PASSOS PARA LIMPAR UM SITE WORDPRESS HACKEADO

Identifique, remova e faça um harden do seu site após um hack.

A Sucuri dedicou anos para ajudar os administradores do WordPress a identificar e corrigir sites hackeados. Para continuar esse projeto, escrevemos este guia para ajudar os proprietários de sites a percorrer o processo de identificação e limpeza de sites WordPress hackeados. Este guia não pretende ser abrangente, mas ajuda a resolver 70% das infecções que vemos. A orientação feita reflete o uso do nosso plugin de segurança para WordPress gratuito.

Washington, DC • EUA • Casa da
Kristen Gerente de Eventos

Indicadores Comuns para Saber que um Site WordPress Foi Hackeado

  • Notificações de listas negras pelo Google, Bing, McAfee
  • Comportamentos estranhos de navegadores
  • Spam em conteúdo de motor de busca
  • Notificação de site suspenso pelo host
  • Modificações de arquivos ou problemas de integridade no core
  • Notificações nos resultados de pesquisa do Google (SEO poisoning)

Passo 1

IDENTIFIQUE O HACK

1.1 Instale o Plugin Sucuri

Se seu site WordPress foi hackeado, nosso plugin de segurança gratuito o ajudará a identificar as áreas que precisam ser limpas.

A Sucuri mantém ativamente um plugin de segurança para WordPress gratuito com opções para melhorar a segurança do seu site e identificar indicadores de compromisso. Essa ferramenta o ajudará a seguir a maior parte dos passos deste guia.

Para instalar o plugin de segurança Sucuri:

  1. Entre no WordPress como admin e selecione Plugins > Add New.

  2. Digite Sucuri Scanner.

  3. Clique em Install Now no Sucuri Security - Auditing, Malware Scanner and Security Hardening.

  4. Ative seu plugin.

1.2 Escaneie Seu Site

Use o plugin Sucuri para escanear seu site e encontrar payloads maliciosos e os locais onde têm malware.

sucuri logo

Estamos aqui para ajudá-lo

Faça os três passos instantaneamente, adquirindo nossos acessíveis planos de segurança para WordPress.

Para escanear o WordPress em busca de hacks usando o plugin Sucuri:

  1. Entre no WordPress como admin e selecione Sucuri Security > Malware Scan.

  2. Clique em Scan Website.

  3. Se o site estiver infectado, você verá uma notificação como a que aparece na captura de tela abaixo.

Se o escâner remoto não conseguir encontrar o payload, faça os outros testes dessa seção, ou verifique manualmente o tab iFrames / Links / Scripts do Malware Scan a procura de elementos suspeitos.

Se você possui sites múltiplos no mesmo servidor, recomendamos escanear todos eles (ou usar o SiteCheck para isso). Contaminação cruzada de sites é uma das maiores causas de reinfecções. Aconselhamos a todos os donos de sites que protejam seu host e suas contas web.

Observação

O recurso Malware Scan é um escâner remoto que navega o site para identificar potenciais problemas de segurança. Algumas questões não aparecem em um navegador, mas se manifestam no servidor (ou seja, backdoors, phishing e scripts baseados no servidor). A abordagem mais abrangente para a verificação inclui os escâneres remoto e do lado do servidor. Saiba mais sobre como os escâneres remotos funcionam.

1.3 Verifique a Integridade de Arquivos Core

A maioria dos arquivos core do WordPress não devem ser modificados. Nosso plugin verifica a integridade do wp-admin, wp-includes, e dos arquivos no root.

Para verificar a integridade de arquivos core usando o plugin da Sucuri:

  1. Entre no WordPress como admin e selecione Sucuri Security > Dashboard.

  2. Observe o Status da seção Core Integrity.

  3. Qualquer arquivo modificado, adicionado ou removido pode ser parte do hack.

Se nada foi modificado, seus arquivos core estão limpos.

Observação

Você pode usar um FTP client para procurar malware rapidamente em diretórios como o wp-content. Recomendamos o uso de FTPS/SFTP/SSH ao invés de FTP não criptografado.

1.4 Verifique os Arquivos Modificados Recentemente

Você pode identificar os arquivos que foram hackeados ao analisar os arquivos modificados recentemente, usando os audit logs do plugin Sucuri.

