A segurança é uma das principais preocupações dos proprietários de sites WordPress, e com razão: há mais de 7,5 milhões de ataques cibernéticos a sites WordPress a cada hora. Não é de surpreender que a natureza de código aberto e a flexibilidade do WordPress o tornem vulnerável a uma série de ataques diversos. Mas seu núcleo é bastante seguro, pois a equipe do WordPress se dedica a conservar a integridade estrutural do aplicativo. O mesmo, entretanto, não pode ser dito de todos os temas e plug-ins do WordPress.
Um ataque de malware foi descoberto recentemente por John Castro, da Sucuri. O malware coloca de 10 a 12 linhas de código na parte superior dos arquivos header.php de temas vulneráveis do WordPress para redirecionar os visitantes a sites mal-intencionados.
Este artigo fornecerá detalhes sobre o ataque, bem como dicas para proteger seu site contra esse tipo de ataque no futuro.
Como funciona o ataque de malware
Conforme mencionado anteriormente, o malware coloca de 10 a 12 linhas de código na parte superior do arquivo header.php de um tema ativo do WordPress. O código aparece da seguinte forma:
O malware redireciona os visitantes para default7 .com (não o destino final do redirecionamento) em sua primeira visita. Em seguida, ele define o cookie "896diC9OFnqeAcKGN7fW" para rastrear os visitantes que retornam por um ano e testa se há rastreadores de mecanismos de pesquisa. Se não houver rastreadores, ele continua a verificar o cabeçalho do agente do usuário.
Os redirecionamentos são aleatórios para todos. Além disso, default7 .com é apenas o primeiro destino de redirecionamento. Os visitantes são redirecionados para os seguintes domínios (dependendo do endereço IP e do navegador):
- test246 .com
- test0 .com
- distinctfestive .com
- ableoccassion .com
O que é particularmente interessante é o comportamento do malware no Internet Explorer. Quando o visitante usa o Internet Explorer, ele é redirecionado para um site que fornece uma atualização maliciosa do Flash ou do Java.
Outro comportamento interessante ocorre no Facebook. Quando você compartilha um link de site infectado no Facebook, pode ver o snippet de publicação de outro site - um dos cinco sites de redirecionamento. O Facebook ainda redirecionará as pessoas para o site mal-intencionado, mesmo depois que você remover o malware do seu site. Isso ocorre porque o cache é compartilhado. Você pode redefinir o cache aqui.
Talvez você se surpreenda ao saber que esse tipo de infecção é bastante comum quando os hackers obtêm acesso a uma interface de administração do WordPress. Com as credenciais corretas, eles conseguem editar (com bastante facilidade) um arquivo de tema.
Quais sites estão infectados?
A recente exploração não é, na verdade, a única ameaça de malware nos sites infectados. Na maioria dos casos, os sites infectados tinham várias vulnerabilidades de segurança que resultaram em várias outras infecções. Apenas uma minoria de sites mostrou que a infecção foi encontrada apenas no arquivo header.php do tema.
Como detectar o malware
O código do malware não é isento de falhas. Ou seja, ele frequentemente testa parâmetros que não existem, o que resulta em um erro de PHP. Como alguns servidores têm avisos de PHP desativados, o erro nem sempre é exibido, mas uma pesquisa no Google de "Notice: Índice indefinido: 6FoNxbvo73BHOjhxokW3" pode revelar o código de malware em seu servidor.
A Sucuri compartilhou que alguns resultados de pesquisa do Google podem revelar erros no arquivo de rodapé do tema. Isso ocorre porque o malware infectou anteriormente os arquivos footer.php e colocou um código de redirecionamento semelhante na parte superior desses arquivos. O ataque passou para os arquivos header.php e reinfectou os sites que tinham o código de malware no arquivo footer.php. Embora o malware tenha sido atualizado, os redirecionamentos enviam os visitantes exatamente para as mesmas páginas.
