Firewall globale, di IPS lato firewall e di sistema simil Modsecurity installato su tutti i server).
Se un sito web è stato comprossesso dovrà verificare che non siano installati plugin, CMS (wordpress, joomla, drupal, ...) o altri componenti non aggiornati che quindi contengono bug o falle che vengono sfruttate da malintenzionati per violare il sito e iniettare contenuti malevoli.
Nel caso in cui siano presenti dei componenti fallati è necessario rimuoverli e/o sostituirli con altri stabili tramite un aggiornamento, è inoltre consigliato rimuovere tutti i componenti/plugin/temi non in uso in quanto potrebbero rappresentare un ulteriore vettore d'attacco per malintenzionati.
Di seguito un elenco di attività da eseguire su tutti i siti web ogni volta viene identificata un'infezione:
1) Verifica dell'aggiornamento della versione del CMS utilizzato
2) Disinstallazione completa di tutte le estensioni non utilizzate quali ad esempio componenti, moduli, plugins e template grafici
3) Verifica dell'aggiornamento delle versioni di tutte le estensioni utilizzate
4) Eventuale ricerca di bug ed exploits per le singole estensioni e eventuali versioni o fix risolutivi da applicare
5) Ove non disponibile versione di aggiornamento o bug fix di un eventuale bug di sicurezza provvedere alla rimozione completa dell'estensione.
Consigliamo anche di non esporre la pagina di login admin con la classica URL wp-admin o wp-login.php in quanto molti attacchi automatici di tipo brute force prendono di mira queste pagine, esistono dei plugin che permettoto di modificare l'URL che si utilizza per raggiungere queste pagine.