Para verificar arquivos modificados recentemente usando o plugin Sucuri:

  1. Entre no WordPress como admin e selecione Sucuri Security > Dashboard.

  2. Observe o Status da seção Audit Logs e procure por mudanças recentes.

  3. Modificações desconhecidas nos últimos 7-30 dias podem ser suspeitas.

1.5 Confirme Logins de Usuários

Verifique a lista de logins de usuários recentes para saber se senhas foram roubadas ou se novos usuários maliciosos foram criados.

Para verificar logins recentes usando o plugin Sucuri:

  1. Entre no WordPress como admin e selecione Sucuri Security > Last Logins.

  2. Confirme a lista de usuários e a hora que eles fizeram login.

  3. Datas ou horas de login inusitadas podem indicar que uma conta de usuário foi hackeada.

Passo 2

REMOVA O HACK

Agora que você já possui a informação sobre os usuários comprometidos e as localizações do malware, remova o malware do WordPress e reconfigure seu site para voltar a ficar limpo.

Dica Pro:

A melhor maneira de identificar arquivos hackeados é comparar o estado atual do seu site com uma cópia de backup antiga limpa. Se houver um backup disponível, use-o para comparar as duas versões e identificar o que foi modificado.

Observação

Alguns desses passos requerem acesso ao servidor web e a base de dados. Se você não sabe como manipular tabelas da base de dados ou editar PHP, procure a ajuda da nossa Equipe de Resposta a Incidentes que removerão completamente o malware do seu site WordPress.

2.1 Limpe Arquivos Hackeados do Seu Site

Se a infecção estiver nos seus arquivos core ou em plugins, você conseguirá removê-la facilmente com o nosso plugin. Você também pode fazer isso manualmente, mas cuidado para não regravar o seu arquivo wp-config.php ou a pasta wp-content.

sucuri logo

Precisa de um conserto rápido para hacks WordPress e notificações de listas negras?

Remoção de Malware

Volte a ter o seu site WordPress funcionando corretamente. Nossa rede global de analistas de segurança profissionais está disponível 24/7/365.

Para reparar arquivos core usando o plugin Sucuri:

  1. Entre no WordPress como admin e selecione Sucuri Security > Dashboard.

  2. Verifique as notificações na seção Core Integrity.

  3. Selecione os arquivos Modified e Removed e a ação Restore source.

  4. Cheque a caixa para confirmar I understand that this operation can not be reverted.

  5. Clique Proceed.

  6. Selecione os arquivos Added e escolha a ação Delete file.

  7. Repita os passos 5-6.

Arquivos custom podem ser modificados por cópias novas, ou por um backup recente (se o backup não estiver infectado). Aqui estão mais dicas que podem ser usadas no seu WordPress.

Você pode usar os payloads maliciosos ou arquivos suspeitos encontrados no primeiro passo e remover o hack.

Para remover a infecção de malware manualmente dos arquivos do seu site:

  1. Entre no seu servidor via SFTP ou SSH.

  2. Crie um backup do site antes de fazer qualquer modificação.

  3. Identifique os arquivos mudados recentemente.

  4. Confirme a data da mudança com o usuário que a fez.

  5. Restaure arquivos suspeitos com cópias do repositório oficial do WordPress.

  6. Abra quaisquer arquivos custom ou premium (os que não estão no repositório oficial) com um editor de texto.

  7. Remova código suspeito dos arquivos custom.

  8. Teste para verificar se o site ainda está operacional após as mudanças.

WordPress core integrity
Clique para Visualizar

Aviso

A remoção manual de código “malicioso” pode ser desastrosa para a saúde do seu site. Nunca faça nenhuma ação sem um backup. Se você estiver inseguro, peça ajuda a um profissional.

2.2 Limpe Tabelas Hackeadas da Base de Dados

Para remover infecção de malware da base de dados do seu site, use o seu painel admin para se conectar com a base de dados. Você também pode usar ferramentas como Search-Replace-DB ou Adminer.

Para remover a infecção de malware manualmente das suas tabelas da base de dados:

  1. Entre no admin panel da sua base de dados (database).

  2. Faça um backup da base de dados antes de fazer modificações.

  3. Procure por conteúdo suspeito (i.e., palavras-chave spammy, links).

  4. Abra a tabela que contém o conteúdo suspeito.

  5. Remova manualmente o conteúdo suspeito.

  6. Teste para verificar se o site ainda está operacional após as mudanças.

  7. Remova todas as ferramentas de acesso a base de dados que você usou (fez o upload).

Você pode usar a informação do payload fornecida pelo escâner de malware ou procurar por funções PHP maliciosas comuns, como eval, base64_decode, gzinflate, preg_replace, str_replace, etc. Note que essas funções também são usadas em plugins por motivos legítimos, então teste todas as mudanças ou procure ajuda para não quebrar seu site acidentalmente.

