Uma triste realidade sobre a administração de sites é que, às vezes, eles podem ser hackeados. Como nosso site WordPress foi hackeado algumas vezes no passado, sabemos exatamente como isso pode ser estressante. Sem mencionar o impacto que isso tem sobre seus negócios e leitores.
Nos últimos anos, ajudamos centenas de usuários a recuperar seus sites WordPress invadidos, incluindo várias empresas conhecidas.
Neste artigo, compartilharemos um guia passo a passo para corrigir seu site WordPress invadido.
Algumas coisas a saber antes de começarmos
Em primeiro lugar, não importa qual plataforma você esteja usando, seja WordPress, Drupal, Joomla, etc., qualquer site pode ser hackeado!
Quando seu site WordPress é invadido, você pode perder as classificações nos mecanismos de pesquisa, expor seus leitores a vírus, ter sua reputação manchada devido a redirecionamentos para sites obscuros e, pior, perder todos os dados do site.
Se o seu site é uma empresa, a segurança deve ser uma de suas principais prioridades.
Por isso, é fundamental que você tenha uma boa empresa de hospedagem WordPress. Se você puder pagar, use absolutamente a hospedagem gerenciada do WordPress, que cuidará da segurança para você.
Certifique-se de que você sempre tenha uma boa solução de backup do WordPress, como o Duplicator.
Por último, mas provavelmente o mais importante, tenha um firewall de aplicativo da Web robusto, como o Sucuri. Usamos seus serviços em nossos sites.
Todas as informações acima são ótimas se você ainda não tiver sido hackeado, mas é provável que, se estiver lendo este artigo, já seja tarde demais para adicionar algumas das precauções que mencionamos acima. Portanto, antes de fazer qualquer coisa, tente manter-se o mais calmo possível.
Vamos dar uma olhada no guia passo a passo sobre como corrigir seu site WordPress invadido.
Etapa 0 – Peça a um profissional que faça isso por você
A segurança é um assunto sério e, se você não se sente à vontade para lidar com códigos e servidores, quase sempre é melhor contratar um profissional para fazer isso.
Por quê? Porque os hackers ocultam seus scripts em vários locais, o que permite que os hacks sejam repetidos várias vezes.
Embora mostremos como localizá-los e removê-los mais adiante neste artigo, muitas pessoas querem ter a tranquilidade de saber que um especialista limpou adequadamente o site.
Os especialistas em segurança normalmente cobram entre US$ 100 e US$ 250 por hora, o que é um valor exorbitante para uma pequena empresa ou um empreendedor individual.
No entanto, o WPBeginner Pro Services oferece reparo de site invadido por um pagamento único de US$ 249. Esse serviço inclui determinação de arquivos premium, remoção de códigos maliciosos, atualizações de software e segurança e um backup limpo do site.
Além disso, cobriremos seu site por 30 dias após o reparo. Isso significa que, se você for hackeado novamente, estaremos lá para consertá-lo. Também garantimos a correção do seu site ou você receberá 100% do seu dinheiro de volta.
Nossos especialistas dedicados do WPBeginner Pro Services limpam e protegem sites do WordPress há mais de 10 anos. Portanto, você pode ter certeza de que seu site está em boas mãos.
Se você valoriza seu tempo, não tem experiência em tecnologia ou se deseja apenas tranquilidade, pode usar nosso serviço de reparo de sites invadidos.
Para todos os usuários do tipo “faça você mesmo”, basta seguir as etapas abaixo para limpar seu site WordPress invadido.
Etapa 1. Identificar o Hack
Ao lidar com uma invasão de site, você está sob muito estresse. Tente manter a calma e anote tudo o que puder sobre a invasão.
Abaixo, há uma boa lista de verificação para ser analisada:
- Você pode fazer login no painel de administração do WordPress?
- Seu site WordPress está sendo redirecionado para outro site?
- Seu site WordPress contém links ilegítimos?
- O Google está marcando seu site como inseguro?
Anote a lista, pois isso o ajudará ao conversar com a empresa de hospedagem ou mesmo ao seguir as etapas abaixo para corrigir o site.
Além disso, é fundamental que você altere suas senhas antes de iniciar a limpeza. Você também precisará alterar suas senhas quando terminar de limpar a invasão.
Etapa 2. Verifique com sua empresa de hospedagem
A maioria dos bons provedores de hospedagem é muito útil nessas situações. Eles têm funcionários experientes que lidam com esse tipo de situação diariamente e conhecem o ambiente de hospedagem, o que significa que podem orientá-lo melhor. Comece entrando em contato com o host da Web e siga as instruções.
