Como limpar um site WordPress hackeado

Publicados: 2022-06-15

Um site WordPress hackeado não é um assunto sobre o qual a maioria dos proprietários de sites WordPress quer pensar. Mas eles são um problema real, impactando mais de 30.000 sites todos os dias.

Se o seu site WordPress for vítima de um hack, quais são as etapas exatas que você deve seguir para limpá-lo completamente e voltar a funcionar de maneira normal? Seu site invadido agora é completamente inútil ou pode ser recuperado? Vamos mergulhar.

Apresentando Kathy Zant, especialista em segurança do WordPress

Recentemente, a especialista em segurança do WordPress Kathy Zant organizou um webinar ao vivo para o iThemes, mostrando exatamente como limpar um site WordPress hackeado.

Kathy Zant trabalha no mundo do WordPress há mais de uma década. E sua experiência em segurança do WordPress, especialmente no que se refere à limpeza de sites infectados, é incomparável.

Além de sua experiência em segurança do WordPress, Kathy também trabalhou em marketing para várias marcas diferentes no espaço do WordPress. Além disso, ela foi organizadora do WordCamp Phoenix e do WordCamp US.

Ela atualmente reside no Texas, onde pode ser encontrada rotineiramente passeando com seus cavalos e passeando com seus Golden Retrievers.

“O que vamos falar antes de tudo”, diz Kathy, “é como você sabe que seu site foi invadido? Quais são alguns dos sinais? Quais são os primeiros passos que você deve tomar assim que suspeitar que foi hackeado?”

Ela continua dizendo: “Como você elabora uma estratégia, uma maneira rápida e fácil de limpar seu site? E depois de limpo, vou mostrar como proteger seu site. E também fornecer algumas dicas importantes sobre como recuperar a reputação do seu site, o que também é extremamente importante.”

site de limpeza-hackeado-wordpress

Neste guia abrangente, desbloquearemos os principais pontos do webinar ao vivo de Kathy Zant sobre a limpeza de sites WordPress invadidos. No final, você saberá exatamente o que precisa fazer caso seja vítima de um site WordPress hackeado.

Como você sabe quando seu site WordPress foi hackeado?

Em primeiro lugar, é importante entender que só porque seu site está quebrado não significa necessariamente que houve uma invasão ou invasão de um agente mal-intencionado. Mas você precisa identificar se um hack ocorreu.

Qual é exatamente o problema com o seu site? O que especificamente está acontecendo? Quais são as indicações de que você tem um problema em suas mãos?

Aqui estão algumas coisas para procurar se você suspeitar que seu site WordPress foi invadido:

  • Arquivos em seu servidor ou em sua instalação do WordPress que não deveriam existir (este requer uma quantidade razoável de conhecimento para saber com certeza).
  • Arquivos que têm datas de modificação recentes. Se todos os arquivos em seu diretório wp-includes tiverem uma data de modificação de 2022-01-12 e um deles tiver uma data de modificação de 2022-06-02, você deve ser altamente suspeito desse arquivo recentemente modificado.
  • Solicitações estranhas em seus logs de acesso. Isso pode apontar para o arquivo usado para modificar os arquivos do seu site.

As especificidades do problema que você está vendo começarão automaticamente a informá-lo sobre o que você precisa fazer para resolvê-lo.

Agora, se você tiver um backup atual do seu site, certamente desejará restaurar seu site a partir do backup imediatamente. O plugin BackupBuddy é a solução perfeita para ter sempre backups atuais.

Nesse caso, sua correção será bastante simples.

Mas se não houver backups atuais, você está basicamente entrando no modo de recuperação sem ser visto, e será seu trabalho limpar o site.

Kathy explica: “Imagine que alguém vem até você. Eles têm um site invadido e o desenvolvedor da web está desaparecido. A primeira coisa que você quer fazer é fazer backup do site invadido.”

“A razão é que queremos preservar a evidência do hack exatamente como a encontramos. Basicamente, queremos criar um backup se você conseguir acessar o WP Admin. Basta carregar o plug-in BackupBuddy e fazer backup de tudo, incluindo o banco de dados.”

E você vai querer salvar o backup em um local que esteja fora do servidor atual do site, porque você vai querer tirar todo o site do servidor comprometido.

Feito isso, é hora de traçar uma estratégia. O que exatamente o site está fazendo?

