Site WordPress Hackeado? 10 passos para você voltar aos trilhos

Publicados: 2021-12-20

Quando seu site WordPress é hackeado, um milhão de coisas passam pela sua cabeça. O que os hackers encontraram, mudaram e roubaram? Quem mais está em perigo – seus funcionários, parceiros ou clientes também estão em risco agora? E como os hackers entraram no seu site em primeiro lugar?

Antes que você possa dar os próximos passos, você tem que manter a calma. A verdade é que hacks acontecem, independentemente de quão bem protegido você acredita que seu site está. A boa notícia é que esta é uma ocorrência comum e existem tarefas estabelecidas para começar a resolver imediatamente.

Além disso, às vezes os sites ficam um pouco malucos - isso não significa que você foi hackeado. Um site com mau comportamento, atualização com defeito ou comentário estranho em uma postagem de blog não são sinais infalíveis de que seu site foi invadido. Você vai querer ir mais fundo para ter certeza de que sabe com o que está lidando antes de tentar resolver o problema errado.

Como saber se seu site WordPress foi realmente hackeado

Aqui estão os sinais de que você está lidando com um hack genuíno – espero que você possa dizer “não” a tudo nesta lista. (E se não? Temos muito mais ajuda para você.)

  • Você não consegue fazer login no seu site WordPress.
  • Você notou uma queda severa no tráfego.
  • Existem alterações no site que você não fez.
  • Seu site está redirecionando para um site diferente.
  • Quando alguém tenta acessar o site ou até mesmo procurá-lo no Google, um aviso é exibido.
  • Os logs do servidor mostram atividade incomum.
  • Seu plug-in de segurança ou provedor de hospedagem notificou você de que houve uma violação ou atividade incomum.

Vamos entrar em alguns destes um pouco mais.

Não consigo entrar no site

A razão mais comum pela qual alguém não pode acessar seu site não é um hack - é porque eles esqueceram sua senha (ou pensam que sabem, mas na verdade não sabem). Redefina sua senha para ver se esse é o problema.

Agora, se você não conseguir redefinir sua senha, isso pode apontar para um possível hack. Os hackers geralmente removem um usuário ou alteram sua senha para impedir que acessem o site. Se você não conseguir redefinir sua senha, pode ser porque alguém removeu sua conta de usuário. Nomes de usuário que contêm o seguinte são particularmente fáceis de hackear:

  • Administrador
  • Administrador
  • Raiz
  • Teste

Além disso, se você conseguir redefinir sua senha, mas notar outras bandeiras vermelhas que listamos, você ainda pode ser vítima de um hack, então continue lendo.

Queda no tráfego

Quando um site de alto desempenho deixa de ver um influxo de tráfego sem motivo conhecido, é possível que tenha sido invadido. Tráfego redirecionado, uma experiência de usuário reduzida ou a lista negra do Google no seu site podem fazer com que o tráfego caia.

Alterações de site não reconhecidas

Muitas vezes, os hackers mudam seu site de maneiras grandes e óbvias ou pequenas e difíceis de capturar. Pode ser tão claro quanto a página inicial sendo sobrecarregada por anúncios ou o tema sendo totalmente diferente. Ou pode ser tão difícil encontrar links minúsculos escondidos no rodapé. Também é comum que o conteúdo adicionado seja de natureza ilegal.

Muitas vezes, esse tipo de conteúdo adicionado e inesperado não se encaixa no esquema de design ou leva em consideração a apresentação. Isso significa que pode haver um anúncio preto sobre uma parte preta do site, mantendo muito dele oculto.

Você também pode ver se alguma página foi adicionada ao seu site fazendo uma pesquisa no Google por site:seusite.com (substituindo seusite.com pelo seu URL real). Percorra os resultados para ver se há algo que você não reconheça.

Antes de assumir que este é o trabalho de um hacker, verifique com o resto de sua equipe para descobrir se algum administrador ou editor fez a alteração. Mesmo uma mudança estranha poderia ter sido um acidente completo.

Redirecionamentos de sites para outro lugar

É comum que os hackers adicionem um script ao seu site que redirecione os visitantes para outro lugar, como um site de namoro ou algo desagradável. Você pode não perceber isso sozinho, pois alguns hackers só mostrarão os redirecionamentos para não administradores, então parecerá normal para você. Mas se você estiver recebendo feedback dos visitantes de que eles estão sendo enviados para outro site, preste atenção.

