A cada dia que passa, hackers encontram novas maneiras de entrar em sistemas, sites e aplicações, de modo a roubar dados e implantar códigos maliciosos. Algumas vezes, as pessoas até mesmo têm o WordPress hackeado e não percebem. Por causa disso, escrevemos quais os sinais de que alguma coisa está errada com a sua instalação e o que deve ser feito para corrigi-la.
Antes de entrarmos no assunto, pedimos apenas que siga cada um dos passos indicados nesse artigo. Cada um deles foi pensado em proteger, ainda mais, o seu WordPress, garantindo camadas extras de segurança, para que seus dados e dos usuários da sua página permaneçam seguros.
Com isso, temos certeza de que as brechas de segurança serão tapadas e que conseguirá recuperar, por completo, o controle do seu site. Claro, desde que se atente às sugestões desse conteúdo.
O WordPress é mesmo seguro?
Da forma que começamos esse artigo, pode ser que tenhamos passado a ideia de que o WordPress é inseguro. Pelo contrário, a aplicação, por ser de código aberto, é extremamente segura e revisada por centenas de outros programadores envolvidos no processo de atualização do CMS.
O problema ocorre com o uso de diversos plugins ou temas, que podem conter falhas de segurança, agrupados com as más práticas de proteção de dados que, infelizmente, muitos usuários e proprietários de sites insistem em manter.
Algumas dessas práticas, por exemplo, são a instalação de temas e plugins piratas, utilização de senhas fracas e a falta de estruturação dos usuários internos do painel do WordPress, fazendo com que oportunidades de erros ocorram.
O objetivo das próximas linhas é justamente te mostrar os sinais que um WordPress hackeado dá e como retomar o controle através das práticas corretas de segurança.
Sinais de que sua instalação do WordPress foi hackeada
1. Queda no número de visitas
Nem sempre uma queda abrupta no número de visitas significa que uma instalação do WordPress foi invadida. Afinal de contas, os próprios buscadores trabalham com atualizações constantes para privilegiar o conteúdo que consideram melhor, nos termos do próprio motor de busca, claro.
Entretanto, devido ao fato dos buscadores valorizarem uma ótima experiência de usuário, se for notada alguma invasão ou conteúdo malicioso, o Google tende a diminuir o alcance da sua página e fazer com que menos pessoas acessem seu conteúdo.
Se tiver quaisquer dúvidas relacionadas ao seu site estar sendo punido ou não devido ao conteúdo, utilize o Google Safe Browsing Site Status, uma página que avalia se o seu conteúdo foi punido ou não nas buscas.
O resultado é em inglês, mas, de forma geral, desde que não sejam mostrados sinais amarelos ou vermelhos, se pode ficar tranquilo.
Além do mais, mesmo que não haja uma punição direta dos buscadores no momento, a queda no tráfego pode ter ocorrido pelo redirecionamento das páginas para conteúdos relacionados à SPAM, algo comum em sites invadidos. Com isso, entramos no segundo sinal que um WordPress hackeado dá quando foi invadido: os redirecionamentos.
2. Redirecionamentos não autorizados
Considerado o maior sinal de WordPress hackeado, os redirecionamentos não autorizados são uma dor de cabeça para proprietários de sites. Porque, quando acontecem, é difícil saber qual plugin, tema ou código malicioso está gerando esse problema.
O pior é quando esses redirecionamentos ignoram o usuário logado e muitas vezes o próprio administrador do site não percebe. Por causa disso, uma prática comum e recomendada é a de abrir o seu site na guia anônima, vez ou outra, para visualizá-lo como usuário comum.
Caso esses redirecionamentos estejam acontecendo na sua instalação, além do uso de um plugin de segurança, o recomendado é a exclusão de temas e plugins não utilizados. Além também da desativação de todos os plugins temporariamente, para saber se é um deles que está gerando a mudança de página sem autorização do usuário.
3. Links automáticos em determinados termos do seu site
Alguns vírus para WordPress não alteram em nada o comportamento do site para não apresentarem suspeitas. Porém, ao mesmo tempo, inserem links de forma “disfarçada” para termos específicos sem que o proprietário se dê conta.
Por exemplo, digamos que escreveu um artigo completo e em determinado trecho do conteúdo não inseriu nenhum link diferente. A fins de exemplo, vamos utilizar esse trecho do Melhores Hospedagem, um site que lista um ranking com os planos de hospedagens mais baratos e poderosos do mercado.
A imagem acima mostra um trecho normal do artigo, sem nenhum link utilizado. Apenas o uso de negrito em algumas palavras.
