Central de Ajuda

Atendimento em horário comercial via chat

Como limpar um site Wordpress que foi hackeado?

Se seu site WordPress foi hackeado e você precisa saber como realizar a limpeza dos danos ou se está se prevenindo de acontecer uma invasão, este artigo guiará pelo processo de limpeza de um site WordPress hackeado.

Identifique a provável origem da invasão

Você pode começar digitando seu site com o Sucuri SiteCheck gratuito, este scanner gratuito verifica o seu site em busca de uma série de problemas conhecidos, como invasões por malware, spam, redirecionamentos irregulares e vários outros problemas normalmente encontrados em sites hackeados. Na maioria dos casos, o Sucuri fará o trabalho, embora escaneie apenas um número limitado de páginas. 

Recupere o controle

A recuperação controle depende de quanto acesso você possa ter perdido como resultado de um ataque. No Wordpress, existe mais de uma maneira para que você consiga redefinir sua senha.

1- No menu à esquerda, vá para Usuários Todos os usuários

2- Clique no seu nome de usuário na lista para editá-lo

3- Na parte Editar usuário, role o scroll para baixo até a seção Nova senha e clique no botão Gerar senha

4- Se quiser alterar a senha gerada automaticamente, você pode sobrescrevê-la digitando uma nova senha no campo fornecido. O campo mostrará o quão forte é a sua senha

5- Clique no botão Atualizar usuário

senhapainel.gif

Se você souber seu usuário ou a conta de e-mail que você usa para acessar, você pode usar o recurso “Perdeu a senha?” do Wordpress.

1- Vá para a página de login do Wordpress (seusite.com.br/wp-login.php)

2- Clique no link “Perdeu a senha”

3- Você será redirecionado a uma página para inserir alguns detalhes. Digite seu nome de usuário ou endereço de e-mail.

4- Aguarde enquanto a nova senha é enviada para você.

5- Depois de obter sua nova senha, faça login na página de seu perfil e altere essa senha para alguma que você possa lembrar.

Caso seu banco de dados esteja aqui na Umbler, você pode visualizar este guia para saber como visualizar seus dados de acesso.

Aviso: Use o phpMyAdmin por sua conta em risco. Caso você não saiba utilizar o banco de dados, procure por ajuda.

1- Comece fazendo login no phpMyAdmin e clicando no nome do seu banco de dados

banco_de_dados.jpg

2- As tabelas do banco serão exibidas, procure pela tabela wp-users

wp-users.jpg

3- Localize o seu nome de usuário em user_login

4- Clique em editar (irá aparecer um lápis ao lado)

5- Ao lado de user_pass está uma longa lista de números e letras

6- Selecione e exclua-os e crie uma nova senha

7- Digite a senha que deseja usar. Você pode digitá-lo normalmente, mas lembra-se, faz distinção entre maiúsculas e minúsculas.

8- Neste exemplo, a nova senha será ‘testedasenha’

9- Depois de fazer isso, clique no menu suspenso indicado e selecione MD5 no menu.

trocar_senha.jpg

10- Verifique se a sua senha está realmente correta e se MD5 está selecionado.

11- Clique no botão ‘Executar’ no canto inferior direito

12- Teste a nova senha na tela de login. Se não funcionar, verifique se você seguiu exatamente estas instruções.

1- Acesse o FTP e baixe o arquivo functions.php do seu tema que está ativo.

2- Edite o arquivo e adicione este código a ele, logo no início, após o primeiro

        <?php: wp_set_password (‘senha’, 1);

Digite sua nova senha para o usuário administrador principal. O “1” é o número do ID do usuário da tabela wp-users.

3- Envie o arquivo modificado de volta ao seu site.

4- Assim que você conseguiu fazer o login, certifique-se de voltar e remover o código. Ele irá definir sua senha em cada carregamento de página até que você faça isso.