Avisos do navegador ou do Google

Sim, um aviso do navegador que diz que seu site foi comprometido pode indicar que seu WordPress foi hackeado… ou pode significar que há um código em um plugin ou tema que precisa ser removido. Também pode haver um problema de domínio ou SSL, que seu host provavelmente pode ajudá-lo a descobrir. O aviso do navegador pode fornecer algumas informações que você pode usar para começar a solucionar o problema.

Um aviso do Google é semelhante, embora mais direto – provavelmente dirá: “Este site pode ter sido invadido”. Isso pode acontecer quando o sitemap de um site é invadido, o que afeta a forma como o Google rastreia o site. Como com um aviso do navegador, você precisa obter todas as informações fornecidas para começar a diagnosticar o problema.

Se você ainda estiver ouvindo de usuários que seu site está sinalizado, pode ser que eles estejam recebendo um aviso de seu produto antivírus. Mesmo que o Google coloque você na lista de permissões novamente, você terá que seguir as instruções dos produtos antivírus para tirá-lo da lista de sites perigosos.

Atividade incomum nos logs do servidor

Se você está preocupado que tenha sido hackeado, faça login no seu cPanel através do seu provedor de hospedagem. Existem dois tipos de logs a serem observados:

  • Logs de acesso: quem acessou seu site WordPress e através de qual IP.
  • Logs de erros: Erros que ocorreram quando os arquivos do sistema WordPress foram modificados.

Procure por qualquer atividade incomum. Se você encontrar endereços IP que não deveriam ter acesso ao seu site, bloqueie-os.

Entendendo por que e como os sites WordPress são invadidos

Existem várias razões pelas quais o WordPress é hackeado. Os três primeiros são:

  • Senhas inseguras: Cada usuário do seu site, juntamente com suas contas de FTP e hospedagem, precisa de uma senha altamente segura.
  • Software desatualizado: Plugins, temas e sua instalação do WordPress precisam ser atualizados regularmente, sempre que uma nova versão for lançada. Sem atualizações, você deixa vulnerabilidades para os hackers aproveitarem.
  • Código inseguro: plugins e temas WordPress de baixa qualidade podem colocar seu site em risco.

Existem vários métodos inteligentes que os hackers usam, e as técnicas estão melhorando o tempo todo. À medida que os sites ficam mais seguros, os hackers ficam mais inteligentes e criativos. Aqui estão apenas algumas das principais rotas que são tomadas para hackear o WordPress:

  • Backdoors: Um hack de backdoor ignora todas as formas tradicionais de entrar no seu site. O hacker pode encontrar uma maneira de entrar por meio de arquivos ou scripts ocultos.
  • Tentativas de login por força bruta: a automação é usada para descobrir sua senha e entrar em seu site. Quanto mais fraca a senha, mais fácil é decifrar.
  • Cross-Site Scripting (XSS): Esta é uma vulnerabilidade que é frequentemente encontrada em plugins. São injetados scripts que permitem que um hacker envie código malicioso para o navegador do usuário.
  • Negação de Serviço (DoS): Se houver um bug ou erro no código do site, o hacker pode usá-los para sobrecarregar um site até que ele quebre.
  • Redirecionamentos maliciosos: um backdoor é usado para redirecionar seu site.
  • Pharma Hacks: código não autorizado é inserido em uma versão desatualizada do WordPress.

10 passos para recuperar um site WordPress que foi hackeado

Se você foi hackeado, faça o seguinte assim que puder. Tente manter a calma enquanto percorre esta lista – entrar em pânico só tornará mais difícil trabalhar com eficiência e você pode perder etapas importantes ao longo do caminho.

Coloque seu site em modo de manutenção

Se você conseguir acessar seu site e fazer login, coloque-o em modo de manutenção. (Temos um artigo detalhado sobre o modo de manutenção aqui.) Você deseja fazer isso mesmo que não haja nada óbvio que os usuários vejam ao visitar seu site. Enquanto você trabalha nele, o modo de manutenção protege seus dispositivos e informações, além de manter em segredo que você está lidando com um hack.

Encontre seu backup

Você entrará em contato com seu provedor de hospedagem na próxima etapa, mas às vezes, quando um host descobre que você foi invadido, ele exclui o site imediatamente para evitar mais problemas. É por isso que você precisa primeiro de backups do seu site e banco de dados.

