COMO REMOVER NOTIFICAçõES DE SEGURANçA DE SITES

Verificar, consertar e recuperar seu site notificado.

O Google notifica mais de 10.000 sites todos os dias. Algum dos seu sites está na lista negra do Google? Para a maioria dos proprietários de sites, os avisos de segurança, os indicadores de falha e as páginas de diagnóstico podem ser assustadores. É difícil se concentrar em corrigir seu site invadido quando todos os seus visitantes estão sendo bloqueados e impedidos de acessá-lo. Compilamos este guia para ajudar os webmasters a remover hacks de sites e avisos do Google para que você possa restaurar seu site e recuperar visitantes, receitas e rankings de SEO.

Gran Canaria • Espanha • Casa do
Guilherme - Analista do Firewall da Sucuri

Indicadores Comuns de Notificações do Google

  • Página vermelha impede que os visitantes acessem o site
  • Os resultados do Google mostram a notificação "This site may be hacked"
  • Campanhas Active AdWords foram suspensas
  • Notificações de "Phishing Reportado" ou "Site Enganoso"
  • Host suspende site por atividade maliciosa
  • Palavras-chave de spam ou redirecionamentos de URL no Google

Passo 1

REVISãO DO STATUS DA NOTIFICAçãO

1.1 Identificação das Notificações de Segurança

Seu site está na lista negra porque o Google escaneou seu site e detectou um comportamento prejudicial. O Google precisa proteger seus usuários de sites perigosos que aparecem nos resultados de pesquisa. Na verdade, sites que repetidamente ficam na lista negra por comportamento malicioso são limitados a apenas uma revisão a cada 30 dias. Essa página vermelha grande (e avisos ao lado de seu site nos resultados de pesquisa do Google) são projetados para impedir que os visitantes acessem seu site. Funciona, também. Sites perdem cerca de 95% do seu tráfego quando entram na lista negra do Google.

Se vê notificações de segurança ao tentar acessar o site:

  1. Revise as imagens abaixo e as notificações de listas negras mais comuns do Google.

  2. Identifique o tipo de aviso que você está vendo no seu site.

  3. Siga esse guia para consertar problemas de segurança e pedir uma revisão.

Avisos de Listas Negras Comuns
  • The website ahead contains malware
  • Danger malware ahead
  • The site ahead contains harmful programs
  • The site ahead contains malware
  • Reported attack page
  • Suspected malware site
  • This website has been reported as unsafe
  • Deceptive site ahead
  • Suspected phishing site
  • Website request forgery
  • This site may be hacked
  • This site may harm your computer
  • Unwanted software

A mensagem de aviso específica no seu site pode ajudá-lo a entender o que o Google quer mostrar sobre o tipo de problemas de segurança que encontrou em seu site. Essas informações serão úteis nas seções a seguir deste guia.

Observação

O aviso específico variará com base no seu navegador ou antivírus. Se reconhecer alguma das imagens abaixo, o seu site está na lista negra e pode utilizar a seção Informação de Diagnóstico para saber mais.

Notificações de Malware de Sites

Aqui estão alguns exemplos de avisos de malwares comuns que sugerem que seu site foi invadido e está servindo downloads maliciosos, como vírus, spyware, rootkits e ransomware. A maioria dos navegadores usa a API de lista negra do Google, mas a Microsoft (IE/Edge) tem seu próprio API de lista negra. As imagens a seguir são exemplos desse tipo de aviso de lista negra de navegadores populares.

