X

Como reparar um site WordPress invadido e evitar futuras invasões

how to repair a hacked website

Você está procurando uma maneira rápida e eficaz de limpar um site invadido?

Quando seu site é invadido, as consequências podem ser devastadoras. Os hackers podem redirecionar seu tráfego, fraudar visitantes, roubar dados confidenciais, e a lista continua.

O que é realmente preocupante é que, depois que os hackers invadem o site, eles usam todos os tipos de táticas para garantir que possam acessar o site, mesmo depois de limpo.

Neste tutorial, mostraremos a maneira mais eficaz de reparar um site WordPress invadido para que ele volte ao normal em pouco tempo. Além disso, mostraremos como fechar todos os pontos de entrada para que você possa ter certeza de que seu site estará protegido no futuro.

Sabemos que você pode estar com pressa para ir direto à solução, portanto, aqui está um índice que você pode usar para pular para a seção que mais lhe interessa:

Como garantir que seu site seja hackeado

Antes de começar a limpar seu site, é melhor ter certeza de que seu site foi realmente invadido. Às vezes, você pode perceber que seu site está ficando lento e chegar à conclusão de que foi hackeado, quando pode ser outro problema.

Portanto, primeiro, você pode ficar atento a esses sinais e sintomas comuns de um ataque ao seu site:

  • Não é possível fazer login no painel de administração ou ele diz que seu nome de usuário não existe
  • Seu site está exibindo anúncios ou popups de produtos ilegais e falsos
  • Sua classificação está sendo feita para palavras-chave aleatórias que parecem ser spam
  • Há um declínio repentino no tráfego, pois os hackers estão redirecionando o tráfego, embora isso também possa significar que você foi penalizado por uma atualização do algoritmo do Google
  • Seu site ficou subitamente mais lento em termos de desempenho
  • O Google está alertando os visitantes de que seu site é enganoso ou mal-intencionado
  • Seu host da Web suspendeu sua conta porque detectou malware

Como você pode ver, há muitos sinais de que seu site foi invadido e você pode descobrir com certeza usando um scanner de segurança.

Você pode executar uma verificação de malware agora mesmo usando nosso scanner gratuito de malware desenvolvido pela Sucuri.

Sucuri sitecheck

Tudo o que você precisa fazer é inserir o URL do seu site e o scanner o examinará. Se detectar algum malware, ele lhe fornecerá um relatório como este:

Sitecheck redirect

Se você receber um relatório limpo e ainda suspeitar que seu site foi invadido, recomendamos o uso de um scanner no lado do servidor.

Os scanners da Web são muito bons na detecção rápida de malware, mas são limitados, pois não têm acesso completo ao seu site. Eles só podem informar o que está acontecendo do lado de fora. Isso significa que eles podem mostrar que seu site está limpo quando a infecção está oculta em uma pasta do seu site.

Com um scanner do lado do servidor, você precisará instalá-lo em seu site e ele fará a varredura dos arquivos, pastas e banco de dados do site WordPress por dentro.

Se houver alguma atividade suspeita ou malware, o scanner o alertará imediatamente.

Em seguida, mostraremos como instalar uma solução de segurança que vem com um scanner no lado do servidor e limpezas de malware para corrigir seu site invadido.

Como reparar de forma eficaz um site invadido

Para verificar e limpar adequadamente um site invadido, recomendamos a Sucuri.

Sucuri

A Sucuri é a melhor solução de segurança para sites WordPress. Ele vem com um scanner no lado do servidor que verifica e monitora automaticamente seu site em intervalos regulares.

Se detectar algo suspeito, ele lhe enviará uma notificação instantânea. Além disso, veja por que recomendamos tanto a Sucuri:

  • Monitora regularmente a existência de spam e códigos maliciosos
  • Verifica a existência de listas negras nos mecanismos de pesquisa e em outras autoridades
  • Monitora o tempo de atividade do site
  • Detecta alterações feitas no DNS (sistema de nomes de domínio) e no SSL
  • Alertas instantâneos por e-mail, SMS, Slack e RSS
  • Verifica se há backdoors ocultos criados por hackers que lhes permitirão acesso mesmo depois que você limpar a infecção por malware

O scanner do lado do servidor da Sucuri está disponível na versão profissional, que custa a partir de US$ 199,99 por ano. Isso lhe dá acesso a uma configuração de segurança abrangente para o seu site. Você terá acesso à remoção ilimitada de malware, caso seu site seja invadido, e a um firewall sólido para evitar ataques futuros.

Se você quiser explorar alternativas, consulte nossa lista dos 9 melhores plug-ins de segurança do WordPress comparados.

Agora, mostraremos a você como usar a Sucuri para verificar, limpar e proteger seu site.

Etapa 1: Executar uma varredura completa do site

A primeira coisa que você precisa fazer é se inscrever em um plano com a Sucuri.

Em seguida, faça login na sua conta e adicione seu site ao painel.