Às vezes, a invasão pode ter afetado mais do que apenas o seu site, especialmente se você estiver usando hospedagem compartilhada. Seu provedor de hospedagem também poderá fornecer informações adicionais sobre a invasão, por exemplo, como ela se originou, onde o backdoor está escondido etc.
De acordo com nossa experiência, a SiteGround e a HostGator são muito prestativas quando algo assim acontece.
Você pode até ter sorte e o anfitrião pode limpar o hack para você.
Etapa 3. Restaurar do backup
Se você tiver backups do seu site WordPress, talvez seja melhor restaurar a partir de um ponto anterior, quando o site não foi invadido. Se você puder fazer isso, então está tudo certo.
Consulte nosso tutorial sobre como restaurar o WordPress a partir de um backup para obter instruções passo a passo.
No entanto, se você tiver um blog com conteúdo diário, corre o risco de perder publicações, novos comentários etc. Nesses casos, pondere os prós e os contras.
Na pior das hipóteses, se você não tiver um backup ou se seu site tiver sido invadido há muito tempo e você não quiser perder o conteúdo, poderá remover manualmente a invasão.
Etapa 4. Verificação e remoção de malware
Examine seu site do WordPress e exclua todos os temas e plug-ins inativos do WordPress. Na maioria das vezes, é aí que os hackers escondem sua porta dos fundos.
O backdoor se refere a um método de contornar a autenticação normal e obter a capacidade de acessar remotamente o servidor sem ser detectado. A maioria dos hackers inteligentes sempre carrega o backdoor como a primeira coisa a fazer. Isso permite que eles recuperem o acesso mesmo depois que você encontrar e remover o plug-in explorado.
Depois de fazer isso, vá em frente e verifique se há hacks em seu site.
Recomendamos instalar o plug-in Sucuri em seu site. Esse plug-in nos ajudou a bloquear 450.000 ataques ao WordPress em 3 meses, incluindo 29.690 ataques relacionados a backdoors.
Há uma versão gratuita do Sucuri que vem com varredura de malware, reforço de segurança e ferramentas para verificar a integridade dos principais arquivos do WordPress. A versão premium inclui recursos avançados, como a varredura diária do lado do servidor, que verifica cada arquivo em busca de backdoors e outros problemas de segurança.
Depois que o plug-in for instalado e ativado, o scanner da Sucuri informará o status de integridade de todos os seus principais arquivos do WordPress. Em outras palavras, ele mostra onde o hack está escondido.
Os locais mais comuns são os diretórios de temas e plug-ins, o diretório de uploads, o wp-config.php, o diretório wp-includes e o arquivo .htaccess.
Você tem duas opções para corrigir o hack aqui. Você pode remover o código manualmente ou pode substituir esse arquivo pelo arquivo original.
Por exemplo, se eles modificaram seus principais arquivos do WordPress, faça o upload novamente de novos arquivos do WordPress a partir de um novo download ou de todos os arquivos do WordPress para substituir os arquivos afetados.
O mesmo se aplica aos arquivos de tema. Baixe uma nova cópia e substitua os arquivos corrompidos pelos novos. Lembre-se de fazer isso somente se você não tiver feito alterações nos códigos do tema do WordPress, caso contrário, você os perderá.
Repita essa etapa também para todos os plug-ins afetados.
Você também deve se certificar de que o tema e a pasta do plug-in correspondem aos originais. Às vezes, os hackers adicionam arquivos adicionais que se parecem com o nome do arquivo do plug-in e são fáceis de ignorar, como: hell0.php, Adm1n.php etc.
Temos um guia detalhado sobre como localizar um backdoor no WordPress e removê-lo.
Continue repetindo essa etapa até que o hack desapareça.
Etapa 5. Verifique as permissões do usuário
Procure na seção de usuários do WordPress para garantir que somente você e os membros confiáveis da sua equipe tenham acesso de administrador ao site.
Se você vir um usuário suspeito lá, exclua-o.
Para obter mais detalhes, leia nosso guia para iniciantes sobre funções de usuário do WordPress.
Etapa 6. Alterar suas chaves secretas
Desde o WordPress 3.1, o WordPress gera um conjunto de chaves de segurança que criptografam suas senhas. Agora, se um usuário roubar sua senha e ainda estiver conectado ao site, ele permanecerá conectado porque seus cookies são válidos.