Se seus backups estiverem armazenados no mesmo servidor do seu site, eles provavelmente desaparecerão depois que você for invadido. No entanto, considere verificar esses pontos caso você tenha um salvo lá também:

  • Seu plug-in de backup: se você usa um plug-in de backup, provavelmente há um backup armazenado no serviço de nuvem do provedor.
  • Sua conta na nuvem: veja se você salvou manualmente um backup do site em seu serviço de nuvem, como Dropbox ou Google Drive.
  • O provedor de hospedagem: é possível que o provedor de hospedagem que você usa tenha um backup do seu site que você ainda possa acessar.

Entre em contato com seu anfitrião

Dependendo do tipo de pacote de hospedagem que você possui, seu provedor pode tomar as rédeas e lidar com um hack para você. Logo no início, entre em contato com seu host para (a) informá-los que seu site WordPress foi invadido e (b) descobrir que ajuda eles oferecem. Se você não conseguir obter nenhum acesso ao seu site, pode precisar da ajuda do host para chegar a qualquer lugar.

Redefinir senhas do WordPress

Você não saberá qual senha foi hackeada, então é mais seguro alterar todas elas o mais rápido possível. Enquanto estiver nisso, redefina todas e quaisquer senhas associadas ao seu WordPress, como suas senhas de banco de dados, host e SFTP. Além disso, entre em contato com os usuários de nível de administrador imediatamente e peça que alterem suas senhas também. No futuro, tente alterar seu login do WordPress a cada dois meses.

Atualizar tudo

Certifique-se de que sua instalação, plugins e temas do WordPress estejam atualizados. Fazer isso logo no início significa que você pode corrigir uma vulnerabilidade que os hackers passaram inicialmente. Se você esperar muito para fazer esta etapa, poderá ter o problema de consertar seu site apenas para que ele seja invadido novamente pelo mesmo plugin ou tema desatualizado.

WordPress hackeado

Além de atualizar seus plugins e temas, faça o seguinte:

  • Desative e exclua tudo o que você não usa.
  • Você está preocupado que um deles seja de um fornecedor não confiável? Desative-o e exclua-o.
  • Remova e reinstale qualquer um que você acha que pode estar causando problemas. Ou, melhor ainda, remova o plugin ou tema e substitua-o por outra coisa do diretório oficial.
  • Verifique as páginas de suporte para os temas e plugins que você instalou. Pode haver comentários recentes de pessoas que estão tendo o mesmo problema.

Se você deseja excluir plugins do seu SFTP em vez do painel do WordPress, você pode. Certifique-se de excluir todo o diretório do plug-in, não arquivos individuais. Você procurará por wp-content/plugins/[nome do plug-in] e excluirá todo o diretório e tudo nele.

Você pode fazer o mesmo para temas não utilizados acessando wp-content/plugins/[plugin name] . Lembre-se de que, se você estiver usando um tema filho, provavelmente terá dois diretórios para manter para que seu tema permaneça intacto.

Remover contas de administrador desnecessárias

Verifique todas as contas de administrador do site e livre-se de qualquer uma que você não reconheça ou que não seja mais relevante. Para aqueles que ainda precisam de acesso ao seu site, mas não são administradores, altere o nível de acesso. Além disso, é uma boa ideia verificar com os administradores se eles alteraram os detalhes da conta antes de excluir uma conta que seja realmente legítima.

WordPress hackeado

Remover arquivos que não deveriam estar lá

Você provavelmente precisará de um plug-in de segurança para esta etapa. A execução de uma verificação do site deve alertá-lo sobre arquivos que estão lá, mas não deveriam estar. Reunimos os seis melhores plugins de segurança do WordPress para o seu site.

Limpe e reenvie seu mapa do site

Se o seu sitemap foi invadido, ele pode conter links maliciosos ou caracteres estranhos. Seu plugin de SEO deve permitir que você regenere um sitemap novo e limpo. Você terá que enviar isso para o Google por meio do Google Search Console. Informe ao Google que seu site precisa ser rastreado novamente.

Isso pode levar até duas semanas, portanto, saiba que o aviso de pesquisa pode não ser apagado até lá. Para verificar se seu site está em situação regular, acesse este URL: http://www.google.com/safebrowsing/diagnostic?site=http://yourwebsite.com/

Reinstale o núcleo do WordPress

Quando nada mais parece funcionar, a única maneira de reparar seu site quando o WordPress foi invadido é reinstalá-lo completamente. Você pode fazer isso através do painel de administração ou através do seu gerenciador de arquivos. Explicamos como fazer isso em nosso artigo sobre como corrigir o erro 500 Internal Server Error no seu site WordPress.