The site ahead contains malware:

Google Chrome blacklist warning says The site ahead contains malware

Chrome usa o aviso "The site ahead contains malware"

Clique para Visualizar

Reported attack page:

Firefox blacklist warning says Reported Attack Page

Firefox mostra "Report Attack Page" para o site perigoso

Clique para Visualizar

Suspected Malware Site

Safari blacklist warning says Suspected Malware Site

Safari mostra esse aviso quando detecta um "Suspected Malware Site"

Clique para Visualizar

This website has been reported as unsafe:

IE blacklist warning says This website has been reported as unsafe

Mensagem do IE / Edge quando "website has been reported as unsafe"

Clique para Visualizar
Notificações de Phishing de Site

Há uma série de avisos de phishing, o que significa que seus visitantes estão sendo enganados para revelar informações pessoais, como senhas e dados de cartão de crédito. Esses avisos do Google também podem significar que seu site contém anúncios maliciosos ou malvertising. O novo aviso de software não desejado pode indicar anúncios maliciosos ou fraudes.

Deceptive Site Ahead

Google Chrome phishing warning says Deceptive Site Ahead

Chrome notifica "Deceptive site ahead"

Clique para Visualizar

Deceptive Site!

Firefox phishing warning says Deceptive Site

Firefox mostra "Deceptive Site!"

Clique para Visualizar

Suspected Phishing Site

Safari phishing warning says Suspected Phishing Site

Safari alerta "Suspected Phishing Site"

Clique para Visualizar
Notificações da Busca do Google

Quando seu site é exibido no Google, os avisos nas páginas de resultados do mecanismo de pesquisa (SERPs) mostram se spam ou redirecionamentos são detectados no site. Estes também podem ser acionados se o seu site invadido for usado para infectar visitantes com softwares maliciosos por drive-by-downloads. Se seu site ainda não exibir a página de alerta vermelha, mas esses avisos aparecerem nos resultados da pesquisa, isso pode indicar que scripts maliciosos e iframes estão sendo carregados a partir de sites de terceiros.

This site may be hacked:

Google search shows this site may be hacked

Google notifica "this site may be hacked" se suas páginas tiverem spam de SEO ou hacks.

Clique para Visualizar

This site may harm your computer:

Google search shows this site may harm your computer

Google notifica "this site may harm your computer" se seu site parece baixar malaware intencionalmente

Clique para Visualizar

Observação

A maioria das listas negras de navegadores usam o API de lista negra do Google. Para mais informações, visite as páginas de ajuda do Google.

1.2 Revise as Páginas de Diagnóstico

Cada uma dessas páginas de aviso vermelhas ligará a outra página que descreve por que o site está sendo colocado na lista negra pelo Google. O botão principal que você vê na página é para os visitantes, e muitas vezes lê algo como, Tire-me daqui ou De volta à segurança - mas sempre há outro link para o Proprietário do site para saber mais.

Para encontrar a sua Página de Diagnóstico do Google:

  1. Visite o site Google Transparency Report.

  2. Insira a URL do seu site

  3. Revise os Detalhes de Segurança do Site e os Detalhes do Teste usando o guia abaixo

Detalhes de Segurança do Site

No relatório, você pode encontrar dangerous websites, nos quais conteúdo malicioso está sendo detectado em seu site. Observe essas URLs, pois lhe serão úteis quando você estiver pronto para remover o malware do seu site.

Isso indica vestígios de domínios maliciosos no seu site. Pode ser um iframe oculto, um script externo ou um redirecionamento não autorizado. Observe esses nomes de domínio para escaneá-los na seção a seguir.

Esta seção também inclui informações sobre se seu site está exibindo redirecionamentos maliciosos ou downloads hospedados em seu servidor.

Detalhes de Testes

Em seguida, procure a scan date (quando o Google escaneou recentemente o seu site) e a data de descoberta (quando o conteúdo suspeito foi detectado).

Essas datas podem ajudá-lo mais tarde ao analisar arquivos que foram modificados recentemente.

Se você já tentou limpar seu site, mas a data de escaneio é mais recente, isso significa que o Google acredita que seu site ainda está infectado.

1.3 Buscando por Malware

Você pode usar nossa ferramenta gratuita, Sucuri SiteCheck, para escanear seu site e encontrar payloads maliciosos, locais com malware, problemas de segurança e stauts de listas negras dentro das maiores autoridades de listas negras.