Add site in Sucuri

Agora você precisará inserir suas credenciais de FTP para conceder à Sucuri acesso ao seu site. Se não souber suas credenciais de FTP, você pode entrar em contato com o suporte do seu host da Web e simplesmente solicitá-las.

Connect site to Sucuri

Depois que você adicionar seu site com êxito ao painel, a Sucuri executará automaticamente o scanner. Ele examinará todos os arquivos e o banco de dados do WordPress para verificar se há malware ou atividade de hackers.

Quando a verificação for concluída, ele criará um relatório que mostrará se o seu site foi hackeado ou está limpo.

Sucuri dashboard site infected

Ao lado da mensagem de aviso, você pode clicar no botão Details (Detalhes ).

Isso abrirá uma página na qual você poderá ler o relatório completo.

Clean up site with Sucuri

Você verá os seguintes detalhes:

  • Avisos de segurança com nível de risco
  • Listas negras de mecanismos de pesquisa
  • Monitoramento do tempo de atividade
  • Alterações recentes no DNS e no SSL

Agora que você tem certeza de que tem um site WordPress hackeado, mostraremos como é fácil limpá-lo com a Sucuri.

Etapa 2: Solicite uma limpeza de malware

Para remover o malware do seu site, na mesma página de relatório dentro do painel da Sucuri, você verá uma opção para “Limpar meu site”.

Clean up site with Sucuri

Isso o levará a uma nova página na qual você poderá solicitar uma limpeza de malware.

Malware removal request in Sucuri

Quando você clicar nesse botão, a Sucuri fornecerá um formulário no qual você poderá inserir os detalhes do seu site.

Malware removal request form in Sucuri

Caso você não saiba esses detalhes, pergunte ao seu host da Web e ele fornecerá.

Depois que você enviar esse formulário, a Sucuri cuidará do resto. Uma equipe de segurança será designada para o seu site e limpará todos os arquivos e bancos de dados infectados. Eles garantirão que seu site esteja completamente livre de malware e backdoors.

Se você comprou o plano Business, a Sucuri fará com que seu site volte ao normal em 6 horas. Para outros planos, isso depende muito da complexidade da infecção do seu site e do volume de solicitações na fila.

Etapa 3: Remover listas negras de sites nos mecanismos de pesquisa

Quando seu site estiver limpo, você precisará informar os mecanismos de pesquisa para que eles possam analisá-lo e remover seu site das listas negras.

Isso também removerá os avisos em seu site, para que os visitantes não fiquem mais alarmados com o fato de seu site estar infectado.

google-blacklist

A Sucuri permite que você inicie o processo de lista branca em seu painel. Você pode solicitar avaliações em todos os mecanismos de pesquisa.

Sucuri request whitelist

Dito isso, também mostraremos como solicitar a remoção de uma lista negra no Google. Você precisará ter uma conta do Google Search Console já configurada.

Se não tiver, você pode se inscrever agora na Central de pesquisa do Google. Para obter mais ajuda sobre isso, use nosso guia para Enviar seu site para os mecanismos de pesquisa.

Depois de fazer login no painel do Google Search Console, acesse a guia Security Issues (Problemas de segurança ) no menu à esquerda.

Google blacklist request review gsc

Você verá um botão “Solicitar revisão”. Quando você clicar nele, o Google solicitará detalhes sobre o seu site e as medidas que você tomou para limpá-lo.

Você pode dizer a eles que usou a Sucuri para verificar e limpar seu site. Você pode executar uma nova varredura e tirar uma captura de tela do painel da Sucuri para mostrar a eles que seu site está limpo.

Sugerimos que você forneça ao Google o máximo de detalhes possível para mostrar que você protegeu seu site e tomou medidas para evitar futuros hacks.

Se o Google considerar que suas medidas de segurança não são suficientes, pode ser ainda mais difícil fazer com que seu site seja incluído na lista de permissões.

Após o envio da solicitação, pode levar alguns dias para que eles verifiquem se o site está limpo e o coloquem novamente nas páginas de resultados de pesquisa.

Agora você aprendeu a verificar e limpar seu site e a remover listas negras. Em seguida, há algumas medidas que você precisa tomar imediatamente após uma invasão.

Etapas a serem seguidas após a recuperação de um hack do WordPress

Logo após uma invasão, você deve se certificar de que os dados roubados pelo hacker, como o nome de usuário e a senha do WordPress, não possam ser usados novamente. Veja abaixo as medidas que você precisa tomar assim que limpar seu site WordPress:

  1. Redefina suas credenciais: Altere o nome de usuário e a senha do wp-admin e certifique-se de usar senhas fortes que sejam difíceis de decifrar. Além disso, certifique-se de que todas as contas de usuário que têm acesso ao seu site redefinam suas credenciais. Você pode forçar uma redefinição usando um plug-in como Expire User Passwords.
  2. Altere suas Salts e Secret Keys: Essas chaves são códigos criptografados que protegem suas informações de login. Se os hackers tiverem roubado essas informações, eles poderão invadir seu site novamente. Você pode usar o plug-in Salt Shaker para obter um novo conjunto de chaves dentro do arquivo wp-config. Ou você pode seguir este guia do WPBeginner para alterar suas chaves de segurança.
  3. Atualize seu site: Quando você vir atualizações disponíveis para sua instalação do WordPress, plug-ins e temas, execute a atualização o mais rápido possível. Se for uma atualização de segurança, você deverá executá-la imediatamente, pois a versão mais recente conterá um patch que corrigirá as vulnerabilidades de segurança.
  4. Proteja os formulários de seu site WordPress: Muitos hackers tentam injetar malware por meio de formulários não seguros. Recomendamos usar o WPForms, pois ele vem com proteção integrada contra spam. Isso detecta e bloqueia entradas fraudulentas e mal-intencionadas.

A seguir, mostraremos como garantir que seu site esteja protegido no futuro.

Evite invasões do WordPress em seu site

Dizem que um raio nunca atinge o mesmo lugar duas vezes. Mas, infelizmente, o mesmo não se aplica ao seu site.

Mencionamos anteriormente que, quando os hackers invadem seu site, eles criam backdoors ocultos para que possam entrar novamente em seu site com facilidade. Portanto, é importante tomar medidas de segurança para garantir que isso não ocorra novamente.

Se o seu site for invadido várias vezes, o host da Web poderá suspender sua conta permanentemente, pois isso representa uma ameaça aos servidores e a outros clientes.

Além disso, os mecanismos de pesquisa, como o Google, pensarão que você não leva a segurança a sério e não permitirão que seu site volte a aparecer na página de resultados com tanta facilidade.

Quando você se inscreve na solução de segurança da Sucuri, ela protege seu site de forma abrangente com um scanner e um firewall, além de outras medidas de segurança importantes.

sucuri dashboard

Além disso, há algumas medidas que você pode tomar por conta própria. Elas incluem:

  • Obtenha um host da Web confiável: se o seu host da Web não proteger os servidores, os hackers poderão encontrar uma maneira de entrar. É melhor usar um host confiável que leve a segurança a sério. Recomendamos usar um provedor de hospedagem seguro como o Bluehost.
  • Use um plug-in de segurança do WordPress: Se o Sucuri estiver fora do seu orçamento, você pode contar com outros plugins de segurança. Esses plug-ins verificarão e monitorarão seu site WordPress. Dessa forma, você será alertado imediatamente sobre qualquer atividade suspeita. Nossas principais opções incluem:
    1. iThemes Security
    2. BulletProof Security
    3. SiteLock
    4. MalCare
  • Ative um firewall: Isso bloqueará o acesso de hackers e de qualquer usuário com intenções mal-intencionadas ao seu site, para que eles não consigam nem mesmo tentar invadir o seu site. A maioria dos plug-ins de segurança vem com firewalls integrados, portanto, você não precisará instalar um firewall separado.
  • Adicione autenticação de dois fatores: Adicione uma camada extra de proteção usando uma senha de uso único que é enviada para seu telefone celular ou e-mail. Isso significa que o usuário terá que digitar sua senha e verificar a si mesmo em tempo real, tornando extremamente difícil o acesso de hackers. Você pode ativar esse recurso usando plug-ins de segurança como o Sucuri e o MalCare.
  • Faça backup do seu site: Os backups são sua rede de segurança. Caso algo dê errado, você pode usar a cópia de backup do WordPress para restaurar seu site. Você pode usar os plug-ins de backup UpdraftPlus ou BlogVault para agendar backups automáticos.
  • Instale um certificado SSL: O SSL garante que todos os dados transferidos de e para seu site sejam criptografados. Portanto, mesmo que os hackers os roubem enquanto estiverem em trânsito, eles não conseguirão lê-los, pois estão codificados. Você pode obter um certificado SSL com sua empresa de hospedagem na Web ou usando um plug-in como o Really Simple SSL.

Com essas medidas, seu site terá um sistema de segurança robusto para garantir que os hackers tenham muita dificuldade para invadir. Se você não quiser deixar pedra sobre pedra, leia nosso Guia completo de segurança do WordPress (para iniciantes).

Esperamos que este guia tenha sido útil e, se você estiver procurando outras maneiras de proteger seu site, aqui estão alguns recursos úteis:

Um servidor dedicado garantirá que seu site nunca seja afetado pelo site hackeado de outra pessoa em um servidor compartilhado. Além disso, você pode executar uma auditoria de segurança e criar senhas seguras para proteger melhor seu site.

Comentários   Deixe uma resposta

Adicionar um comentário

Ficamos felizes por você ter optado por deixar um comentário. Lembre-se de que todos os comentários são moderados de acordo com nossa política de privacidade, e todos os links são nofollow. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.

WordPress Launch Checklist

A lista de verificação definitiva para o lançamento do WordPress

Compilamos todos os itens essenciais da lista de verificação para o lançamento de seu próximo site WordPress em um ebook prático.
Sim, envie-me o livro eletrônico gratuito grátis!