É isso:

  • Redirecionando o tráfego do site para um bairro ruim?
  • Infectar os dispositivos dos visitantes do site quando eles clicam em links incorporados no site?
  • Roubando números de cartão de crédito do cliente com um skimmer de cartão na instalação do WooCommerce?
  • Causando danos gerais na internet?

Se for, você vai querer acabar com isso imediatamente, tirando o site completamente do ar. Em seguida, coloque uma página “em breve”.

Depois disso, tenha o site suspenso pela conta de hospedagem. Algumas contas de hospedagem suspenderão sites automaticamente se perceberem que há uma indicação de comprometimento e que um site pode ser invadido.

Começando a limpar um site WordPress hackeado

Depois disso, você vai querer ir ao cPanel do site e pegar tudo na pasta public_html, compactá-lo e baixá-lo no disco rígido de sua estação de trabalho local. A razão pela qual você deseja limpar todos os arquivos em public_html é que você precisa assumir que tudo está completamente infectado.

Em seguida, vá para o arquivo de versão em wp-includes e você verá a versão do WordPress que o site está usando. A versão atual do WordPress é 6.0. Mas há uma chance de o site não ser atualizado há algum tempo.

Queremos construir uma versão limpa do site com base na versão que está usando atualmente. Portanto, se estiver usando uma versão anterior, baixe o arquivo zip para essa versão específica e comece a criar uma versão limpa do site com esse novo download.

Em seguida, você precisará determinar quais temas estão sendo usados ​​no site invadido. Digamos que o site esteja executando o Kadence 2020, 2021 e 2022. Se o site ainda estiver ativo e funcional, basta fazer login no wp-admin e verificar qual tema está sendo executado.

Você também vai querer ver qual versão do tema está sendo usada. Para isso, desça até o “readme” e ele indicará a versão em uso.

Nos arquivos do tema, encontre a tag estável que você deseja usar com o seu tema específico. Em seguida, vá para o repositório de versões do tema, onde você encontrará todas as diferentes versões do tema disponíveis.

Se o site não estiver usando a versão mais atual do tema, baixe a versão exata que está usando.

A mesma regra vale para plugins. Quando você entrar em qualquer plug-in na lista de plug-ins do seu site e navegar até a Visualização Avançada, basta rolar para baixo para encontrar a versão do plug-in.

Claro, há uma chance de que seu site seja comprometido devido a um plugin vulnerável. Mas mesmo que seja esse o caso, você ainda vai querer construir o site exatamente como está, incluindo o plugin vulnerável.

Isso ajudará a nos mostrar exatamente onde o malware existe no site invadido.

O mais importante é que você deseja iniciar seu site limpo exatamente onde ele está atualmente. Em seguida, use uma ferramenta como o UltraCompare que mostrará rapidamente o que deu errado com o site. Esta é uma ótima ferramenta e tem uma versão gratuita que você pode usar por 30 dias.

A partir daqui, você criará um site limpo que corresponda ao seu site invadido. A ferramenta UltraCompare mostrará exatamente o que não corresponde, para que o site invadido possa ser limpo adequadamente.

Elabore seu plano de ataque

Em seguida, você precisará adivinhar o vetor de intrusão. Ele pode informar exatamente onde procurar a existência de malware:

  • Existe uma campanha de ataque atual acontecendo?
  • Há quanto tempo o site está infectado?
  • Quais temas e plugins precisam de uma atualização?

Agora você pode elaborar seu plano de ataque. Certifique-se de remover primeiro as peças mais perigosas, na seguinte ordem:

  1. Alterar todas as senhas
  2. Remova todos os links de spam
  3. Remover backdoors
  4. Corrija todas as vulnerabilidades
  5. Remover redirecionamentos maliciosos

Quando estiver confiante de que todos os perigos foram removidos do site, você pode voltar ao cPanel do seu site e fazer upload dos arquivos limpos do site para restaurar seu site.

Agora é hora de deixar o site totalmente seguro para que quaisquer possíveis hacks no futuro sejam rapidamente frustrados.