Para usar o Sucuri SiteCheck para encontrar malware:

  1. Visite o site Sucuri SiteCheck e entre a URL do seu site.

  2. Clique em Scan Website.

  3. Se o site estiver infectado, analise quaisquer payloads e localizações de arquivos encontrados pelo SiteCheck.

  4. Clique em Blacklist Status para saber se entrou na lista negra de outras autoridades.

Se o SiteCheck encontrar um payload, isso ajudará a restringir sua pesquisa. A seção a seguir deste guia o ajudará a revisar manualmente seu site para procurar elementos suspeitos. Você também pode usar outras ferramentas, como UnmaskParasites.

Observação

Se você tem vários sites no mesmo servidor, recomendamos escanear todos seus sites. A contaminação cruzada é uma das principais causas de reinfecções. Encorajamos todos os proprietários de sites a isolar suas contas de hospedagem e contas web.

Passo 2

CONSERTE OS SINTOMAS DAS LISTAS NEGRAS

2.1 Remova Infecções de Arquivos

Para executar a remoção completa de malware, você deve ser capaz de editar arquivos no seu servidor. Se você não estiver confortável com isso, deixe que os profissionais limpem seu site.

Cuidado

Remover manualmente o código "malicioso" dos arquivos do seu site pode ser extremamente perigoso. Nunca execute nenhuma ação sem um backup. Se você não tiver certeza do que está fazendo, por favor, procure ajuda de um profissional.

Mudança de Arquivo

Se você usa um CMS como WordPress ou Joomla, você pode reconstruir o site com segurança, usando novas cópias de seus arquivos principais e extensões diretamente dos repositórios oficiais. Arquivos personalizados podem ser substituídos por um backup recente, desde que não esteja infectado.

Domínios e Payloads Maliciosos

Se o SiteCheck ou a Página de Diagnóstico indicarem domínios maliciosos ou payloads, pode começar a procurar por esses arquivos no seu servidor. A data de descoberta também pode restringir sua pesquisa a arquivos modificados em torno desse período de tempo.

Para remover a infecção de malware dos arquivos do seu site manualmente:

  1. Faça log in no seu servidor via SFTP ou SSH.

  2. Crie um backup do seu site antes de fazer qualquer mudança.

  3. Procure nos seus arquivos por qualquer referência a domínios ou payloads maliciosos.

  4. Identifique mudanças não familiares ou arquivos recém-modificados.

  5. Restaure arquivos suspeitos por cópias do repositório oficial ou por uma cópia de backup limpa.

  6. Replique as customizações feitas para os seus arquivos.

  7. Teste para verificar se o site ainda está funcionando após as mudanças.

Os hackers alteram sites maliciosos com bastante frequência para evitar serem detectados. Como resultado, a página de diagnóstico do Google pode mencionar domínios maliciosos ou intermediários que não podem mais ser encontrados no seu site, já que já foram substituídos por novos domínios.

Se você não conseguir encontrar o conteúdo "malicioso", tente pesquisar na web os nomes de domínios listados na página de diagnóstico. As chances são de que alguém já tenha descoberto como esses nomes de domínio estão envolvidos em explorações de sites.

Cuidado

Não grave por cima dos arquivos de configuração do seu CMS. No WordPress, eles incluem o arquivo wp-config.php ou o wp-content. No Joomla, o arquivo configuration.php e customizados.

2.2 Limpe as Tabelas da Base de Dados Hackeadas

Para remover uma infecção de malware do banco de dados do seu site, use o painel de administração do banco de dados para se conectar. No cPanel, a maioria das empresas de hospedagem oferecem PHPMyAdmin. Você também pode usar ferramentas como Search-Replace-DB ou Adminer.

