WordPress é hackeado: primeiros socorros quando seu site é atacado

Então, alguém invadiu seu site e você está arrasado. Você está perdendo negócios a cada minuto e não tem certeza de como consertar seu site e voltar a ficar online. Espero que você tenha muitos backups para poder restaurar tudo o que está acontecendo.

Mas primeiro, você precisa descobrir como seu site foi invadido e corrigi-lo para que seja menos provável que aconteça novamente. Isso pode envolver a realização de uma auditoria técnica ou a contratação de um fornecedor para refazer os passos do hacker. Abaixo, descreveremos as ações que você deve tomar se descobrir que seu site foi comprometido.

Desligar o acesso

Os cibercriminosos e usuários não autorizados às vezes obtêm acesso a sites por meio de senhas roubadas. Um programa gerenciador de senhas pode ajudá-lo a alterar simultaneamente as senhas de todos. Você deve fazer isso imediatamente após descobrir que seu site foi invadido. Há uma boa chance de uma das senhas de seus usuários autorizados ter sido exposta por meio de malware ou link de phishing.

Alguns gerenciadores de senhas também permitem que você force qualquer pessoa ainda conectada ao console de administração do seu site ou sistema de gerenciamento de conteúdo a sair. Forçar logouts e alterações de senha garantirá que hackers com credenciais comprometidas não possam continuar prejudicando seu site e sua reputação. Depois de encerrar todas as sessões e logins, você pode começar a verificar seu site em busca de programas e códigos suspeitos.

Verificar malware

Depois de encerrar o acesso não autorizado ao seu site, você pode iniciar o processo de diagnóstico. A verificação de códigos, páginas, plug-ins e widgets do seu site em busca de malware é um bom ponto de partida. Os hackers podem instalar malware e programas maliciosos que redirecionam seus URLs, domínios e subdomínios para sites inadequados. Os cibercriminosos também podem instalar malware para usar seu site como um bot ou iniciar um ataque de negação de serviço ou DOS.

Infelizmente, os hackers podem fazer isso em qualquer parte do seu site que contenha código ou software. É por isso que você deve verificar cada API ou widget, como Droit Addons que integram formulários de contato e depoimentos de clientes. No entanto, nem todos os programas antimalware detectam ou colocam em quarentena todos os programas maliciosos existentes. É aconselhável executar mais de uma verificação completa usando diferentes soluções antivírus ou antimalware.

Reúna a documentação relevante

A menos que você lide com todo o trabalho técnico e de TI internamente, você provavelmente trabalhará com um ou dois fornecedores para consertar seu site e colocá-lo novamente online. Esses parceiros incluem provedores de hospedagem na web, desenvolvedores de soluções baseadas em nuvem e fornecedores de SaaS. Você pode até trabalhar com provedores de serviços gerenciados que lidam com a maioria de suas funções de TI e rede.

Todos esses parceiros precisarão de documentação para ajudá-lo. Por exemplo, você deve entregar evidências que o levem a acreditar que seu site foi invadido. Os fornecedores também vão querer saber se você ou um membro da equipe fez alterações autorizadas recentemente. Digamos que você instalou um plug-in diferente ou atualizou a versão de seus sistemas de gerenciamento de conteúdo. Esses detalhes podem ser cruciais para os fornecedores que estão retrocedendo o hack.

Além disso, alguns parceiros podem precisar de acesso temporário de administrador ao seu site e seus programas de software. Eles também podem querer ver logs e arquivos de backup. Reunir esses detalhes e informações ajudará a agilizar o processo de recuperação. Além disso, os fornecedores terão mais facilidade em identificar como o hack aconteceu e fechar quaisquer brechas e vulnerabilidades de segurança existentes.

Verificar todos os dispositivos

Sim, os cibercriminosos podem obter acesso não autorizado ao seu site por meio da nuvem e de serviços baseados em nuvem. No entanto, eles também podem instalar malware e software de keylogging em dispositivos locais. Isso inclui laptops, servidores, máquinas de ponto de venda e quaisquer dispositivos que se conectem à sua rede ou acessem o software do seu site.

Isso significa que o ponto de origem do hack do seu site pode ter vindo de uma unidade USB ou de um anexo de e-mail baixado. Além de verificar o software e os widgets do seu site em busca de malware, você deve verificar cada um dos seus dispositivos. Você pode automatizar isso com scripts ou verificar cada dispositivo individualmente.

Às vezes é melhor ser minucioso e fazer as duas coisas. Use seu programa antimalware regular da rede e faça o acompanhamento com um programa separado localmente. Se você encontrar alguma coisa, talvez queira executar um backup para fins de documentação e reinstalar o software do sistema do zero. Claro, isso dependerá da extensão de quaisquer problemas de malware.

Corrija a origem do problema

Escusado será dizer que, uma vez que você ou um de seus fornecedores encontre a fonte do hack, você precisa tomar medidas corretivas. Pode ser algo tão simples quanto atualizar seu cliente ou software de gerenciamento de conteúdo. Às vezes, é fácil ignorar ou esquecer patches e atualizações de segurança de rotina.

Dito isso, a causa raiz do hack pode ser mais complexa e extensa. Em casos graves, pode ser necessário reconfigurar pontos de acesso e controles de rede, incluindo painéis de administrador. Você também pode precisar restaurar a maior parte do conteúdo de arquivos de backup válidos, seguros e limpos.

Os cenários mais complicados exigem o desligamento do software de hospedagem e gerenciamento de conteúdo durante a transição para um serviço atualizado. Você pode precisar da ajuda de um fornecedor para criar uma página inicial temporária e um formulário de contato enquanto restaura todo o site.

Implementar novos controles e procedimentos de segurança

Os hacks de sites geralmente acontecem devido a vulnerabilidades no software e nos controles de segurança. Às vezes, o gerenciamento e as regras de senha são negligentes. Outras vezes, faltam procedimentos de segurança documentados e os funcionários não têm certeza de como lidar com situações específicas. Um exemplo são quaisquer políticas sobre o acesso de fornecedores e não funcionários de TI a recursos e dispositivos de rede.

Depois que você e sua equipe identificarem a causa raiz da invasão do site, você deve avaliar se pode se beneficiar de controles e procedimentos de segurança mais rígidos. Você pode querer implementar a biometria como meio de autenticação multifator. Sua organização e equipe podem decidir restringir o acesso físico e virtual à maioria dos recursos de rede. Você também pode considerar um processo de aprovação mais rigoroso para instalar softwares e complementos de sites.

Recuperação de hacks de sites

É 100% natural entrar em pânico depois de descobrir que seu site foi invadido. No entanto, é importante manter a calma e pensar racionalmente para agilizar o processo de reparo e recuperação. Se você tiver poucas habilidades ou conhecimentos técnicos, é essencial contar com a ajuda de um fornecedor especializado em diagnosticar invasões de rede e de sites.

No entanto, tomar algumas medidas preventivas e preliminares por conta própria pode colocá-lo no caminho da recuperação do site. Isso inclui desligar o acesso e verificar se há malware. Depois de identificar o problema, implemente medidas para corrigir quaisquer vulnerabilidades e reforçar a segurança da rede. Esperamos que você e seus parceiros de TI possam evitar o próximo ataque documentando o que aconteceu e por quê.