Limpando seu WordPress com o plugin gratuito da Sucuri

Se seu site foi invadido recentemente e você está tentando limpá-lo por si mesmo, recomendamos que você use o SiteCheck Malware Scanner, o plugin gratuito da Sucuri para WordPress, para ajudá-lo durante a tarefa.

Plugin gratuito da Sucuri

plugin possui uma coleção de ferramentas úteis que podem lhe guiar ao longo do caminho. Os passos descritos aqui não são finais e há algumas variações que requerem mais trabalho, mas por apenas seguir estes passos, você vai chegar longe. Também não iremos confiar em qualquer assinatura específica ou texto de malware, uma vez que podem ser facilmente contornados pelos criminosos espertinhos.

E como sempre, se você precisar de ajuda profissional, o time da Sucuri pode lhe ajudar.

PASSO #1 – ESCANEIE SEU SITE REMOTAMENTE.

Depois de um site ser comprometido, ele provavelmente é usado pelos criminosos para distribuir malware ou SPAM. Isso pode ser facilmente detectado pelo Scanner Remoto da Sucuri, SiteCheck.

Com o plugin instalado, você pode clicar em “Sucuri-Free / Sucuri Scanner e executar o scan remoto de dentro do seu dashboard no WordPress. Se o seu site estiver infectado, você provavelmente verá um aviso, algo similar à imagem abaixo:

Imagem do plugin SiteCheck Malware Scanner da Sucuri

Mesmo que o teste remoto não encontre nada, você pode seguir para os outros testes.

Se ele encontrar um injection, você verá o texto malicioso detectado e um link de referência com mais detalhes. Salve esta informação, pois pode ser útil quando estiver limpando os arquivos manualmente ou buscando no banco de dados.

PASSO #2 – CHECANDO A INTEGRIDADE DOS ARQUIVOS DO CORE DO WORDPRESS.

Os arquivos core do WordPress nunca devem ser modificados e dentro de “Sucuri-Free / WordPress Integrity, você encontrará um lugar para verificar que eles estão realmente limpos.

Se você clicar no primeiro teste chamado “Verify Integrity of WordPress Core Files”, você verá uma lista completa de arquivos que não deveriam estar ali.

Algo assim:

Imagem do plugin verificando a integridade do wordpress

Se arquivos estiverem modificados, recomendamos reinstalar o WordPress manualmente. Você pode fazer isso através da remoção de todos os arquivos principais, junto com os diretórios wp-includes e wp-admin e reenviando-os de uma fonte limpa. Por substituir e reinstalar, você sabe que os arquivos são novos e limpos e não serão mais o problema.

PASSO #3 – CHECANDO OS ÚLTIMOS ARQUIVOS MODIFICADOS.

Se os arquivos core estiverem intactos, ou se você reinstalou o WordPress, ainda há um local onde os criminosos podem esconder seus códigos: wp-content/themes and wp-content/plugins.

Se você voltar para para “Sucuri-Free / WordPress Integrity no admin do WordPress e clicar no segundo teste, chamado “Latest Modified Files”, você poderá ver todos os últimos arquivos modificados. Se você notou que seu site foi invadido, ou inserido em uma blacklist, qualquer arquivo modificado nos últimos 7 dias é potencialmente suspeito. Você ainda pode checar os últimos 30 dias, para ter certeza:

Imagem do plugin verificando os últimos arquivos modificados

Se houver muitos arquivos modificados, você está sem sorte. Nesses casos, recomendamos deletar todos os plugins e temas e reinstalá-los manualmente depois. Com os plugins, não é um grande trabalho, visto que normalmente eles não são customizados. Entretanto, esperamos que você tenha backups de seu tema, especialmente se você o customizou.

Muitas vezes você vai notar que apenas 2 ou 3 arquivos dentro de seu tema ativo foram modificados para servir de SPAM ou malware. Você pode corrigi-los manualmente, removendo o código malicioso. Use os resultados da primeira etapa (scanner remoto) como uma referência para saber o que remover.

PASSO #4 – LISTE TODOS OS USUÁRIOS ADMINISTRATIVOS E SEUS HORÁRIOS DE LOGIN.

Um monte de invasões acontecem devido a senhas roubadas, então recomendamos que você volte para “Sucuri-Free / WordPress Integrity e clique em “Admin List dump”. Isso mostrará todos os usuários administrativos que logaram, seu endereço IP e hora do login.

Você poderá ver se alguém foi capaz de comprometer sua senha de admin e entrar através do wp-admin. Observe que apenas será listado os logons a partir do momento que o plugin foi instalado. Então pode não funcionar 100% se você instalou-o só depois da invasão.

Imagem do plugin verificando os últimos arquivos logins dos admins

E se o seu site está limpo e você está lendo isto apenas para aprender, recomendamos instalar o plugin, mesmo que apenas para usar o recurso “last Login”. Isso ajudará tremendamente se mais tarde você encontrar qualquer problema de segurança no seu site.

PASSO #5 – REDEFINA TODAS AS SENHAS E CHAVES SECRETAS.

Este plugin tem outro recurso muito interessante chamado “Post Hack”. Ele permite que você redefina todas as senhas e as chaves secretas para todos os usuários. É altamente recomendável que você execute isto se você foi invadido:

Imagem do plugin atualizando as chaves de segurança

Executando esta ferramenta, você saberá que qualquer senha roubada não poderá ser usada para reinvadir o seu site e que qualquer sessão ativa será encerrada em todo o site. Observe também os e-mails de cada usuário registrado para ver se algum deles foi modificado. Muitas vezes vemos endereços modificados para um e-mail controlado pelos criminosos. Assim, eles mais tarde podem redefinir as senhas e conseguir o acesso de volta.

PASSO #6 – APLIQUE NOSSAS SUGESTÕES DE FORTALECIMENTO (HARDENING).

plugin tem uma série de sugestões que também recomendamos que você execute. Essas opções podem ser encontradas em “Sucuri Free / 1-click Hardening. O principal seria o hardening da execução do PHP para os Uploads e Wp-content.

Este hardening seria para prevenir que qualquer arquivo PHP malicioso enviado via upload ou existente dentro do diretório wp-content seja diretamente executado.

PASSOS ADICIONAIS PARA PROTEÇÃO.

Claro, estas são apenas algumas sugestões para o seu processo de limpeza. Você deve também procurar em seus arquivos .htaccess e wp-config para checar sinais de invasão. Se o problema for SPAM, você pode olhar em seus posts/páginas/widgets para ver se algum deles foi modificado. Se você tem acesso root em seu servidor, recomendamos verificar a integridade do Apache/NGINX e seus módulos, apenas para descartar qualquer compromisso à nível de servidor.

Por último, sugerimos também que você proteja seu site com um firewall de aplicativo web (WAF). Um forte WAF ajudará a impedir muitos dos ataques populares de penetrar o seu site. Recomendamos que você confira o CloudProxy, Firewall para sites do Sucuri 🙂

Você também pode comparar os serviços WAF da Sucuri com os da CloudFlare.

Este artigo é uma tradução do post Cleaning Up Your WordPress Site with the Free Sucuri Plugin.

GERENCIAMENTO
É NOSSA PRAIA.

ENTRE EM CONTATO
2018-10-14T23:52:28+00:00

veezon

Gerenciamento de servidores. Especialistas em servidores linux com cPanel desde 2009.

Imagem de uma nuvem de serviços na sessão "veezon"

ENTRE EM CONTATO