Para proteger seu site:

  • Remova todos os usuários administradores irreconhecíveis (ou defina-os como somente assinantes)
  • Alterar todas as senhas de administrador/editor
  • Alterar senha do FTP
  • Alterar senha da conta de hospedagem
  • Altere a senha do banco de dados do WordPress e atualize seu arquivo wp-config.php
  • Altere os sais wp-config.php
  • Verifique as configurações para garantir que "qualquer um pode se registrar" esteja definido apenas como assinante
  • Instale o plugin iThemes Security e ative as seguintes configurações:
    • Habilite a autenticação de dois fatores para todos os usuários administradores.
    • Ative o iThemes Site Scan para procurar plugins, temas e versões principais do WordPress vulneráveis.
    • Ative o gerenciamento de versões com correção automática de vulnerabilidades.
    • Ativar a detecção de alteração de arquivo
  • Verifique se os backups estão sendo executados em um cronograma
  • Backups de teste

Como Kathy explica, “Você definitivamente vai querer instalar o iThemes Security e ativar as configurações que irão informá-lo se o site tiver algum tipo de intrusão acontecendo, nunca mais. E certifique-se de ativar a autorização de dois fatores para todos os seus usuários administrativos.”

Ela continua dizendo: “Você vai querer proteger o site de todas as maneiras que puder. Execute uma verificação do site no iThemes Security para verificar temas vulneráveis, plugins e versões principais do WordPress. Apenas certifique-se de que está tudo bem.”

“E ative o Gerenciamento de Versão. Esta será sua primeira linha de defesa se outra intrusão acontecer novamente. Em seguida, certifique-se de ter o plug-in BackupBuddy instalado e teste seus backups. Certifique-se de que seus backups estão sendo enviados para fora do servidor e teste-os para garantir que você possa restaurá-los.”

“Certifique-se de que todos os arquivos SQL para o banco de dados também estejam lá e certifique-se de que seus backups estejam acontecendo em um cronograma.”

Recuperando a reputação do seu site após um hack

Simplesmente limpar e restaurar seu site WordPress hackeado não restaurará automaticamente a reputação do site. Na verdade, há várias coisas que você precisa fazer para garantir que o Google e os outros mecanismos de pesquisa não continuem a penalizar seu site depois que ele for invadido e limpo.

Muitas vezes, o primeiro sinal que você terá de que seu site foi invadido é que o Google o informa sobre a situação. Para ver como o Google está visualizando seu site atualmente, vá para o Google Search Console.

Primeiro, se você encontrar algum Sitemap estranho no Search Console que não deveria estar lá, ou parecer estar colocando links de spam, você deverá excluí-los imediatamente.

Você também pode encontrar um arquivo do Google na raiz do diretório do WordPress que deu ao hacker acesso ao Search Console do seu site. Ao navegar até o Search Console e ir para Configurações, observe atentamente os sitemaps para ver se houve algum sitemap ilegítimo configurado nesta área.

Depois disso, você vai querer dar uma olhada em todos os problemas de segurança que existem no Search Console. Se a grande tela vermelha de desgraça e melancolia do Google estiver sendo exibida no momento, você verá algumas grandes bandeiras no Search Console em Problemas de segurança.

E é aqui que você solicitará que o Google revise seu site agora que ele foi limpo.

“Agora, quando se trata do Google AdWords”, explica Kathy, “você pode ter o site mais limpo do mundo, mas o Google AdWords ainda pode estar lhe dizendo que há um problema. A chave aqui é apenas continuar tentando com eles. Às vezes, eles estão olhando para coisas diferentes de você, mas você sabe que o Search Console só vai ajudá-lo com os avisos do Google AdWords às vezes enganosos.”

Muitos dos usuários do seu site também podem estar executando o software antivírus Norton ou McAfee em seus dispositivos. Por isso, também é importante que você trabalhe com essas empresas para limpar quaisquer listas negras nas quais seu site possa ter chegado após ter sido invadido.

Além disso, se o seu site estiver enviando spam, você precisará limpar sua reputação com a Spamhaus. Para fazer isso, você precisará do endereço IP do seu site para limpar a reputação desse endereço com a Spamhaus.

Cada uma dessas etapas é importante para restaurar a reputação do seu site após um hack.

Lista de verificação de limpeza do site WordPress hackeado

Vamos mergulhar na lista de verificação completa de Kathy sobre como limpar um site WordPress hackeado. Você também pode baixar aqui.