Se esse site tivesse sido invadido, um dos sinais seria a inserção automática de links em palavras-chave específicas, ficando dessa forma:
Embora esse tipo de ataque seja mais comum em inglês, pelo fato das palavras-chave serem mais comuns nesse idioma, é necessário atentar para os links indicados na internet. Muitas vezes, nem mesmo o autor do post sabe que estão sendo compartilhados.
4. Impedimento de login no WordPress
Se conseguia acessar a área administrativa do WordPress normalmente e depois não conseguiu mais, esse pode ser um sinal claro de que seu site foi hackeado. Felizmente, há como recuperar o acesso, mesmo nesses casos.
Já escrevemos um material completo mostrando 7 maneiras diferentes de recuperar a senha do WordPress. Vale a pena dar uma olhada, se estiver nessa situação.
5. Contas de usuárias suspeitas
Embora seja um costume bem mais gringo do que brasileiro, alguns sites WordPress permitem o cadastro de usuários, seja para visualização de conteúdos exclusivos ou para outras funcionalidades.
Como é possível ver todos os usuários cadastrados na tela de administração do WordPress, procure por usuários “suspeitos”. Ou seja, que possuem e-mails esquisitos ou nomes de usuários não convencionais.
Claro que não é possível saber exatamente o que é suspeito, quando se trata do cadastro livre em alguns blogs e sites. Mas recomendamos a análise desses usuários, de forma a ver se algo estranho é encontrado.
Caso seu site possua essa disponibilidade de cadastro e não esteja utilizando mais, o desative. É melhor, para evitar possíveis invasões futuras.
6. Tema quebrado
Chamamos de “tema quebrado” quando a visualização do seu site é comprometida com elementos estranhos ou invasivos, de forma a prejudicar a visualização normal do seu conteúdo. Quando isso acontece, não significa necessariamente que teve seu WordPress hackeado. Pode ser também um erro de atualização de tema ou incompatibilidade com plugins.
Entretanto, é essencial estar atento a esses detalhes, principalmente se estiverem vinculados a outros comportamentos estranhos.
7. Erros no front-end
Alguns vírus causam erro no PHP, que é a linguagem de programação utilizada pelo WordPress. Por isso, se ao acessar o seu site, você se deparar com mensagens e avisos direto no navegador, pode ser que se trate da ação de um código malicioso.
No entanto, é possível que essas mensagens tenham se originado por algum erro relacionado a hospedagem também ou por incompatibilidade de plugins. Nesses casos, o suporte saberá te ajudar de maneira direta.
Por que os sites WordPress são hackeados?
Existem centenas de motivos diferentes, desde roubo de dados até mesmo redirecionamento de tráfego para produtos falsos. A seguir, mostraremos as principais brechas de segurança deixadas por proprietários de sites.
Senhas fracas
Por incrível que pareça, as senhas mais usadas no mundo são “senha” (ou o equivalente a cada idioma) e “123456”. Logo, imagine a quantidade massiva de sistemas a serem invadidos se um software puder testá-las em diferentes campos de login.
Se tratando do WordPress, ele não possui uma segurança nativa para ataques em massa. Portanto, se determinado hacker executar um software de teste de senhas, ao possuir uma senha fraca, se consegue acessar facilmente qualquer site, a depender apenas da quantidade de tempo disponível para quebrá-la.
WordPress desatualizado
O WordPress, como já foi dito, é seguro. Entretanto, novas maneiras de hacking são criadas e o próprio CMS se protege disso com atualizações. Ao manter sua instalação desatualizada, as chances de uma falha de segurança existir aumentam consideravelmente.
Plugins e temas desatualizados
Da mesma forma que a instalação do WordPress precisa ser atualizada, o mesmo funciona para plugins e temas. Como eles são códigos executáveis nativamente, qualquer brecha de segurança neles afeta o site como um todo.
Backdoors (porta dos fundos)
Esse método de invasão, através de scripts ou ficheiros inseridos de forma maliciosa, contorna o acesso comum ao site, permitindo o login, mesmo sem usuário e senha. Uma vulnerabilidade conhecida por possibilitar esse problema foi o que ocorreu com o plugin Essential Addons for Elementor, presente em mais de um milhão de instalações.
O que fazer se teve o WordPress hackeado
Não existe um conjunto de passos estruturados para cumprir após ter seu WordPres hackeado, porque dependendo de como isso foi feito, as formas de recuperar são diferentes. Entretanto, sugerimos alguns passos básicos que podem te ajudar.
1. Fique calmo
Embora seja preocupante, é possível recuperar seu site e retomar o controle sobre ele. Se está muito preocupado no momento, coloque o site em modo de manutenção, através de plugins como o WP Maintenance Mode & Coming Soon, CMP – Coming Soon & Maintenance Plugin by NiteoThemes ou Maintenance; e tome um tempo para “recuperar o fôlego” até precisar fazer algo.