Para remover manualmente a infecção de malware nas tabelas da base de dados:

  1. Entre no admin panel da sua base de dados (database).

  2. Faça um backup da base de dados antes de fazer modificações.

  3. Procure por conteúdo suspeito (i.e., palavras-chave spammy, links).

  4. Abra a tabela que contém o conteúdo suspeito.

  5. Remova manualmente o conteúdo suspeito.

  6. Teste para verificar se o site ainda está operacional após as mudanças.

  7. Remova todas as ferramentas de acesso a base de dados que você usou (fez o upload).

Você pode usar a informação do payload fornecida pelo escâner de malware ou procurar por funções PHP maliciosas comuns, como eval, base64_decode, gzinflate, preg_replace, str_replace, etc. Note que essas funções também são usadas em plugins por motivos legítimos, então teste todas as mudanças ou procure ajuda para não quebrar seu site acidentalmente.

2.3 Previna Reinfecções

Os hackers sempre encontram uma maneira de voltar ao seu site. Na maioria das vezes, encontramos várias backdoors, usuários de administradores maliciosos e vulnerabilidades negligenciadas.

Contas de Usuários

Não negligencie suas contas! Senhas roubadas podem permitir que os hackers entrem no seu site.

Para limpar suas contas de usuário:

  1. Confirme todas as contas de usuários válidas:

    • Usuários CMS
    • Usuários FTP/SFTP/SSH
    • Painéis de administração da base de dados (PHPMyAdmin, etc.)
    • Contas do cPanel
    • Logins do Host
  2. Mude todas as senhas de todos os usuários.

  3. Ative (2FA) se possível.

Os hackers alteram sites maliciosos com bastante frequência para evitar sua detecção. Como resultado, a página de diagnóstico do Google pode mencionar domínios maliciosos ou intermediários que não podem mais ser encontrados em seu site, já que eles já foram substituídos por novos domínios.

Backdoors

Muitas vezes, backdoors são incorporados em arquivos de nomes parecidos com os nomes dos arquivos core do CMS, mas localizados no diretório errado. Os atacantes também podem injetar backdoors em arquivos legítimos.

Backdoors geralmente incluem as seguintes funções PHP:

  • base64
  • str_rot13
  • gzuncompress
  • eval
  • exec
  • create_function
  • system
  • assert
  • stripslashes
  • preg_replace (with /e/)
  • move_uploaded_file

É importante que todas as backdoors sejam excluídas para limpar com sucesso um hack de site, caso contrário, seu site será reinfectado rapidamente.

Cuidado

Essas funções também podem ser usadas legitimamente por plugins, por isso certifique-se de testar todas as alterações porque você poderia quebrar seu site, removendo funções benignas.

A maioria dos códigos maliciosos que vemos utiliza alguma forma de codificação para evitar sua detecção. Além de componentes premium que usam codificação para proteger seu mecanismo de autenticação, é muito raro ver a codificação em arquivos oficiais do CMS.

Faça o patch de vulnerabilidades

Vulnerabilidades de Software são responsáveis por grande parte dos sites hackeados.

Atualize todos seus software:

  • Arquivos do CMS
  • Plugins
  • Temas
  • Extensões
  • Software do Servidor

Se você tiver dificuldade para atualizar seu site, recomendamos o uso de um firewall de sites que inclua o patch virtual. Isso também pode evitar ataques de dia zero contra seu site quando nenhum patch estiver disponível.

Observação

Você também pode procurara vulnerabilidades no código, seguindo o guia do Google: Identifique a vulnerabilidade.

Proteja seu Computador

É possível que seu site seja infectado a partir do seu computador quando se usa CMS e aplicativos de transferência de arquivos. Todos os computadores usados para acessar seu site devem estar seguros. Faça com que todos os usuários escaneiem seus computadores com um programa de antivírus.

Recomendamos alguns programas de antivírus:

Observação

Você deve ter apenas um antivírus ativamente protegendo seu sistema para evitar conflitos. Se os computadores do usuário não estiverem limpos, seu site pode ser reinfectado facilmente.