Encontre a invasão e o arquivo malicioso

Antes de começar: um hack do WordPress normalmente envolve a inserção de código em um tema, plugin ou arquivo principal do WordPress. Portanto, para prosseguir com a limpeza, você deve se sentir confortável para modificar o código. Se você não for, contrate profissionais de segurança do WordPress. Depois de identificar o ponto de entrada dos hackers, normalmente é relativamente fácil encontrar a infecção. Embora, apenas no caso de você não ter encontrado a infecção ainda, existem vários métodos que você pode usar para encontrar a infecção. Aqui estão alguns.

No SSH, verifique quais arquivos no seu site WordPress foram alterados recentemente. Normalmente, é aconselhável começar a procurar por alterações nos últimos cinco dias após a descoberta do hack, ampliando sua pesquisa conforme necessário. Para fazer isso, navegue até o diretório onde seu site WordPress está localizado e use o comando find

find ./public -mtime -2

O comando acima lista todos os arquivos que foram modificados (.mtime) nos últimos dois dias (-2). Se a lista for muito longa, use menos pager para navegar e pesquisar a lista com mais facilidade

find ./public -mtime -2 | less

Se você atualizou recentemente um plugin ou tema, todas as alterações de arquivo relacionadas serão exibidas nos resultados da pesquisa. Logs e arquivos de depuração também são atualizados com frequência, portanto, eles também aparecerão em seus resultados. Como resultado, você pode ter que fazer alguma filtragem extensa dos resultados para localizar alterações de arquivo de interesse.Você também pode procurar plugins especializados para eliminar especificamente esses falsos positivos automaticamente.

Verificando todos os arquivos HTML

No WordPress, existem poucos arquivos HTML e os hackers gostam de tirar vantagem deles. Pesquise em seu site todos os arquivos HTML e analise seu conteúdo. Certifique-se de que todos os arquivos HTML que você tem em seu site são legítimos e de que você sabe para que são usados.

Uma maneira fácil de listar todos os arquivos HTML em seu diretório (e subdiretórios) do WordPress é usar o seguinte comando.

find ./public -type f -name '*html'

Compare os arquivos do seu site com os de um site não alterado. Portanto, se você tiver uma cópia do backup do seu site, compare com o site adulterado. Caso contrário, instale uma nova cópia do wordpress e os plugins do site infectado e compare-os.

Existem várias ferramentas que você pode usar para comparar arquivos. Por exemplo, executar um plugin de monitoramento de integridade de arquivo no seu site WordPress pode ajudá-lo a identificar facilmente esses problemas antes que eles se tornem uma ameaça real à segurança ou funcionalidade do seu site.

Procure por arquivos que não fazem parte do núcleo do WordPress. A maioria das infecções adicionam arquivos à raiz da instalação do WordPress ou ao diretório wp-content . Se o hack for resultado de um plugin vulnerável, os arquivos do plugin podem ter sido modificados.

Se você tiver um backup do seu site ou blog do WordPress, restaure-o. É sempre muito mais fácil do que limpar o código manualmente.

Caso não saiba como realizar backup do seu site, você pode conferir neste guia aqui

Altere todas as senhas de todos os seus usuários e serviços, incluindo WordPress, MySQL, FTP e seu próprio computador pessoal. Verifique a lista de usuários em seu FTP, WordPress e qualquer outro serviço para confirmar se todos os usuários são legítimos. Se houver usuários que não estão mais sendo usados, exclua-os. Verifique se todos os usuários do WordPress têm as funções e permissões corretas.

Depois de remover o hack do wordpress

Parabéns, você recuperou seu site WordPress de um hack. Agora você deve se certificar de que isso não aconteça novamente. Aqui estão algumas dicas sobre o que você deve fazer:

  • Instale um plugin de registro de atividades do wordpress para controlar tudo o que está acontecendo no seu site wordpress.
  • Faça sempre um ponto de restauração do seu site e banco de dados.
  • Alterne as senhas do banco de dados e de administrador e force a segurança de senha forte do wordpress.
  • Sempre mantenha seu wordpress, plugins wordpress, temas e qualquer outro software que você usa atualizados.
  • Remova todos os arquivos não utilizados, como instalações antigas do wordpress, plugins e temas não utilizados do wordpress (incluindo temas padrão do wordpress não utilizados). Componentes e softwares não usados adicionam superfície de ataque desnecessária e, idealmente, devem ser removidos.