Como identificar um site WordPress hackeado

Publicados: 2017-04-14

Um site WordPress hackeado na maioria das vezes apresenta vários sintomas. Neste post, descreveremos quais são esses sintomas e forneceremos algumas ferramentas para identificar se seu site é afetado por algum ou todos eles.

Sintomas de um site WordPress hackeado

A maioria dos sintomas envolve o comportamento do seu site de maneira estranha, bem como arquivos de aparência estranha e código HTML começando a aparecer à esquerda e à direita. Vamos vê-los um por um!

1. Seu site começa a enviar spam

Embora seja muito mais fácil identificar spam de entrada do que de saída, há algumas coisas que você pode fazer para ver se alguém está usando seu site para enviar spam:

  • Verifique seus logs de e-mail (eles geralmente estão em /var/log). Vendo uma quantidade incomum de e-mails sendo bloqueados com uma mensagem de erro 550 Sender proibido por SPF é considerado suspeito. Especialmente se você tiver registros SPF configurados para seu domínio. Então é definitivamente uma bandeira vermelha.
  • Existem vários sites, como MXToolbox e UltraTools RBL Database LookUp, que podem informar se seu site foi colocado na lista negra como fonte de spam. Existem vários deles disponíveis, e você precisa procurar em tantos quanto você puder encontrar. Não estar na lista negra em um não significa que você está 100% limpo.

2. Seu site redireciona você para outro lugar.

Este é provavelmente o sintoma mais fácil de detectar. Quando você visita seu site, em vez de visualizar sua página da web, você é redirecionado para algum lugar estranho. Antes de tudo, verifique se seus registros DNS foram alterados e agora aponte para um endereço IP diferente.

 Se seus registros DNS parecerem bons, é altamente provável que haja algo em sua página HTML causando esse redirecionamento. Tente desabilitar o suporte a Javascript do seu navegador e veja novamente se seu site está redirecionando você. Se o redirecionamento persistir, é um sinal de que outras áreas do seu site provavelmente foram adulteradas (seja seu banco de dados, o arquivo .htaccess do seu site ou a configuração do seu servidor web).

3. Seu site contém iframes suspeitos.

Um iframe é um documento HTML “incorporado” em outro HTML, que é usado para exibir conteúdo de outra fonte, geralmente anúncios. Os iframes visíveis são fáceis de detectar, no entanto, a maioria deles é tão pequena (às vezes levando apenas alguns pixels!) que você pode facilmente perdê-los. Abra seu arquivo HTML em um editor e procure por tags <iframe> que tentam se conectar a URLs desconhecidos ou suspeitos. Comente-os colocando-os dentro de tags de comentário HTML <!–. Você não deve parar por aí, porque provavelmente se você tiver arquivos HTML adulterados, isso significa que seu site está definitivamente comprometido e que pode haver outros lugares onde seu site foi adulterado.

4. Seu site abre pop-ups ao carregar.

Este também é um sinal fácil de detectar. Seu site carrega janelas pop-up que claramente estão fora do lugar. Alguns deles, chamados pop-unders, são mais insidiosos. Eles não são visíveis quando você visita seu site, mas são carregados em segundo plano. No entanto, se você minimizar seu navegador, você os verá instantaneamente, geralmente ocupando uma grande parte da tela.

Hospede seu site com a Pressidium

GARANTIA DE DEVOLUÇÃO DO DINHEIRO DE 60 DIAS

VEJA NOSSOS PLANOS

5. Arquivos PHP ilegíveis e de aparência estranha.

Descobrir arquivos PHP que parecem aparentemente incompreensíveis, como o exemplo a seguir, é sempre um sinal de alerta definitivo de que alguém adulterou seu site:

<?php eval(“\145\166\141\154\050\142\141\163'==QfgsDdphXZgsTKog2c1xmZgszJ+QHcpJ3Yz […]

O termo técnico para esses tipos de arquivos é “ofuscado”. A ofuscação é uma técnica comum usada por hackers para ocultar a fonte de um código geralmente malévolo ou dificultar a leitura e o entendimento de qual é sua função

6. Backdoors, webshells, contas de administrador

Webshells são programas que podem ser usados ​​por hackers para se conectar remotamente e obter acesso administrativo total ao seu site. Esses programas permitem acesso remoto à web ao shell do seu servidor (daí o termo webshell) para que qualquer pessoa que se conecte a eles possa executar comandos. As chances são de que, se você encontrar um arquivo PHP ofuscado em algum lugar, é um webshell.

Os hackers também podem criar contas com direitos administrativos para usá-las como backdoors. Eles são relativamente fáceis de encontrar, pois são visíveis no back-end do WordPress ou em seu banco de dados.

Ferramentas para ajudá-lo a identificar atividades suspeitas

Existem várias ferramentas que podem ajudá-lo a identificar se seu site foi adulterado. Se você acha que foi comprometido ou infectado, é uma boa ideia verificar seu site usando todos eles. Dessa forma, você terá uma visão mais completa, pois nem todos esses serviços verificam as mesmas coisas. Todos os recursos abaixo são gratuitos e exigem que você digite apenas o URL do seu site.

Em particular, se você acha que está infectado com iframes maliciosos, pop-ups, redirecionamentos e outras bestas de javascript, os seguintes sites informarão imediatamente:

  1. SiteCheck e unmaskparasites da Sucuri . Eles verificarão se há malware conhecido, se o seu site está na lista negra e muito mais.
  2. Relatório de transparência do Google . Isso mostrará se seu site é considerado “perigoso para visitar” de acordo com o Google.
  3. O VirusTotal é um serviço gratuito que pode analisar URLs e arquivos para ver se eles contêm algum conteúdo malicioso.
  4. Verificador de malware de sites on-line gratuito da PC Risk. Pesquisa em seu site por ““código malicioso, iframes ocultos, explorações de vulnerabilidades, arquivos infectados e outras atividades suspeitas”.
  5. Scanner de malware de site gratuito da Quttera . Pesquisa em seu site por “scripts suspeitos, mídia maliciosa e outras ameaças à segurança da Web ocultas em conteúdo legítimo e localizadas em sites”. Ele produz um relatório de segurança, com cada descoberta categorizada de acordo com o nível de ameaça.

Existem também vários plugins do WordPress que ajudam a manter seu site WordPress seguro. Certifique-se também de verificar este excelente guia para os 7 melhores plugins de segurança do WordPress da InfoSec.

É de extrema importância limpar seu site assim que encontrar qualquer conteúdo malicioso e corrigir suas vulnerabilidades. Um site comprometido significa interrupções ou comportamentos anormais que podem e irão afetar o sustento do seu negócio!