Como Limpar um Site WordPress Hackeado usando Wordfence
Se o seu site foi hackeado, Não entre em pânico.
Este artigo irá descrever como limpar o seu site se ele foi hackeado e infectado com código malicioso, backdoors, spam, malware ou outra maldade. Este artigo foi atualizado em 27 de agosto de 2019 com recursos adicionais para ajudar a limpar tipos específicos de infecção. Este artigo é escrito por Mark Maunder, o fundador da Wordfence. Eu também sou um pesquisador de segurança credenciado, desenvolvedor do WordPress e sou proprietário e operador de muitos dos meus próprios sites com WordPress, incluindo este. Mesmo se você não estiver rodando WordPress, este artigo inclui várias ferramentas que você pode usar para ajudar a limpar seu site de uma infecção.
Se você estiver rodando WordPress e tiver sido invadido, você pode usar Wordfence para limpar grande parte do código malicioso do seu site. O Wordfence permite que você compare seus arquivos hackeados com os arquivos principais originais do WordPress, e as cópias originais dos temas e plugins do WordPress no repositório. Wordfence permite que você veja o que mudou e lhe dá a opção de reparar arquivos com um clique e tomar outras ações.
Se você suspeitar que você foi hackeado, primeiro certifique-se de que você realmente foi hackeado. Às vezes, os administradores do site entram em pânico ao nos contatar pensando que foram hackeados quando o site deles está apenas se comportando mal, uma atualização correu mal, ou algum outro problema está acontecendo. Às vezes os donos de sites podem ver comentários de spam e não conseguem distinguir entre isso e um hack.
Seu site foi hackeado se:
- Você está vendo spam aparecendo no cabeçalho ou rodapé do seu site que contém anúncios de coisas como pornografia, drogas, serviços ilegais, etc. Muitas vezes ele será injetado no conteúdo da sua página sem qualquer pensamento para apresentação, então ele pode aparecer como texto escuro sobre um fundo escuro e não ser muito visível aos olhos humanos (mas os mecanismos de busca podem vê-lo).
- Você faz uma pesquisa site:example.com (substitua exemplo.com pelo seu site) no Google e você vê páginas ou conteúdo que você não reconhece e que parece malicioso.
- Você recebe relatórios de seus usuários que estão sendo redirecionados para um site malicioso ou spammy. Preste especial atenção a estes porque muitos hacks detectarão que você é o administrador do site e não lhe mostrarão nada de spammy, mas apenas mostrarão spam aos seus visitantes ou aos crawlers do motor de busca.
- Você recebe um relatório do seu provedor de hospedagem que o seu site está fazendo algo malicioso ou spammy. Por exemplo, se o seu provedor de hospedagem lhe diz que está recebendo relatórios de e-mail de spam que contém um link para o seu site, isso pode significar que você foi hackeado. O que os hackers estão fazendo neste caso é enviar spam de algum lugar e usar o seu site como um link para redirecionar as pessoas para um site que eles possuem. Eles fazem isso porque a inclusão de um link para o seu site irá evitar filtros de spam enquanto a inclusão de um link para o seu próprio site irá ficar preso em filtros de spam.
- Wordfence detecta muitos desses problemas e outros que eu não mencionei aqui, então preste atenção aos nossos alertas e responda de acordo.
Back up your site agora mesmo. Aqui está porque:
Após ter verificado que foi hackeado, faça o backup do seu site imediatamente. Use FTP, o sistema de backup do seu provedor de hospedagem ou um plugin de backup para fazer o download de uma cópia de todo o seu site. O motivo pelo qual você precisa fazer isso é porque muitos provedores de hospedagem irão apagar imediatamente o seu site inteiro se você informar que ele foi invadido ou se eles detectarem conteúdo malicioso. Parece loucura, mas este é o procedimento padrão em alguns casos para evitar que outros sistemas na sua rede sejam infectados.
Certifique-se de que também faz o backup da base de dados do seu site. Fazer backup dos seus arquivos e banco de dados deve ser a sua primeira prioridade. Faça isso, então você pode passar com segurança para o próximo passo da limpeza do seu site com o conhecimento de que pelo menos você tem uma cópia do seu site hackeado e você não vai perder tudo.