Para desativar os cookies, você precisa criar um novo conjunto de chaves secretas. Você precisa gerar uma nova chave de segurança e adicioná-la em seu arquivo wp-config.php
.
Etapa 7. Altere suas senhas NOVAMENTE
Sim, você alterou as senhas na etapa 1. Agora faça isso novamente!
Você precisa atualizar sua senha do WordPress, a senha do cPanel/FTP/MySQL e, basicamente, de qualquer outro lugar em que tenha usado essa senha.
É altamente recomendável que você use uma senha forte. Leia nosso artigo sobre a melhor maneira de gerenciar senhas.
Se houver muitos usuários no seu site, talvez seja necessário forçar a redefinição de senha para todos eles.
Seguindo em frente – Fortalecendo seu site WordPress
Não é preciso dizer que não há melhor segurança do que ter uma boa solução de backup. Se você não tiver uma, faça um backup diário do seu site.
Além disso, aqui estão mais algumas coisas que você pode fazer para proteger melhor seu site – elas não estão em ordem e você deve fazer o máximo que puder!
- Configure um firewall de site e um sistema de monitoramento – o Sucuri é o provedor que usamos porque, na maioria dos casos, ele bloqueia os ataques antes que cheguem ao seu servidor.
- Mude para a hospedagem gerenciada de WordPress – A maioria das empresas de hospedagem gerenciada de WordPress se esforça ainda mais para manter seu site seguro. Recomendamos o SiteGround ou o WPEngine.
- Desativar editores de temas e plug -ins – É uma prática recomendada. Veja como desativar os editores de temas e plug-ins no WordPress.
- Limitar as tentativas de login no WordPress – Recentemente, abordamos a importância disso e você deve ler como limitar as tentativas de login no WordPress.
- Proteger seu diretório de administração com senha – Adicione uma camada adicional de senha à sua área de administração do WordPress. Veja como proteger seu administrador do WordPress com senha.
- Desativar a execução do PHP em determinados diretórios – Adiciona uma camada adicional de segurança – veja como desativar a execução do PHP via .htaccess.
E, independentemente do que fizer, mantenha sempre o núcleo, os plugins e os temas do WordPress atualizados! Para obter mais detalhes, consulte nosso guia sobre a ordem correta de atualização.
Lembre-se de que o Google anunciou recentemente que adicionou uma nova alteração no algoritmo que afeta os sites hackeados com resultados de spam. Portanto, certifique-se de manter seu site seguro.
Esperamos que este guia tenha ajudado a corrigir seu site WordPress hackeado. Se ainda estiver com problemas, recomendamos contratar ajuda profissional, como a Seahawk, ou perguntar à sua empresa de hospedagem se ela pode ajudar na correção. Talvez você também queira ver nosso guia definitivo de segurança do WordPress ou nossa seleção de especialistas dos melhores plug-ins de segurança do WordPress.
Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Syed Balkhi
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
mohadese esmaeeli
If you have defined unused email addresses on the host, be sure to delete them. Monitoring is a crucial activity for better stability, and it should continue. Make sure that the WordPress theme, core, and plugins are up-to-date, and the existence of security bugs does not pose a risk to your site. Increasing security levels will reduce the likelihood of being hacked.
Unarine Leo Netshifhefhe
The hosting company gave me a list of files which could be infected, so I deleted all of them but I am still seeing the same error when I try to open the site from my admin… There is still that redirect to a page with win a competition, how can I be sure that everything is cleared out?
WPBeginner Support
We would recommend the options in this article for checking the files and who we would recommend for professional assistance.
Administrador
ChayanChakrabarti
My word press is hacked and I realized it few days ago— was lookimg for solutions all over the internet and then I found an article which is giving me clear instructions. I will implement this steps and write another comment with solution,
WPBeginner Support
Glad our guide could be helpful
Administrador
NancyL
Hi – at what point do you give up on a website, buy a new domain and webhost??? I’ve been at this for 2 weeks. I cannot access the cpanel or wp admin. The ‘hint’ email to change my cpanel password has obviously a hacker email. I ran a paid subscription Norton scan on my local computer and it says it’s ok. If I change my password in wp admin, I get the email, and then it goes to a big red warning screen that it’s unsafe. Any suggestions? My webhost deleted all users/members, and changed the database prefix. STILL getting hack emails trying to change my password.