WordPress hacked database
Clique para Visualizar

Aviso

A remoção manual de arquivos “maliciosos” pode ser desastrosa para a saúde do seu site. Nunca faça nenhuma ação sem um backup. Se você estiver inseguro, peça ajuda a um profissional.

2.3 Proteja Suas Contas de Usuário

Se você observar quaisquer usuários WordPress diferentes, remova-os para que os hackers percam o acesso ao seu site. Recomendamos que você tenha somente um usuário admin. Os outros usuários devem ser configurados com o mínimo de privilégios possível (ie. contributor, author, editor).

Para remover a infecção de malware manualmente das suas tabelas da base de dados:

  1. Faça o backup do seu site antes de continuar.

  2. Entre no WordPress como admin e clique em Users.

  3. Encontre as novas contas de usuários suspeitos.

  4. Passe o mouse sobre o usuário suspeito e clique Delete.

Se você acha que qualquer uma das suas contas de usuário foram comprometidas, resete suas senhas.

Para resetar senhas de usuários usando o plugin Sucuri:

  1. Entre no WordPress como admin e selecione Sucuri Security > Post-Hack.

  2. Clique em Reset User’s Password tab.

  3. Cheque a caixa perto da conta do usuário que pode ter sido comprometido.

  4. Cheque a caixa para confirmar I understand that this operation can not be reverted.

  5. Clique em Reset User Password.

O usuário receberá um email com uma senha forte temporária.

2.4 Remova Backdoors Escondidos

Hackers sempre arrumam um jeito de entrar novamente no seu site. Muito frequentemente, encontramos múltiplos backdoors de vários tipos em sites WordPress hackeados.

Muitas vezes, os backdoors estão dentro de arquivos com nomes semelhantes aos arquivos core do WordPress localizados no diretório errado. Os atacantes também podem injetar backdoors em arquivos como o wp-config.php e diretórios como /themes, /plugins, e /uploads.

Backdoors geralmente incluem as seguintes funções PHP:

  • base64
  • str_rot13
  • gzuncompress
  • eval
  • exec
  • create_function
  • system
  • assert
  • stripslashes
  • preg_replace (with /e/)
  • move_uploaded_file

Essas funções também podem ser usadas legitimamente por plugins, então, teste todas as mudanças porque você pode quebrar seu site ao remover funções benignas.

A maioria dos códigos maliciosos que vemos usa algum tipo de encriptação para prevenir ser detectado. Além de componentes premium que usam codificação para proteger seu mecanismo de autenticação, é muito raro ver codifcação no repositório oficial do WordPress.

É essencial que todos os backdoors estejam fechados para limpar um hack em WordPress com sucesso, ou o seu site será reinfectado rapidamente.

2.5 Remova Notificações de Malware

Se você foi notificado pelo Google, McAfee, Yandex (ou por qualquer outra autoridade de spam web), pode pedir uma revisão após o hack ter sido consertado.

Para remover notificações de malware no seu site:

  1. Ligue para a sua empresa de hosting e peça para que removam a sua suspensão.

    • Você pode ter que fornecer detalhes sobre como o malware foi removido.
  2. Complete um pedido de revisão para cada autoridade de lista negra.

    • ie. Google Search Console, McAfee SiteAdvisor, Yandex Webmaster.
    • O processo de revisão pode levar muitos dias.

Observação

Com o plano de Segurança de Sites Sucuri, enviamos pedidos de revisão de listas negras para você. Isso faz com que as notificações de malware sejam retiradas muito mais rapidamente, na maioria dos casos, em menos de 10 horas.

Voltar ao Início

Passo 3

PÓS - HACK

Neste passo final, você aprenderá como consertar os problemas que podem ter causado o hack do seu WordPress. Você também seguirá passos essenciais para melhorar a segurança do seu site WordPress.

3.1 Atualize e Resete as Opções de Configuração

Software desatualizado é uma das maiores causas de infecções. Isso inclui sua versão de CMS, plugins, temas e quaisquer outros tipos de extensão. Credenciais potencialmente comprometidas também podem ser resetadas para garantir que não sejam reinfectadas.