O que você deve saber antes de limpar um site WordPress que foi hackeado:
Aqui estão as regras da estrada ao limpar seu site:
- Você geralmente pode apagar qualquer coisa no wp-content/plugins/diretório e você não perderá dados ou quebrará seu site. A razão é porque estes são arquivos de plugins que você pode reinstalar e o WordPress detectará automaticamente se você apagou um plugin e o desativará. Apenas certifique-se de excluir diretórios inteiros em wp-content/plugins e não apenas arquivos individuais. Por exemplo, se você quiser excluir o plugin Wordfence, você deve excluir o conteúdo/plugins/wordfence do wp e tudo dentro desse diretório, incluindo o próprio diretório. Se você excluir apenas alguns arquivos de um plugin você pode deixar seu site inoperante.
- Você normalmente tem apenas um diretório temático que é usado para o seu site no diretório wp-content/themes. Se você sabe qual deles é, você pode apagar todos os outros diretórios temáticos. Tenha cuidado se você tiver um “tema criança” você pode estar usando dois diretórios em wp-content/temas.
- O wp-admin e wp-inclui diretórios muito raramente tem novos arquivos adicionados a eles. Então se você encontrar algo novo nesses diretórios tem uma alta probabilidade de ser malicioso.
- Cuidado com as antigas instalações e backups do WordPress. Nós frequentemente vemos sites infectados onde alguém diz: “Mas eu mantive meu site atualizado e tinha um plugin de segurança instalado, então por que eu fui hackeado”? O que às vezes acontece é que você ou um desenvolvedor faz backup de uma cópia de todos os arquivos do seu site em um subdiretório como o /old/ que é acessível a partir da web. Este backup não é mantido e mesmo que seu site principal seja seguro, um hacker pode entrar lá, infectá-lo e acessar seu site principal a partir da porta traseira que eles plantaram. Então nunca deixe instalações WordPress antigas por aí e se você for hackeado, verifique estas primeiro porque é provável que estejam cheias de malware.
Umas poucas ferramentas úteis:
Se você tem acesso SSH ao seu servidor, entre e execute o seguinte comando para ver todos os arquivos que foram modificados durante os últimos 2 dias. Note que o ponto indica o diretório atual. Isso fará com que o comando abaixo procure no diretório atual e em todos os subdiretórios por arquivos modificados recentemente. (Para descobrir qual é o seu directório actual no SSH, digite ‘pwd’ sem aspas).
find . -mtime -2 -ls
Or pode especificar um directório específico:
find /home/yourdirectory/yoursite/ -mtime -2 -ls
Or pode alterar a pesquisa para mostrar ficheiros modificados nos últimos 10 dias:
find /home/yourdirectory/yoursite/ -mtime -10 -ls
Sugerimos que faça a pesquisa acima e aumente gradualmente o número de dias até começar a ver os ficheiros modificados. Se você mesmo não alterou nada desde que foi hackeado, é muito provável que você veja os arquivos que o hacker alterou. Você pode então editá-los você mesmo para limpar o hack. Esta é de longe a forma mais eficaz e simples de descobrir quais ficheiros foram infectados e é usada por todos os serviços profissionais de limpeza de sites.
Outra ferramenta útil no SSH é o ‘grep’. Por exemplo, para procurar por arquivos que contenham base64 (comumente usado por hackers) você pode executar o seguinte comando:
grep -ril base64 *
Isto irá apenas listar os nomes dos arquivos. Você pode omitir a opção ‘l’ para ver o conteúdo real do arquivo onde a string base64 ocorre:
grep -ri base64 *
Calcando que “base64” também pode ocorrer em código legítimo. Antes de apagar qualquer coisa, você vai querer ter certeza de que não está apagando um arquivo que está sendo usado por um tema ou plugin no seu site. Uma pesquisa mais refinada poderia ser assim:
grep --include=*.php -rn . -e "base64_decode"
Este comando pesquisa recursivamente todos os arquivos que terminam com .php para a string “base64_decode” e imprime o número da linha para que você possa mais facilmente encontrar o contexto em que a string ocorre.