WPBeginner Support
To protect yourself from some of this, you would want to look at step 2 in our article here:
https://www.wpbeginner.com/wp-tutorials/11-vital-tips-and-hacks-to-protect-your-wordpress-admin-area/
to password protect your wp-admin area. For your cpanel you would need to reach out to your hosting provider and they would be able to help set that password. For that unsafe message there is normally a reason beneath the warning which would state the issue such as your site not being on https
Administrador
Don
Wordpress hack. I received the following message from Dreamhost:
The following file(s) specifically have been identified as attacker-added malware.You will need to audit these files and either replace them with known good versions or remove them altogether:
/home/unused_domains/sitename.com/plugin.php
/home/unused_domains/sitename.com/system.php
How would I replace them? And with what? This is a little above my pay grade and it’s probably a stupid question, but I am clueless regarding this.
WPBeginner Support
You can use FTP to remove those files: https://www.wpbeginner.com/beginners-guide/how-to-use-ftp-to-upload-files-to-wordpress-for-beginners/
Unless you have a setup that added those files then those are not typically normal WordPress files to have on your site
Administrador
Arthur
I cant even get into my site, cgi-sys/suspendedpage.cgi appears at the end of the link and it says account suspended
WPBeginner Support
That is normally something added from your hosting provider’s end, you would want to reach out to your host about having that removed.
Administrador
Karissa Skirmont
Hey Syed,
Did you know that this article is linked by Google as a resource to people that’s site is hacked?
Dealing with one and was happily surprised when the link I click on at the bottom of the email was this.
It was the second bullet:
[…]
Further assistance?
• Read our resources for hacked sites for detailed information on how to fix your site.
• Clean up the hacked content so that your site meets Google’s Webmaster Guidelines.
• Ask questions in our forum for more help – mention message type [WNC-633200].
[…]
WPBeginner Support
Hey Karissa,
Glad to hear that and thanks for sharing
Administrador
Anna Mary
My website is hacked, i tied to reset password last night and i received security code in my email by cpanel , i put this security code and press reset button but unfortunately my internet connection stop working suddenly. Today when i try to reset this password again and put my same email address this cpanel answered me that “Your email don’t match our record”.
What to do
pleas help me
WPBeginner Support
Hi Anna Mary,
Please contact your WordPress hosting company. They may be able to help you recover your account.
Administrador
Ravi Kumar
My website is hacked, i did not able to open the admin panel it showing the error like “This site can’t be reached” any one help to fix this.
Rishabh Jain
You may have forgotten the password!
Adam
Usually happens when you use cheap hosting or leave Wordpress site out of date and unattended.
asifawan
thanks…its very very helpful for newbies.. thanks aloooooooot
vaishali
Hello.. My wordpress site has been hacked. I removing all ype of error and malicious code.but when I searched my site on googgle browser first index display some japaneses character
plz help me how to remove it…
Paul Prem
Recently my site was completely hacked. It was built in WordPress. Hackers took control over my website. They used to send spam bulk mails from the server. My account was suspended multiple times. Hosting provider told me that hackers were generating spam mails via some plugins. I was literally confused and no clue. I later changed username and password for admin, cpanel, mysql etc but they were still spending spams. After some research, i have given additional security and restrict access to files. Lets see how it works …….
G.P. Gautam
I switch my site to wordpress and after few days I saw a message – “Hacked by Mr.XaaD” when I search my website in search engines. What is that and how to solve it. At the moment I can’t see my website on search engines. But I can able to login my wp account, hosting a/c as well.
Timothy
Hi, my site just got hacked. I can’t login to my account at the moment and I don’t want to contact my hosting company because instead of helping, they are used to suspending accounts. Please what can I do because I can’t even afford paying for help right now.
ed williams
A lot of these articles seem to focus on fixing instead of preventing
I host my site at a managed hosting provider for this reason. Here is what a hosting provider can do to keep you safe:
Tom Horn
Google was showing my blog as potentially being hacked. I used Sucuri to clean up my site and Google removed this label. During all of this the page views to my site plummeted and I cannot seem to get them back to where they were. What is the best process to get your blog website traffic back to where it was?
Federico
Why do you never mention iPage? I’d appreciate your comments if any, please!
Thanks!
Kathy O'Dowd
Back Up Buddy sells products that don’t include telling your how to use them. Doesn’t that seem like a scam?
WPBeginner Support
BackupBuddy has extensive documentation available on their website.
Administrador
Sourav Saha
But how to secure a WordPress site from SQL injection?