WordPress hackeado? Dez etapas para reparar seu blog

WordPress quebrado

Um bom amigo meu recentemente teve seu blog WordPress hackeado. Foi um ataque bastante malicioso que poderia ter um impacto em sua classificação de pesquisa e, claro, em seu ímpeto no tráfego. É uma das razões pelas quais aconselho grandes empresas a utilizar uma plataforma de blog corporativo como Compêndio - onde há uma equipe de monitoramento cuidando de você. (Divulgação: sou um acionista)

As empresas não entendem por que pagariam por uma plataforma como a Compendium ... até que me contrataram para trabalhar a noite toda no conserto de seus sem Blog do WordPress! (FYI: WordPress também oferece um Versão VIP e o Typepad também oferece um versão empresarial. )

Para aqueles de vocês que não podem pagar uma plataforma de blog com os serviços que oferecem, aqui está meu conselho sobre o que fazer se o WordPress for hackeado:

  1. Fique calmo! Não comece a deletar coisas e instalar todo tipo de porcaria que promete limpar sua instalação. Você não sabe quem o escreveu e se ele está simplesmente adicionando mais porcarias maliciosas ao seu blog. Respire fundo, pesquise esta postagem do blog e lenta e deliberadamente desça a lista de verificação.
  2. Retire o blog. Imediatamente. A maneira mais fácil de fazer isso com o WordPress é rebatizar seu arquivo index.php em seu diretório raiz. Não é suficiente apenas colocar uma página index.html ... você precisa interromper todo o tráfego para qualquer página do seu blog. No posicionamento de sua página index.php, carregue um arquivo de texto que diz que você está offline para manutenção e estará de volta em breve. O motivo pelo qual você precisa remover o blog é porque a maioria desses hacks não são feitos manualmente, eles são feitos por meio de scripts maliciosos que se anexam a cada arquivo gravável em sua instalação. Alguém que visita uma página interna do seu blog pode reinfectar os arquivos que você está trabalhando para reparar.
  3. Faça backup do seu blog. Não apenas faça backup de seus arquivos, também faça backup de seu banco de dados. Guarde-o em algum lugar especial, caso precise consultar alguns dos arquivos ou informações.
  4. Remova todos os temas. Os temas são um meio fácil para um hacker criar um script e inserir código em seu blog. A maioria dos temas também é mal escrita por designers que não entendem as nuances de proteger suas páginas, seu código ou seu banco de dados.
  5. Remova todos os plug-ins. Plugins são o meio mais fácil para um hacker criar um script e inserir código em seu blog. A maioria dos plug-ins é mal escrita por desenvolvedores de hack que não entendem as nuances de proteger suas páginas, seu código ou seu banco de dados. Depois que um hacker encontra um arquivo com um gateway, ele simplesmente implementa rastreadores que procuram esses arquivos em outros sites.
  6. Reinstale o WordPress. Quando digo reinstalar o WordPress, estou falando sério - incluindo seu tema. Não se esqueça do wp-config.php, um arquivo que não é sobrescrito quando você copia no WordPress. Neste blog, descobri que o script malicioso foi escrito em Base 64, então parecia apenas um blob de texto e foi inserido no cabeçalho de cada página, incluindo wp-config.php.
  7. Revise seu banco de dados. Você vai querer revisar sua tabela de opções e sua tabela de posts especialmente - procurando por quaisquer referências externas estranhas ou conteúdo. Se você nunca olhou para o seu banco de dados antes, esteja preparado para localizar o PHPMyAdmin ou outro gerenciador de consulta de banco de dados no painel de gerenciamento do seu host. Não é divertido - mas é obrigatório.
  8. Inicie o WordPress com um tema padrão e sem plug-ins instalados. Se o seu conteúdo aparecer e você não vir nenhum redirecionamento automatizado para sites maliciosos, provavelmente está tudo bem. Se você receber um redirecionamento para um site malicioso, provavelmente desejará limpar o cache para garantir que está trabalhando com a cópia mais recente da página. Você pode precisar examinar seu banco de dados registro por registro para tentar localizar qualquer conteúdo que esteja abrindo caminho para seu blog. Provavelmente, seu banco de dados está limpo ... mas nunca se sabe!
  9. Instale o seu tema. Se o código malicioso for replicado, provavelmente você terá um tema infectado. Você pode precisar examinar o tema linha por linha para garantir que não haja nenhum código malicioso. Você pode estar melhor apenas começando do zero. Abra o blog em uma postagem e veja se você ainda está infectado.
  10. Instale seus plugins. Você pode querer usar um plugin, primeiro, como Opções de limpeza primeiro, para remover quaisquer opções adicionais de plug-ins que você não está mais usando ou querendo. Não enlouqueça, porém, este plugin não é o melhor ... ele freqüentemente é exibido e permite que você exclua as configurações que deseja manter. Baixe todos os seus plug-ins do WordPress. Execute seu blog novamente!