Agora que você saiba como usar o ‘grep’, nós recomendamos que você use o grep em combinação com o ‘find’. O que você deve fazer é encontrar arquivos que foram modificados recentemente, ver o que foi modificado no arquivo e se você encontrar uma string comum de texto como “bad hacker was here”, então você pode apenas grep todos os seus arquivos para esse texto como so:
grep -irl "bad hacker was here" *
e que irá mostrar todos os arquivos infectados contendo o texto “bad hacker was here”.
Se você limpar um monte de sites infectados você vai começar a notar padrões em que o código malicioso é comumente encontrado. Um desses lugares é o diretório de uploads nas instalações do WordPress. O comando abaixo mostra como encontrar todos os arquivos no diretório de uploads que NÃO são arquivos de imagem. A saída é salva em um arquivo de log chamado “uploads-non-binary.log” em seu diretório atual.
find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >uploads-non-binary.log
Usando as duas simples ferramentas de linha de comando “grep” e “find” você pode limpar um site inteiro infectado. Como isso é fácil! Aposto que você está pronto para começar seu próprio negócio de limpeza de sites neste ponto.
Como limpar seu site WordPress hackeado com Wordfence:
Agora você tem algumas ferramentas poderosas em seu arsenal e já fez algumas limpezas básicas, vamos lançar Wordfence e executar uma varredura completa para limpar seu site. Este passo é importante porque o Wordfence faz algumas pesquisas muito avançadas em busca de infecções. Por exemplo:
- Sabemos como devem ser todos os arquivos principais do WordPress, temas de código aberto e plugins de código aberto para que o Wordfence possa dizer se um dos seus arquivos fonte está infectado, mesmo que seja uma nova infecção que ninguém tenha visto antes.
- Procuramos usando expressões regulares complexas para assinaturas de infecção e nossa base de dados de infecções conhecidas é continuamente atualizada. Você não pode fazer isso com simples ferramentas de linha de comando unix ou cPanel.
- Procuramos URLs de malware usando a lista de Navegação Segura do Google.
- Usamos muitas outras fontes de dados como SpamHaus para encontrar malware e infecções no seu sistema.
Como limpar o seu site hackeado usando Wordfence:
- Upgrade o seu site para a versão mais recente do WordPress. Se você está rodando uma versão do WordPress antes do WordPress 5.x.x, então recomendamos que você leia este artigo aqui antes de atualizar para a última versão do WordPress.
- Upgrade todos os seus temas e plugins para suas versões mais recentes.
- Mude todas as senhas do site, especialmente senhas administrativas.
- Faça outra cópia de segurança e guarde-a separadamente para a cópia de segurança que recomendamos que você faça acima. Agora você tem um site infectado, mas esse site está rodando a versão mais nova de tudo. Se você quebrar alguma coisa enquanto limpa seu site usando Wordfence você pode voltar para este backup e não precisa refazer todos os passos acima.
- Vá para a página Wordfence Scan. Clique no link “Opções de Digitalização e Agendamento”. Ative a opção de varredura “Alta Sensibilidade”. Se a digitalização levar muito tempo ou não for concluída, expanda a seção “Opções gerais”. Desmarque as opções “Verificar arquivos fora da sua instalação do WordPress” e “Verificar imagens, binários e outros arquivos como se eles fossem executáveis”. Salve as alterações e tente uma nova verificação.
- Quando os resultados aparecerem você poderá ver uma lista muito longa de arquivos infectados. Leve seu tempo e trabalhe lentamente através da lista.
- Examine quaisquer arquivos suspeitos e edite esses arquivos à mão para limpá-los ou exclua o arquivo. Lembre-se que você não pode desfazer as deleções. Mas desde que tenha feito a cópia de segurança que recomendamos acima, pode sempre restaurar o ficheiro se apagar a coisa errada.
- Localize qualquer ficheiro de núcleo, tema ou plugin alterado. Use a opção Wordfence para ver o que foi alterado entre o ficheiro original e o seu ficheiro. Se as alterações parecerem maliciosas, use a opção Wordfence para reparar o ficheiro.
- Trabalhe com calma na lista até que esteja vazio.
- Realize outra verificação e confirme que o seu site está limpo.
- Se ainda precisar de ajuda, nós oferecemos um serviço de limpeza de site comercial. Você pode saber mais enviando um e-mail para [email protected] com o assunto “Serviço de limpeza do site pago”.