2. Recupere o acesso ao seu site (se tiver perdido)
Já indicamos a leitura do post 7 maneiras diferentes de recuperar a senha do WordPress. Ele pode te dar uma luz de como reaver o controle da sua instalação. Lembrando que, dependendo da situação, se não conseguir recuperar acesso, é sempre possível solicitar que o suporte da hospedagem faça isso. Como eles possuem acesso a todos os arquivos, a equipe especializada conseguirá reinstalar, se necessário, com a conta de administrador recuperada.
3. Remova o plugin ou tema com falhas de segurança
Se já tem uma ideia de que plugin ou tema provocou o WordPress hackeado, o remova imediatamente. Caso não saiba que conjunto de códigos fez isso, se faça as seguintes perguntas:
- Eu instalei algum plugin ou tema nulled? (plugins e temas piratas).
- A invasão ocorreu depois da mudança do tema?
- A invasão ocorreu depois da instalação de algum plugin?
4. Altere todas as senhas de todos os usuários
Se o que causou a invasão foi um vazamento de senha, o ideal é alterar a palavra passe de todos os usuários. Dessa forma, se garante que tal brecha de segurança seja fechada. Entretanto, altere para uma senha realmente segura. Sites como o LastPass - Password Generator te ajudam diretamente com esse objetivo.
Além das senhas do usuário do WordPress, dependendo do tamanho da invasão, é interessante trocar as senhas da hospedagem, FTP e e-mails.
5. Atualize tudo o que for possível
Atualize a sua versão do WordPress, todos os plugins utilizados e os temas disponíveis. Com isso, se impede que falhas de segurança anteriores afetem a versão atual da sua instalação. Embora muitos desativem esse recurso, o ideal é manter as atualizações automáticas.
6. Instale plugins de segurança
Uma vez que seu site esteja de volta ao normal, é importante protegê-lo ainda mais, para que hacks futuros não ocorram. Uma boa forma de fazer isso é instalando plugins como o Wordfence Security - Firewall & Malware Scan. Ele te dá uma série de ferramentas para lidar com as falhas de segurança mais comuns, garantindo que sua instalação permaneça segura.
Além do Wordfence padrão, há outro plugin também desenvolvido pela mesma empresa com foco na segurança de login do usuário do WordPress. É o Wordfence Login Security
Outra ferramenta interessante a ser utilizada no site é a Sucuri, empresa internacionalmente reconhecida e de muito renome se tratando de segurança digital.
Felizmente, visando a defesa de seus usuários, algumas hospedagens possuem firewalls próprios para impedir o acesso aos arquivos de seus clientes, ignorando tráfego malicioso.
7. Reinstale sua instalação do WordPress (em último caso)
Se depois de todas essas alterações ainda notar um comportamento incomum no seu site, reinstale o WordPress. Para fazer isso, é necessário seguir alguns passos simples:
- Baixe o WordPress no diretório oficial.
- Envie via FTP ou gerenciador de arquivos todas as pastas e arquivos do WordPress, com exceção da wp-contents e wp-config.php. Caso queira saber mais sobre a estrutura de arquivos usada no CMS, já escrevemos sobre.
- Autorize a sobrescrita desses arquivos.
- Acesse seu WordPress novamente.
Lembrando que, para fugir desse passo a passo mais técnico, muitas hospedagens permitem a reinstalação do WordPress via painel de controle ou suporte. Acionar a equipe responsável pode ser melhor do que fazer isso por conta própria.
A melhor coisa a ser feita para recuperar um WordPress hackeado
Sem sombra de dúvidas, a melhor coisa a se fazer, se tratando de recuperar um WordPress hackeado é ter backup de versões antigas da sua instalação. Recomendamos, um backup por semana para blogs e cópias de segurança mais frequentes para e-commerces.
Para realizar backups, leia os conteúdos: Como colocar o Backup do WordPress no Google Drive em modo automático e Backups no WordPress - Guia completo.
Dessa forma, qualquer problema que aconteça, seja envolvendo o WordPress hackeado ou não, é facilmente recuperável, desde que se tenha uma cópia de segurança.
Conclusão - WordPress hackeado
Nesse artigo entramos em detalhes sobre o que fazer quando tiver o WordPress hackeado, bem como os fatores que contribuem com isso. Todo esse conteúdo é importante para evitar que anos de trabalho sejam perdidos devido a ação de algum código malicioso ou hacker.
Falamos também da importância da utilização de cópias de segurança para recuperar facilmente seu site caso algo ruim aconteça, desde problemas mais simples, até complexos.
Caso tenha alguma dúvida, por favor, fale com a gente nos comentários. Estamos sempre dispostos a responder suas mensagens o quanto antes.
Um forte abraço e até o próximo conteúdo.