Limpe o banco de dados

Por fim, limpe seu banco de dados. Seu plug-in de segurança deve ser capaz de informar se o banco de dados foi comprometido e também pode limpá-lo e otimizá-lo.

Como evitar ser hackeado no futuro

Sabemos que você nunca mais vai querer passar por isso. Aqui está o que você pode fazer para evitar que seu site WordPress seja invadido no futuro.

Definir senhas seguras e autenticação de dois fatores

Se você ainda não fez isso - ou se fez, mas correu porque estava em pânico - certifique-se de que todas as senhas do seu site sejam fortes. Em seguida, adicione autenticação de dois fatores ao seu site, o que tornará mais difícil para um hacker criar uma conta falsa.

Use um plug-in ou serviço de segurança

Já mencionamos isso tantas vezes que você já deve saber que precisa de um plug-in de segurança para o seu site. O maior benefício desse tipo de plug-in é que ele o alertará se houver um problema, para que você possa tomar medidas preventivas antes que ele saia do controle.

WordPress hackeado

Precisa de ainda mais proteção? Existem serviços de segurança que irão monitorar seu site para você e corrigir quaisquer problemas que surgirem. E se você for invadido novamente no futuro, eles cuidarão de todas as etapas de solução de problemas para você.

Mantenha seu site atualizado

Tudo no seu site deve estar atualizado, desde a versão do WordPress até os plugins e temas que você instalou. As atualizações geralmente têm patches de segurança, portanto, deixá-los desatualizados significa que os hackers podem facilmente encontrar o caminho. Se você não estiver em seu site regularmente para realizar manutenção, use um atualizador automático para lidar com isso para você.

Use SSL em seu site

O SSL é padrão na maioria dos pacotes de hospedagem e adiciona outra camada de segurança ao seu site. Verifique com seu host se o SSL está incluído. Caso contrário, você pode instalar um plug-in SSL dedicado ou verificar se o plug-in de segurança o inclui.

Use um firewall

Um firewall atua como um segurança entre seu site e o resto do mundo, bloqueando qualquer coisa perigosa antes que ela tenha a chance de causar um problema. Você pode usar um plug-in ou serviço de segurança, mas primeiro verifique com seu host para ver que tipo de proteção de firewall você já possui.

Cuidado com o que você instala

Instale apenas plugins e temas que venham de fontes confiáveis ​​– o diretório oficial do WordPress é sua melhor aposta. E mesmo assim, certifique-se de que o que você está escolhendo foi testado com sua versão do WordPress. Evite plugins e temas de sites de terceiros. Se você precisar obter um de outro lugar que não seja o diretório do WordPress, pesquise para descobrir se o fornecedor tem uma boa reputação.

Limpe sua instalação do WordPress

Qualquer coisa que esteja por perto e que você não precise em nenhum lugar deve ser excluída, incluindo:

  • Arquivos que você não usa mais
  • Plugins que estão inativos ou ativos, mas não utilizados
  • Temas inativos que você não usará novamente
  • Instalações antigas do WordPress
  • Bancos de dados não usados

Instalações antigas do WordPress são especialmente vulneráveis. Muitas vezes, seus backups são mantidos em um subdiretório do seu site. Portanto, embora seu site principal possa ser seguro, um hacker pode entrar por meio dessas instalações antigas.

Tente seguir essa rotina de limpeza regularmente, como a cada três meses, para manter seu site mais protegido contra invasões.

Empacotando

Quando seu site WordPress é invadido, seu site geralmente não está disponível para seus visitantes, o que pode afetar tudo, desde a reputação da sua marca até sua receita. Agir de forma rápida e inteligente é necessário para que seu site volte a funcionar. Então, a próxima questão mais urgente é como manter seu site saudável e livre de hacks.

Felizmente, muitas das sugestões de manutenção que abordamos são óbvias. Você provavelmente já sabe que senhas mais fortes e plugins atualizados significam um site mais saudável, apenas para citar algumas práticas recomendadas. Seguindo os conselhos deste artigo, você tem mais chances de consertar seu site WordPress depois de ter sido invadido e evitar a mesma dor de cabeça no futuro.

Confira nosso artigo sobre como realizar uma auditoria de segurança do WordPress.