Obtenha o conteúdo bônus: Lista de verificação de limpeza de sites invadidos
Clique aqui

Etapa 1: Planejando a limpeza

  • O site está realmente infectado? Sim não Talvez
  • Crie um backup do site invadido. (Sim, até o malware.)
  • Baixe o backup dos arquivos do site e do banco de dados e seus arquivos de log para o seu computador.
  • Determine se o site precisa ficar indisponível.
    1. Está redirecionando os visitantes do site ou usando recursos do servidor? Está sob ataque ativo? Detenha-o.
    2. Apenas links de spam e não sob ataque ativo? Você provavelmente pode deixá-lo para cima
  • Faça um palpite sobre o vetor de intrusão; ele pode informá-lo sobre onde procurar malware.
    1. Existe uma campanha de ataque atual?
    2. Há quanto tempo o site está infectado?
    3. Quais plugins/temas precisam de uma atualização?
  • Elabore seu plano de ataque, nesta ordem. Remova as peças mais perigosas primeiro.
    1. Remover redirecionamentos maliciosos
    2. Remover backdoors
    3. Vulnerabilidades de patches
    4. Alterar senhas
    5. Remover links de spam
  • Observação:
    • Número da versão principal do WordPress:
    • Tema ativo:
    • Temas inativos:
    • Plugins ativos:
    • Plugins inativos:

Etapa 2: lista de verificação do processo de limpeza de sites invadidos

  • Baixe a versão principal do WP que corresponde ao site infectado
  • Compare arquivos de sites limpos baixados com arquivos de sites invadidos
    1. Comparar diretórios
      • wp-admin
      • Wp-inclui
      • Arquivos raiz (exceto wp-config.php e .htaccess)
    2. Crie uma cópia limpa do conteúdo wp
      • Todos os plugins ativos
      • Tema ativo (e tema filho)
    3. Procure qualquer arquivo php em wp-content/uploads/ (exceto arquivos index.php em branco)
    4. Revise completamente seu arquivo .htaccess manualmente
    5. Revise completamente seu arquivo wp-config.php
  • Revise seu banco de dados WordPress. Vamos limpar isso depois de limpar os arquivos usando PHPMyAdmin.
    1. tabela wp_posts
    2. tabela wp_options
    3. Verifique se há usuários maliciosos (wp_users)
    4. Se você tiver malware em seus wp_posts:
      • Use o plugin WP Optimize para otimizar seu banco de dados e remover quaisquer rascunhos de postagem, postagens excluídas. (Isso apenas torna a quantidade de dados para limpar muito mais fácil)

Coloque os arquivos do site limpos de volta no servidor e troque-os.

  1. Usando o plug-in BackupBuddy, carregue o public_html_clean reconstruído no mesmo nível do seu diretório public_html
  2. Renomeie public_html para public_html_hacked
  3. Renomeie public_html_clean para public_html

Etapa 3: lista de verificação do processo de limpeza de sites invadidos

Imediatamente após a troca do site invadido, é hora de proteger o site.

  1. Remova todos os usuários administradores irreconhecíveis (ou defina-os apenas como assinante)
  2. Alterar todas as senhas de administrador/editor
  3. Alterar senha do FTP
  4. Alterar senha da conta de hospedagem
  5. Altere a senha do banco de dados do WordPress e atualize seu arquivo wp-config.php
  6. Altere os sais wp-config.php
  7. Verifique as configurações para garantir que "qualquer um pode se registrar" esteja definido apenas como assinante
  8. Habilite a autenticação de dois fatores para todos os usuários administradores
  9. Ative o iThemes Site Scan para procurar plugins, temas e versões principais do WordPress vulneráveis
  10. Ative o gerenciamento de versões com correção automática de vulnerabilidades
  11. Ativar a detecção de alteração de arquivo
  12. Verifique se os backups estão sendo executados em um cronograma
  13. Backups de teste

Etapa 4: Restaurar a reputação de um site invadido

Depois que o site estiver limpo e protegido, restaure a reputação do site.

  1. Navegação segura do Google
  2. No Google Search Console, solicite revisão. Espere um retorno de 24 horas. Visita:
    1. https://support.google.com/webmasters/answer/168328?hl=en
    2. https://www.google.com/webmasters/tools/security-issues
  3. Vá ao Google e faça uma busca por “site:example.com” para ver o que o Google vê.
  4. McAfee
  5. Norton
  6. Spamhaus se seu site estiver enviando spam

Etapas adicionais de limpeza do site

  • Revise os arquivos de log para descobrir como eles entraram.
  • Certifique-se de que seu site seja a única instalação do WordPress na conta de hospedagem. Se você tiver outros sites, eles podem ser um vetor de intrusão se você não os estiver protegendo também.
  • Para qualquer pessoa com acesso de administrador, verifique se o software está atualizado e as senhas estão protegidas
    • Computadores seguros
    • Contas de e-mail seguras
    • Proteger contas de mídia social
    • Celulares seguros

Como evitar que seu site WordPress seja hackeado

Embora não exista um site 100% seguro, existem algumas medidas que você pode tomar para proteger um site o máximo possível.