Passo 3

FAçA UMA REVISãO DO GOOGLE

3.1 Tenha o Google Search Console

Para remover o aviso de lista negra, você precisa informar o Google de que eliminou completamente a infecção. Para fazer isso, é preciso ter uma conta no Google Search Console (antes Webmaster Tools).

Para verificar a propriedade do seu site no Google Search Console:

  1. Abra o Google Webmaster Central.

  2. Clique em Search Console e entre com a sua conta do Google.

  3. Clique em Add a site.

  4. Digite a URL e clique em Continue.

  5. Verifique que seu site está usando o Recommended method ou Alternate methods.

  6. Clique em Add a site.

  7. Clique em Verify.

  8. Cheque a seção de Messages para revisar as notificações.

Outras Listas Negras

O Google Safebrowsing não é a única lista negra de sites, mas muitas outras autoridades usam a API do Google para adicionar sites maliciosos a suas próprias listas negras. Uma vez que seu site está na lista negra do Google, é apenas uma questão de tempo até que seja adicionado a outras listas.

Programas de antivírus e outros motores de busca também querem avisar seus usuários quando um site é perigoso. Cada um tem seu próprio console e processo de revisão. A fim de remover o seu site dessas listas, você precisa mostrar que seu site está limpo.

Se você usou o SiteCheck para escanear o seu site em busca de malware na primeira etapa, os resultados irão indicar se o seu site foi colocado na lista negra por outras autoridades. O processo de revisão deve ser semelhante ao Google Search Console. Por exemplo, o McAfee possui um formulário de envio de revisão e Bing e Yandex tem suas próprias ferramentas para webmaster às quais você deve se cadastrar.

Outras autoridades de listas negras populares:

  • McAfee SiteAdvisor
  • Bing Blacklist
  • Yandex Blacklist
  • Norton SafeWeb
  • PhishTank
  • SpamHaus
  • BitDefender
  • ESET

3.2 Pedido de Revisão de Segurança

Se você não solicitar uma revisão, o Google pode pensar que você não terminou a limpeza do site. Ao solicitar uma revisão, você está mostrando ao Google que está pronto para que ter seu site novamente escaneado. O Google agora está limitando os reincidentes a uma solicitação de revisão a cada 30 dias. Não tente enganar o Google, porque pode não passar no processo de revisão. Por exemplo, se o site estiver vazio, ele não passará no processo de revisão. Tenha certeza de que seu site está limpo antes de prosseguir!

Observação

Na Sucuri, enviamos solicitações de revisão da lista negra em seu nome. Isso ajuda a garantir que seu site esteja absolutamente pronto para revisão. Alguns comentários, no entanto, como hacks de spam da web como resultado de ações manuais, podem levar até duas semanas.

Para pedir a revisão do seu problema de segurança para o Google:

  1. Entre na tab Security Issues no Search Console.

  2. Tenha certeza de que tudo foi limpo.

  3. Cheque a caixa para confirmar I have fixed these issues.

  4. Clique em Request a Review.

  5. Preencha a informação com o máximo de detalhes possível sobre o que foi limpo.

Para pedir uma revisão de spam para o Google:

  1. Entre na tab Search Traffic no Search Console.

  2. Clique na seção Manual Actions.

  3. Tenha certeza de que tudo foi limpo.

  4. Clique em Request a Review.

  5. Preencha a informação com o máximo de detalhes possível sobre o que foi limpo.

O processo será similar para outras listas negras, como McAfee, Bing, Yandex e Norton.

3.3 Espere e Proteja Sua Marca

Depois de enviar a solicitação de remoção da lista negra, o Google pode demorar alguns dias para rever seu site.