Se você vir o problema voltar, é provável que tenha reinstalado um plug-in ou tema vulnerável. Se o problema nunca for resolvido, você provavelmente tentou alguns atalhos para solucionar esses problemas. Não tome um atalho.

Esses hackers são pessoas desagradáveis! Não entender cada plugin e arquivo de tema coloca todos nós em risco, portanto, fique atento. Instale plug-ins com ótimas classificações, muitas instalações e um ótimo recorde de downloads. Leia os comentários que as pessoas associaram a eles.

15 Comentários

  1. 1

    Obrigado pelas dicas que você citou aqui. Eu quero perguntar se o hacker apenas altera a senha do seu site. Você não pode nem se conectar à pasta wordpress via FTP.

  2. 2

    Olá Tecnologia,

    Eu já tive isso acontecer antes também. A maneira mais fácil de lidar com isso é abrir o banco de dados e editar seu endereço de e-mail de administrador. Altere o endereço de e-mail de volta para o seu endereço e, em seguida, faça uma redefinição de senha. A redefinição do administrador será enviada para o seu endereço de e-mail em vez dos hackers - e você poderá bloqueá-los para sempre.

    Doug

  3. 3
  4. 4
  5. 5

    Oi,

    Acabei de receber seu blog enquanto procurava corrigir meu problema de invasão de site. Meu site - http://www.namaskarkolkata.com. de repente hoje de manhã eu notei meu site Palestine Hacker – !! Hackeado por T3eS !! . você pode por favor dar uma olhada - como posso corrigi-lo. Eles mudaram meu nome de usuário e senha de administrador do WordPress e também enquanto estou tentando recuperar através do meu e-mail – ele também desapareceu. Estou me sentindo impotente. Por favor me guie.

    Muito Obrigado,

    Bidyut

    • 6

      Bidyut,

      Na verdade, existe uma maneira fácil de assumir o controle de volta. Utilizando um programa como o phpMyAdmin, que é carregado na maioria dos sites, você pode ir para a tabela wp_users e alterar o endereço de e-mail do administrador de volta para você. Nesse ponto, você pode fazer uma 'senha esquecida' na tela de login e redefinir a senha.

      Doug

      • 7

        Oi Doug – obrigado por esta solução rápida… gostaria de saber sobre isso 2 semanas atrás quando um dos meus sites foi invadido… o suporte de hospedagem era quase inútil e eu tive que descartar todo o site e começar de novo! Graças a você não terei que passar por essa dor novamente no meu último site que foi hackeado. Alguma sugestão para proteção contra hackers? - grato, Dee

      • 9

        Oi Doug – obrigado por esta solução rápida… gostaria de saber sobre isso 2 semanas atrás quando um dos meus sites foi invadido… o suporte de hospedagem era quase inútil e eu tive que descartar todo o site e começar de novo! Graças a você não terei que passar por essa dor novamente no meu último site que foi hackeado. Alguma sugestão para proteção contra hackers? - grato, Dee

