Esse post é uma tradução do artigo encontrado em: http://codex.wordpress.org/FAQ_My_site_was_hacked
Quaisquer dúvidas ou considerações devem ser feitas diretamente a codex (grupo responsável pelo desenvolvimento do WordPress).
Socorro, acho que foi acessado por terceiros.
Então você cuidadosamente instalou o WordPress, deixou seu website/blog do jeito que você queria com um bom tema, você pode até ter instalado alguns plugins especiais e criou posts ou página interessantes. Resumindo, você gastou um bom tempo e esforço no seu website.
Até que em um belo dia, você carregou o seu website em seu navegador e descobriu que o mesmo não está mais lá, no lugar dele você ve uma mensagem estranha (algumas vezes em outro idioma). E agora, o que fazer?
Alguns passos
Fique calmo
Você deve permanecer calmo para poder lidar com essa situação. O primeiro passo antes de responder a qualquer incidente de segurança é se acalmar para ter certeza de que você não fará nenhum erro. Estamos falando sério sobre essa parte.
Escaneie sua máquina local por malware/vírus/worms
Em algumas ocasiões o malware foi introduzido por um sistema local comprometido. Você deve realizar uma verificação completa com sistema antivirus e antimalware (observe que a maioria dos softwares antivirus não são antimalware, recomendamos o software gratuito Malwarebytes para verificação de malwares). Alguns vírus e malwares são conhecidos por não serem detectados por softwares antivirus, por isso sempre recomendamos que faça essa verificação com mais de um software antivirus e antimalware, lembrando que esse conselho só se aplica a usuários do sistema operacional Windows (em qualquer versão).
Altere suas senhas
Altere todas as senhas de sua hospedagem: e-mail, ftp, usuários do seu blog, usuários de bases de dados, enfim, todos os usuários. Você pode achar que não, mas muitas vezes dependendo da vulnerabilidade que foi explorada em seu ambiente de hospedagem os malfeitores podem ter acesso às suas senhas.
Altere suas “secret keys”
Caso tenham sequestrado a senha do usuário administrador de sua instalação do WordPress e estejam logados em seu blog, mesmo que você altere a senha de acesso desse usuário você vai observar que o mesmo continua logado. Como? Isso ocorre devido ao sistema de Cookies que o WordPress utiliza e que nesse caso ainda estarão válidos para os atacantes. Para desabilita-los você deve criar uma nova combinação de “secret keys”. Visite esse link para o WordPress key generator e obtenha uma nova combinação dessas chaves, então substitua esses valores no arquivo wp-config.php de sua instalação.
Faça um backup do que sobrou
Se os seus arquivos e base de dados ainda permanecem em sua hospedagem recomendamos que faça um backup para uma futura investigação, lembre-se de rotular esse backup como backup comprometido. Acesse esse link para saber como realizar um backup de seu website em WordPress.
Leia posts sobre o que fazer
O membro da comunidade e autor Donncha escreveu um belo post em seu blog sobre o tema, essa é uma leitura muito recomendada para você saber exatamente o que fazer uma vez que ele se aprofunda nos detalhes (muito mais do que esse post). Recomendamos também que leia os seguintes artigos: “How to clean your install” e esse Removing malware from a WordPress blog, lembrando que esses links explicam com detalhes técnicos exatamente o que fazer.
Verifique o arquivo .htaccess
Invasores geralmente usam o seu arquivo .htaccess para redirecionar visitantes para websites maliciosos. Acesse o diretório de sua hospedagem aonde você instalou o WordPress e verifique o arquivo .htaccess. Lembre-se, invasores utilizam as mais variadas técnicas, muitas vezes o seu arquivo .htaccess parece vazio ou sem qualquer conteúdo estranho no entanto o código pode ter sido inserido após centenas de quebras de linha, as permissões desse arquivo podem ter sido alteradas para que pessoas sem experiência não consigam modifica-lo, nesse caso basta retornar a permissão do arquivo para 644.
Considere a possibilidade de remover todos os arquivos e diretórios
Um jeito certeiro de remover qualquer script malicioso em sua hospedagem é remover todos os arquivos e diretórios de sua hospedagem (ATENÇÃO: remova apenas arquivos e pastas dentro da pasta public_html e tenha certeza de que possui um backup). Recomenda-se também a renovação da base de dados utilizada pelo WordPress, muitos ataques ocorrem a partir da base de dados.
Considere restaurar um backup
Se você restaurar um backup antigo e limpo da base de dados do seu WordPress e subir para a sua hospedagem os arquivos de instalação do WordPress (bem como os arquivos dos plugins e temas), isso garantirá que todas as peças de sua instalação estejam limpas de códigos maliciosos inseridos em sua hospedagem.
Substitua os arquivos da instalação do WordPress por arquivos novos de uma nova e atualizada instalação
Substituir todos os arquivos da instalação de seu WordPress garante que sua instalação não será mantida com códigos maliciosos inseridos propositalmente para um novo “ataque”. Se você ainda não restaurou o backup de seus plugins e temas, recomendamos que baixe os arquivos de instalação dos mesmos novamente e os reinstale.
Atualize!
Uma vez limpa, você deve atualizar sua instalação do WordPress para a última versão. Versões antigas sempre estão sujeitas a ataques que se aproveitam de vulnerabilidades conhecidas em versões anteriores.
Altere sua senha novamente!
Lembre-se, você deve alterar suas senhas de acesso a instalação do WordPress comprometida assim que limpar essa instalação, caso você tenha alterado a senha no momento que descobriu que foi atacado então altere as senhas novamente agora que essa instalação foi limpa.
Proteja seu website
Agora que você limpou e recuperou sua instalação, você deve proteger seu website seguindo algumas das (senão todas) as recomendações desse link.
Faça um post-mortem
Após ter recuperado e protegido o seu website, verifique os logs de sua instalação e painel de controle para tentar descobrir qual foi o método utilizado. Ferramentas opensource como o OSSEC podem analisar os seus logs e em algumas ocasiões apontar como/aonde esse ataque ocorreu.
Mantenha backups frequentes de sua hospedagem
Adquira o hábito de manter backups dos arquivos de sua instalação e base de dados da mesma. Lembre-se, nunca mantenha backups no servidor, além de ocupar espaço os atacantes podem compromete-los ou remove-los. Caso você tenha os backups, em um novo incidente como esse, tudo que você precisará fazer é restaurar os seus backups e alterar suas senhas e “secret keys”. Leia esse artigo em nosso blog para saber mais sobre backups.
Olá,
Gostei do seu post, tive um problema desses por esses dias, tive que trocar de hospedagem.
Quando fiz o backup do banco, eu carreguei no novo, porém meu wp não le,, você sabe o que devo fazer?