Atualize seu Software WordPress

Para aplicar atualizações no WordPress manualmente:

  1. Entre no seu servidor via SFTP ou SSH.

  2. Faça o backup do seu site e da base de dados (especialmente de conteúdo customizado).

  3. Remova manualmente os diretórios wp-admin e wp-includes.

  4. Substitua o wp-admin e o wp-includes usando cópias do repositório oficial do WordPress.

  5. Remova manualmente e substitua plugins e temas com cópias de fontes oficiais.

  6. Entre no WordPress como admin e clique em Dashboard > Updates.

  7. Aplique quaisquer atualizações que estejam faltando.

  8. Abra seu site para verificar se ainda está operacional.

Se o plugin Sucuri identificar outros software desatualizados no seu servidor (i.e., Apache, cPanel, PHP), você deve atualizá-los para garantir que não há nenhum patch de segurança faltando.

Observação

Recomendamos a remoção e substituição manual dos arquivos core ao invés de usar a configuração Update no painel do wp-admin. Isso garante que qualquer arquivo malicioso adicionado aos diretórios core sejam verificados. Remova os diretórios core (wp-admin, wp-includes) e os adicione manualmente os mesmos diretórios core.

Cuidado para não tocar o wp-config ou wp-content, pois isso quebrará seu site!

Resete Suas Senhas

Mude suas senhas para todos os pontos de acesso, incluindo as contas de usuários WordPress, FTP/SFTP, SSH, cPanel e sua base de dados.

Para resetar senhas de usuários, usando o plugin Sucuri:

  1. Entre no WordPress como admin e selecione Sucuri Security > Post-Hack.

  2. Vá ao tab Reset User’s Password.

  3. Cheque a caixa próxima à conta do usuário que você acredita que foi comprometida.

  4. Cheque a caixa para confirmar I understand that this operation can not be reverted.

  5. Clique em Reset User Password.

  6. O usuário receberá um email com uma senha forte temporária.

Reduza o número de contas admin para todos os seus sistemas. Pratique o conceito de menor privilégio. Somente forneça o acesso para aqueles que precisam dele.

Reset WordPress user password
Clique para Visualizar

Observação

Todas suas contas devem usar senhas fortes. Uma boa senha possui três componentes – complexidade, tamanho e exclusividade. Alguns dizem que é muito difícil de lembrar de muitas senhas. é para isso que existem os gerenciadores de senhas!

Gere Novas Chaves Secretas

Uma vez que suas senhas tenham sido resetadas, force todos os usuários a fazerem log off usando nosso plugin. WordPress usa cookies de navegadores para manter sessões de usuários ativas por duas semanas. Se um atacante tiver um cookie de sessão, reterá o acesso ao site, mesmo após a senha ser resetada. Para consertar essa vulnerabilidade, recomendamos forçar os usuários ativos a resetar as chaves secretas do WordPress.

Para gerar novas chaves secretas usando o plugin Sucuri:

  1. Entre no WordPress como admin e selecione Sucuri Security > Post-Hack.

  2. Clique em Security Keys.

  3. Clique em Generate New Security Keys.

  4. Todos os usuários serão forçados a sair do painel do WordPress.

Aconselhamos que reinstale todos os plugins após um hack para garantir que eles estejam funcionando e livres de malware residual. Se você desativou os plugins, recomendamos que também os remova do seu servidor web.

  1. Entre no WordPress como admin e selecione Sucuri Security > Post-Hack.

  2. Selecione o tab Reset Plugins.

  3. Selecione os plugins que deseja resetar (recomendamos selecionar todos).

  4. Clique em Process selected items.

Observe que plugins premium deverão ser reinstalados manualmente já que seu código não estará disponível no repositório oficial do WordPress.

Reset WordPress secret keys
Clique para Visualizar

Observação

Plugins premium deverão ser reinstalados manualmente já que seu código não estará disponível no repositório oficial do WordPress.

3.2 Faça o Harden do WordPress

Fazer harden de um servidor ou de uma aplicação significa seguir os passos para reduzir sua superfície de ataque, ou pontos de entrada de atacantes. WordPress e seus plugins podem ser mais difíceis de hackear quando se seguem esses passos.