  6. 10

    Olá, obrigado pelo seu post. Meu site foi invadido, e até agora tudo o que aconteceu foi que eles adicionaram usuários do WP e postaram três posts no blog. Meu host acha que foi apenas um “bot” violando minha senha do WP, mas estou um pouco preocupado. Eu mudei todas as minhas senhas, adicionei proteção por senha no editor .htaccess, fiz backup dos meus arquivos WP, minhas configurações de tema e meus bancos de dados e coloquei o site em manutenção - Tudo em preparação para reinstalar o WP e meu tema. Ainda assim, isso é algo difícil para um novato. Estou um pouco confuso sobre como reinstalar o WP e meu tema de forma limpa - para que nenhum arquivo antigo permaneça no meu servidor ftp. Também estou confuso sobre revisar meus bancos de dados, olhando todas as minhas tabelas no phpMYadmin- Como eu reconheceria código malicioso? o mais preocupante é que mantenho todos os meus plug-ins e WP atualizados, semanalmente. Obrigado por ajudar a esclarecer tudo isso!

    • 11

      Na maioria das vezes, são arquivos em conteúdo wp que normalmente são hackeados. Seu arquivo wp-config.php tem suas credenciais e sua pasta wp-content tem seu tema e plugins. Eu tentaria baixar uma nova instalação do WordPress e copiar tudo, menos o diretório wp-content. Então você vai querer definir as credenciais no novo arquivo wp-config.php (eu não usaria o antigo). Eu seria muito cauteloso usando o mesmo tema e plugins… se um deles for hackeado, eles podem espalhar o problema para todos eles.

      O código malicioso é normalmente copiado em cada arquivo e usa termos como eval ou base64_decode… eles criptografam o código e usam essas funções para decodificá-lo.

      Uma vez que seu site esteja totalmente atualizado, você também pode instalar um plug-in de verificação que detectará se algum arquivo raiz foi alterado, como: http://wordpress.org/extend/plugins/wp-security-scan/

  7. 12

    Olá Doug! Acho que meu blog foi hackeado. Eu tenho controle sobre isso, mas se eu quiser compartilhar um URL de postagem no LinkedIn, o título exibe comprar z…. (uma droga) e não sei o que fazer ou como consertar. Eu definitivamente me sinto um pouco desconfortável em derrubar meu blog inteiro… é enorme!!! O que acontece se eu instalar o wordpress new em outro diretório e depois adicionar o tema, testá-lo e testar os plugins e depois mover todo o conteúdo e excluir o diretório original? Isso funcionaria? a url do meu blog é hispanic-marketing.com (caso você queira dar uma olhada) muito obrigado!!!

    • 13

      Olá Cláudia,

      Não vejo nenhuma evidência de que seu site tenha sido invadido. Normalmente, quando seu site é invadido, seu tema é comprometido, então reinstalar o WordPress não ajuda em nada.

      Doug

  8. 14

    O WordPress VIP tem esse tipo de suporte, mas é destinado a grandes indústrias. Mas eles também têm um produto chamado VaultPress que não é muito caro e tem suporte. Não existe suporte técnico “WordPress”. Meu conselho seria hospedar seu site no WPEngine – https://martech.zone/wpe – eles têm suporte excelente, backups automatizados, monitoramento de segurança, etc. E são super rápidos! Somos afiliados e nosso site está hospedado neles!

  9. 15

    Ei Douglas, eu gostaria de adicionar à sua lista como #11. Você também precisa reenviar o site nas ferramentas do Google Webmaster para que eles possam rastreá-lo novamente e deixar tudo claro. Isso geralmente leva apenas 24 horas agora, o que é muito mais curto do que antes. Em que levou uma semana para re-rastrear.

O que você acha?

Este site usa o Akismet para reduzir o spam. Saiba como seus dados de comentário são processados.