Hackeado: o que fazer quando seu site WordPress foi comprometido

Começa com uma sensação de que algo está errado com o seu site WordPress. Talvez seu plug-in de segurança tenha alertado você sobre um arquivo alterado que você sabe que não tocou. Ou você vê algum conteúdo desconhecido em sua listagem de postagem.

Seja qual for o indicador, ele leva a uma conclusão: seu site foi invadido. O que fazer agora?

Embora seja perfeitamente normal sentir medo e/ou frustração, não é hora de entrar em pânico. Em vez disso, é hora de entrar em ação! Como um super-herói, mas suas armas de escolha são um scanner de segurança e um cliente FTP.

Ainda assim, você tem a capacidade de salvar o dia. Basta seguir nosso guia para lidar com um site WordPress hackeado.

Use seus backups

Gerenciar um site – seja ele executado no WordPress ou não – significa estar preparado para agir a qualquer momento quando algo der errado. Como você faz isso? Mantendo backups regulares de todo o seu site – incluindo banco de dados e arquivos.

A restauração de versões limpas de seus arquivos e dados fará com que seu site volte rapidamente a um bom lugar. Se você não tiver um backup para recorrer, a recuperação de um hack pode ser ainda mais difícil.

Sem um backup, bem, é uma questão de passar por sua instalação com um pente fino. Você precisará procurar por código potencialmente malicioso, removê-lo e esperar que tenha pego tudo.

Pode haver uma graça salvadora: seu host pode ter um backup limpo para ajudá-lo. No entanto, ainda é melhor resolver o problema com suas próprias mãos. Confiar nos outros para salvá-lo de uma situação difícil não é uma estratégia sustentável.

Alterar senhas e chaves salt

Dependendo da vulnerabilidade que um invasor usou para invadir seu site, eles podem muito bem ter acesso de administrador. Portanto, é melhor alterar as senhas de cada conta de administrador. Se você tiver contas não utilizadas por aí, considere excluí-las.

Além disso, a senha do banco de dados do site também deve ser alterada. Isso pode ajudar a evitar qualquer ataque de injeção de MySQL que possa estar acontecendo.

Por fim, também é recomendada uma mudança rápida de suas chaves salt do WordPress. Isso expulsará todos os usuários logados que possam estar bisbilhotando.

Procure por dicas de arquivos alterados

Se o seu site foi comprometido, não basta simplesmente restaurar um backup. Também é importante tentar descobrir exatamente o que aconteceu. Os arquivos de backup podem estar limpos, mas ainda podem conter falhas de segurança que levarão a outro hack.

Portanto, é uma boa ideia baixar uma cópia do seu site invadido antes de restaurar esse backup. Ou, se o backup do seu site for feito diariamente, você poderá simplesmente pegar a cópia mais recente se suspeitar que ela também tem a mesma aflição.

Você também pode executá-lo através de um scanner de segurança, como a ferramenta gratuita SiteCheck da Sucuri. Isso pode levar você diretamente a um problema de segurança específico que causou o hack.

Depois de ter uma cópia do seu site infectado, é hora de vasculhar e procurar pistas. Aqui estão alguns itens que vale a pena conferir:

Verifique o WordPress Core, Plugins e Temas

Uma coisa a ter em mente é que o código malicioso pode ser injetado em qualquer área do seu site WordPress. Isso pode ser um arquivo principal, um plugin ou tema. Mesmo itens inativos poderiam ter fornecido uma porta dos fundos.

Também vale a pena verificar as permissões de arquivo do seu servidor para garantir que estejam de acordo com o que o WordPress recomenda.

Veja as datas modificadas

Um sinal revelador de um arquivo infectado é uma data de modificação suspeita. Por exemplo, se você não mudou o modelo de um tema em meses – e a data da modificação foi na semana passada – isso pode ser um sinal de jogo sujo.

Isso pode ser um pouco mais difícil de detectar em plugins, pois eles tendem a ser atualizados com mais frequência. Mas se algo não parecer certo, confira o changelog do plugin. Isso pode dizer quando foi a última atualização. Mesmo que você não tenha atualizado no momento em que a nova versão foi lançada, você terá pelo menos um intervalo de tempo para procurar.

Abrir arquivos suspeitos (com cuidado)

Se você encontrou alguns arquivos com aparência suspeita, convém abri-los e inspecionar seu código. Antes de fazer isso, pode ser uma boa ideia executá-los através de um scanner de malware – apenas por segurança.

O código malicioso parece se destacar como um polegar dolorido, mas o teste do globo ocular por si só pode não ser suficiente para ter certeza. Nesse caso, você pode pegar outra cópia do arquivo – uma que é sabidamente limpa – e comparar. Se você notar alguma diferença, saberá que algo está acontecendo.

Pesquise na internet

Os fóruns de suporte do WordPress.org podem ser um ótimo lugar para coletar informações. Se você suspeitar de um plugin específico ou mesmo do núcleo do WordPress, é provável que outros usuários tenham experimentado algo semelhante. Você pode simplesmente descobrir que não está sozinho em seu sofrimento.

Além disso, o banco de dados de vulnerabilidades WPScan oferece uma lista completa de informações de segurança de núcleo, plugin e tema. É um ótimo lugar para procurar problemas conhecidos.

Entre em contato com seu host

Não há garantia de que seu host poderia ter evitado um hack específico. Mas mesmo assim, vale a pena entrar em contato com eles nessas situações. Isto é especialmente verdade se você não tiver certeza do culpado. E é simplesmente uma boa prática se você estiver em uma conta de hospedagem compartilhada, pois isso pode afetar outros usuários (ou outros sites que você está hospedando).

Se você não conseguir identificar uma vulnerabilidade específica que levou ao hack, seu host pode ser um ótimo recurso. Eles podem ter visto outros clientes com problemas semelhantes ou podem desencadear uma bandeira vermelha que leva à correção de uma falha de segurança.

Além disso, alguns hosts também oferecem verificações de segurança e limpeza de malware. Embora eles provavelmente custem um pouco de dinheiro, isso pode ajudá-lo a eliminar um problema recorrente. Apenas certifique-se de perguntar sobre quaisquer garantias e descobrir o que está coberto antes de fazer o investimento.

Tome nota das lições aprendidas

Quando tudo estiver dito e feito, há uma boa chance de você ter aprendido uma coisa ou duas sobre a segurança do WordPress. Isso é uma boa notícia, porque você pode aplicar esse novo conhecimento para manter seu site seguro.

Por exemplo, a recuperação de um site invadido pode levar ao uso de senhas mais fortes ou à atualização de software com mais frequência. Você pode até implementar medidas como autenticação de dois fatores. Também pode torná-lo ciente das configurações do servidor que podem tornar mais difícil para um agente mal-intencionado causar danos.

O objetivo é fortalecer a segurança até o ponto em que você possa pelo menos afastar os tipos mais comuns de ataques. Além disso, trata-se de permanecer vigilante e nunca subestimar a segurança.