Peça para o Google Reavaliar seu Site

Se o título e a descrição de suas páginas da web estiverem infectados com spam, pode demorar algum tempo para que seus resultados de pesquisa sejam alterados novamente. Isso ocorre porque o Google rastreia apenas o seu site de vez em quando. Felizmente, no Search Console você pode pedir ao Google para atualizar determinadas páginas e os links nessas páginas.

Para forçar o Google a reavaliar (recrawl) seu site:

  1. Entre na tab Crawl no Search Console.

  2. Clique na seção Fetch as Google.

  3. Insira sua homepage ou deixe o campo em branco.

  4. Clique em Fetch.

  5. Clique em Submit to Index.

  6. Cheque a caixa para confirmar I am not a robot.

  7. Escolha a opção para Crawl this URL and its direct links.

  8. Clique em Go.

Isso fará com que o Google rastreie sua página inicial e quaisquer links nessa página. Se você tiver outras páginas mostrando nos resultados de pesquisa do Google com spam no título e na descrição, também é possível rastrear essas páginas separadamente.

Observação

Google Search Console permite rastrear 500 URLs únicas por mês e apenas 10 com links diretos por mês. Esses 10 são melhor utilizados para rastrear páginas com muitos links internos, como um sitemap público ou sua homepage.

Remova URLs de Spam

Se páginas de spam foram removidas do seu site, elas podem ter sido indexadas pelo Google. As páginas de spam podem criar erros 404 (não encontrados) quando são removidas do seu site. Você pode usar a Ferramenta de Remoção de URL (URL Removal Tool) para informar ao Google que essas páginas de spam devem ser removidas do seu índice.

Para remover URLs de spam que estão provocando erros 404:

  1. Entre na tab Google Index do Search Console.

  2. Clique na seção Remove URLs.

  3. Clique em Temporarily Hide.

  4. Insira as URLs de páginas de spam que foram removidas.

  5. Clique em Continue.

Cuidado

Essa ferramenta remove páginas da pesquisa do Google. Essa opção é útil depois de remover páginas de spam para que o Google saiba que elas não fazem parte do seu site.

Proteção para o seu Site

Você também deve tomar mais medidas para fazer hardening e proteger o seu site. Isso inclui aplicar atualizações, manter uma boa estratégia de backup de sites, gerenciar privilégios dos usuários e implementar controles de segurança do site.

O número de vulnerabilidades exploradas por atacantes cresce diariamente. Tentar manter-se informado é um desafio para os administradores. Firewalls de sites foram inventados para cercar seu site com um sistema de defesa profissional.

Benefícios de usar um firewall de sites:

  1. Prevenir um Hack Futuro

    Ao detectar e parar métodos e comportamentos de hacks conhecidos, um firewall de sites mantém seu site protegido contra infecções.

  2. Atualização de Segurança Virtual

    Hackers exploram vulnerabilidades em plugins e temas. Novas vulnerabilidades estão sempre aparecendo (chamadas de dia zero). Um bom firewall de sites cosertará por meio de patch as falhas nos seus software de site, mesmo que você não tenha feito as atualizações de segurança.

  3. Bloqueio de Ataques de Força Bruta

    Um firewall de sites deve impedir que qualquer pessoa não autorizada acesse sua página wp-admin ou wp-login, para evitar que ataques de força bruta sejam usados de maneira automática para tentar adivinhar suas senhas.

  4. Mitigação de Ataques de DDoS

    Ataques Distribuídos de Negação de Serviço tentam sobrecarregar seu servidor ou os recursos da sua aplicação. Ao detectar e bloquear todos os tipos de ataques DDoS, um firewall de sites certifica-se que seu site esteja disponível se você estiver sob ataque de um grande volume de visitantes falsos.

  5. Otimização de Performance

    A maioria dos WAFs oferecerão caching para aumentar a velocidade global da página, o que faz mantém seus visitantes satisfeitos e diminui a taxa de saída de visitantes, ao melhorar o engajamento com o site, a taxa de conversão e as classificações dos motores de busca.