1. Tenha muito cuidado onde você baixa plugins e temas.

Plugins e temas podem vir de sites obscuros que têm códigos neles que deram início aos hacks. Existem até vírus de plugin e tema que infectam automaticamente todos os outros plugins e temas no site, portanto, mesmo que você limpe um deles, ele será reinfectado automaticamente.

2. Não execute versões desatualizadas do WordPress, temas ou plugins.

Certifique-se de que o WordPress e todos os temas e plugins do seu site estejam atualizados. Excluir plugins desativados. Não os deixe na pasta wp-content/plugins. Plugins desativados são um risco potencial de segurança, pois não são atualizados com frequência. O iThemes Sync Pro é uma ferramenta que permite gerenciar vários sites do WordPress para atualizar o WordPress, temas e plugins com um clique.

3. Não fique sem uma estratégia confiável de backup do WordPress.

Faça backup do seu site WordPress com frequência. Ter um backup completo e saudável do seu site é fundamental. Mantenha um arquivo de vários arquivos de backup. Se ocorrer um desastre, você precisará de um backup para restaurar seu site (após a limpeza do servidor). Dica rápida sobre arquivos de backup: execute algumas restaurações de teste de seus arquivos de backup de vez em quando.

Ter um backup que você não pode restaurar é provavelmente a pior coisa que pode acontecer (depois de ser hackeado). O BackupBuddy permite definir backups agendados que serão executados sem supervisão e onde os arquivos de backup podem ser salvos em um local remoto. Isso deve oferecer a você a tranquilidade de que você sempre terá um arquivo de backup saudável.

4. Use um plugin de segurança WordPress respeitável.

Você pode tomar medidas para tornar seu site WordPress mais seguro. iThemes Security, um plugin de segurança do WordPress permite que você proteja seu site WordPress. Existem várias maneiras de impedir o acesso ao seu painel do WordPress, monitorar alterações de arquivos, verificar malware e assim por diante.

5. Não use senhas fracas.

Certifique-se de praticar a segurança de senha do WordPress usando senhas longas e complicadas. Ative a autenticação de dois fatores do WordPress para uma camada adicional de segurança.

6. Não se esqueça de verificar a segurança do seu WordPress de tempos em tempos.

Crie o hábito de avaliar regularmente a situação de segurança do seu local. Assim como você verifica periodicamente o nível de óleo do seu veículo. O plug-in iThemes Security permite que você execute uma verificação do site para garantir que você esteja executando as configurações de segurança recomendadas. Certifique-se de fortalecer o WordPress com estas 10 dicas de segurança do WordPress.

7. Use uma empresa de hospedagem especializada em WordPress.

Por fim, certifique-se de estar hospedando seu site com um provedor que entenda os problemas e riscos de hospedar sites WordPress, como o Managed WordPress Hosting da Liquid Web. Você precisa de um provedor de hospedagem que fará o seu melhor, do lado (servidor), para fornecer um ambiente de hospedagem seguro e bem protegido.

Limpando um site WordPress hackeado como um especialista

Agora que você entende como reconhecer, limpar e restaurar a reputação de um site WordPress hackeado, seu próximo objetivo deve ser garantir que esse pesadelo nunca mais aconteça.

Afinal, mesmo que seu site esteja funcionando novamente, considere a receita perdida durante o tempo de inatividade não programado.

Não há melhor passo que você possa tomar para proteger totalmente seu site WordPress do que baixar, instalar e ativar todos os principais recursos do plug-in iThemes Security Pro. E para quaisquer ataques inesperados, certifique-se de executar seus backups em uma programação com o BackupBuddy.

Quando esses dois plugins são usados ​​juntos, você nunca mais precisará se preocupar com um hack que derrube seu site.

Assista ao replay do webinar: Como limpar um site WordPress hackeado

Baixar lista de verificação
Transcrição do webinar
Transcrição do bate-papo