Eu tenho um arquivo que parece suspeito, mas não tenho certeza se é. Como posso saber?
Envie-o por e-mail para [email protected] e nós o informaremos. Se o seu ficheiro de configuração wp-config.php do WordPress estiver infectado, então não nos envie uma cópia desse ficheiro sem primeiro remover as suas credenciais de acesso à base de dados e as Chaves e Sais Únicos de Autenticação.
Se não receber uma resposta, tanto o seu sistema de e-mail como o nosso podem ter descartado a mensagem pensando que era maliciosa por causa do seu anexo. Por isso, envie-nos uma mensagem sem o anexo, deixando-nos agora que está a tentar enviar-nos algo e nós tentaremos ajuda-lo a passar.
Onde posso encontrar ajuda para limpar um tipo específico de infecção?
O Wordfence Learning Center tem uma série de artigos que o ajudarão. Aqui está uma lista de artigos que o ajudarão com tipos específicos de infecção:
- Remover Redirecionamentos Maliciosos do Seu Site
- Remover Páginas de Phishing dos Sites WordPress
- Remover Páginas de Spam dos Sites WordPress
- Remover Links de Spam
- Remover Páginas de Phishing dos Sites WordPress
- Remover Mailer Malicioso Código do seu site
- Finding and Removing Malicious File Uploaders
- WordPress Defacement Page Removal
- How to Remove Suspicious Code From WordPress Sites
>
Eu limpei o meu site WordPress hackeado mas o Google Chrome ainda me está a dar o aviso de malware. O que devo fazer?
Precisa de remover o seu site da lista de Navegação Segura do Google. Leia este documento do Google sobre como limpar o seu site. Aqui estão os passos:
- Primeiro login no Google Webmaster Tools.
- Adicionar o seu site se ainda não o fez.
- Verificar o seu site, seguindo as instruções do Google.
- Na página inicial do Google Webmaster Tools, seleccione o seu site.
- Clique no status do site e depois clique em Malware.
- Clique em Request a review.
Os meus visitantes do site estão recebendo avisos de outros produtos de segurança e sistemas anti-vírus. O que devo fazer?
Sair da lista de Navegação Segura do Google é um grande passo, mas você pode ter algum trabalho pela frente. Você precisa manter uma lista de cada produto anti-vírus que está dizendo que seu site está infectado. Isso pode incluir produtos como o anti-vírus ESET, o McAfee Site Advisor e outros. Visite cada site de fabricantes de antivírus e encontre as instruções deles para remover o seu site da lista de sites perigosos. Isso é freqüentemente chamado de “whitelisting” pelos fabricantes de antivírus, portanto, pesquisar no Google termos como “whitelisting”, “remoção de site”, “falso positivo” e o nome do produto geralmente o levará ao local onde você pode remover o seu site.
Como posso verificar manualmente se o meu site está listado na Lista de Navegação Segura do Google?
Visitar a seguinte URL e substituir example.com pelo endereço do seu próprio site.
http://www.google.com/safebrowsing/diagnostic?site=http://example.com/
Pode incluir um subdiretório se o seu site tiver um. A página que aparece é muito simples, mas contém informações detalhadas sobre o estado actual do seu site, porque está listada na lista de malware ou phishing do Google (A lista de navegação segura do Google é na verdade duas listas) e o que fazer a seguir.
O que fazer quando o seu site estiver limpo:
Congratulações se você conseguiu limpar o seu site. Agora você precisa ter certeza de que ele não será hackeado novamente. Veja como:
- Instale o Wordfence e execute varreduras regulares no seu site WordPress.
- Certifique-se de que o WordPress e todos os plugins e temas são mantidos atualizados. Esta é a coisa mais importante que você pode fazer para proteger seu site.
- Certifique-se de usar senhas fortes e difíceis de adivinhar.
- Deixe-se de todas as antigas instalações do WordPress espalhadas pelo seu servidor.
- Cadastre-se em nossa lista de alerta de segurança para ser alertado sobre atualizações de segurança importantes relacionadas ao WordPress.
- Autentifique seu site para a Wordfence Central para tornar o gerenciamento da segurança do seu site muito mais fácil.
Leave a Reply