Para fazer harden do WordPress usando o plugin Sucuri:

  1. Entre no WordPress como admins no Sucuri Security > Hardening.

  2. Leia as opções para entender o que elas fazem.

  3. Clique no botão Harden para aplicar as recomendações.

Há maneiras incontáveis de fazer harden no WordPress dependendo da sua necessidade. Recomendamos ler o WordPress Codex para pesquisar outros métodos de hardening. Veja a seção do Firewall de Sites abaixo para mais informações sobre como oferecemos patching e hardening virtual.

WordPress security hardening
Clique para Visualizar

3.3 Configure Backups

A função de backups funciona como uma rede de segurança. Agora que seu site já está limpo e que você já seguiu os passos pós-hack, faça um backup! Ter uma boa estratégia de backup é fundamental para se ter uma boa postura de segurança.

Seguem algumas dicas para te ajudar com seus backups de site:

  • Local

    Armazene os backups do WordPress em um local fora do seu site. Nunca armazene seus backups (ou versões antigas) no seu servidor, pois podem ser hackeados e comprometer o site real.

  • Automatização

    Sua solução de backups deve ser executada automaticamente em uma frequência que atenda as necessidades do seu site.

  • Redundância

    Armazene seus backups em locais múltiplos (armazenamento na nuvem, computador, hard drives externos).

  • Teste

    Teste o processo de restauração para confirmar que seu site esteja funcionando corretamente.

  • Tipos de Arquivos

    Algumas soluções de backup excluem alguns tipos de arquivos como vídeos e archives.

Você Sabia?

A Sucuri oferece aos seus clientes um sistema acessível para backups seguros.

3.4 Escaneie seu Computador

Todos os usuários do WordPress devem executar um escâner com um programa de antivírus de confiança em seu sistema operacional.

WordPress pode ser comprometido se um usuário com um computador infectado tiver acesso ao painel. Algumas infecções são feitas para usar um computador com editores de texto ou clientes FTP.

Estes são alguns programas de antivírus que recomendamos:

Observação

Você deve ter somente um programa de antivírus protegendo ativamente o seu sistema para evitar conflitos.

Se os computadores dos usuários do WordPress não estão limpos, seu site pode ser reinfectado facilmente.

3.5 Firewall de Sites

O número de vulnerabilidades exploradas por atacantes cresce diariamente. Tentar manter-se atualizado é um desafio para os admins. Firewalls de Sites foram desenvolvidos pra fornecer um sistema de perímetro de defesa para o seu site.

Benefícios de usar um firewall de sites:

  1. Prevenir um Hack Futuro

    Ao detectar e parar métodos e comportamentos de hacks conhecidos, um firewall de sites mantém seu site protegido contra infecções.

  2. Atualização de Segurança Virtual

    Hackers exploram vulnerabilidades em plugins e temas. Novas vulnerabilidades estão sempre aparecendo (chamadas de dia zero). Um bom firewall de sites cosertará por meio de patch as falhas nos seus software de site, mesmo que você não tenha feito as atualizações de segurança.

  3. Bloqueio de Ataques de Força Bruta

    Um firewall de sites deve impedir que qualquer pessoa não autorizada acesse sua página wp-admin ou wp-login, para evitar que ataques de força bruta sejam usados de maneira automática para tentar adivinhar suas senhas.

  4. Mitigação de Ataques de DDoS

    Ataques Distribuídos de Negação de Serviço tentam sobrecarregar seu servidor ou os recursos da sua aplicação. Ao detectar e bloquear todos os tipos de ataques DDoS, um firewall de sites certifica-se que seu site esteja disponível se você estiver sob ataque de um grande volume de visitantes falsos.

  5. Otimização de Performance

    A maioria dos WAFs oferecerão caching para aumentar a velocidade global da página, o que faz mantém seus visitantes satisfeitos e diminui a taxa de saída de visitantes, ao melhorar o engajamento com o site, a taxa de conversão e as classificações dos motores de busca.

Oferecemos todas essas opções com o Firewall Sucuri. Você pode conectá-lo ao nosso plugin WordPress usando o tab Firewall (WAF) no plugin Sucuri.

sucuri logo

Proteção e performance poderosas para WordPress.

O Firewall Sucuri

Nosso laboratório de pesquisa
abastece nossa plataforma de proteção com o
combate de hacks emergentes antes que eles
danifiquem seu site.

Voltar ao Início