Como remover malware
A remoção de malware é um processo de várias etapas para o qual você talvez queira consultar um especialista em WordPress. Se você mesmo não tiver muita experiência em segurança, é provável que só piore as coisas. As empresas especializadas em WordPress , como a nossa própria equipe de Web Design Semper Fi, podem resolver todos os seus problemas de segurança.
Mas, por enquanto, vamos dar uma olhada no que você pode fazer em geral para proteger seu site contra esses ataques.
Como manter seu site WordPress seguro
Proteja sua interface de administração do WordPress
Seu painel de administração do WordPress é uma mina de ouro para os criminosos. Portanto, você precisa restringir o acesso a ele o máximo possível: somente aqueles que precisam acessá-lo devem poder fazê-lo. De qualquer forma, você deve restringir a capacidade de todos de fazer alterações em seu arquivo header.php.
Como vimos com esse recente ataque de redirecionamento, os hackers com credenciais de administrador do seu site podem fazer alterações direta e facilmente no arquivo header.php do seu tema. Você pode desativar sem esforço a capacidade de um usuário de editar arquivos PHP na interface de administração ajustando o arquivo wp-config.php. Basta copiar e colar o código a seguir em seu arquivo wp-config.php:
# Desativar a edição do tema define( 'DISALLOW_FILE_EDIT', true );
Outras dicas para manter sua interface de administração segura:
- Use senhas fortes
- Altere todas as senhas periodicamente
- Limitar o número de tentativas de login
- Verifique se não foram criadas contas de administrador falsas
- Não use "admin" como seu nome de usuário de administrador
- Ativar a autenticação de dois fatores
Atualize o WordPress, os temas e os plug-ins para as versões mais recentes
É fundamental atualizar o WordPress e todos os seus temas e plug-ins para as versões mais recentes. Além da funcionalidade aprimorada, a maioria das atualizações é fornecida para resolver problemas de segurança e vulnerabilidades, portanto, atualize para as versões mais recentes assim que elas estiverem disponíveis.
Certifique-se de que seu(s) computador(es) esteja(m) livre(s) de vírus e malware
Todas as medidas de precaução que você tomar para proteger seu site contra malware serão nulas e sem efeito se o seu computador contiver vírus ou malware. Isso porque um hacker poderia acessar os detalhes de login do seu site a partir do seu computador e rapidamente infectar o site. Portanto, é importante instalar um bom programa antivírus em todos os computadores que você usa para fazer login no seu site WordPress.
A maioria de nós adora o WordPress por sua flexibilidade, entre muitos outros motivos. De fato, ele é o Sistema de Gerenciamento de Conteúdo (CMS) de código aberto mais popular que existe. Entretanto, os motivos pelos quais gostamos tanto dele são os mesmos que o tornam vulnerável a ataques cibernéticos. É importante estar ciente disso e tomar as medidas necessárias para proteger seu site.
Quer experimentar o AIOSEO gratuitamente?
Digite o URL do seu site WordPress para instalar o AIOSEO Lite.
Divulgação: Nosso conteúdo é apoiado pelo leitor. Isso significa que, se você clicar em alguns de nossos links, poderemos receber uma comissão. Recomendamos apenas produtos que acreditamos que agregarão valor aos nossos leitores.
Uau, 7,5 milhões a cada hora, isso é perturbador. Postagem interessante, Arnaud, obrigado pelo aviso 🙂 Abraços, Tracy
É um prazer absoluto, Tracy. Obrigado pelo feedback!
Artigo útil. Muito obrigado.
Qual é o vetor de ataque inicial? É simplesmente obter acesso de login de administrador?
Gostaria de saber se há uma regra de modsecurity que possa ser criada para ajudar a evitar isso.
Um conjunto de regras de modsecurity inteligente e bem configurado é um verdadeiro pesadelo para os hackers 😀.
Por meio de algumas regras inteligentes que escrevi... se é que posso dizer isso 😉 os acessos de hackers aos meus sites do WP caíram significativamente no último ano.
Mais uma vez, obrigado.
Oi Mike
Antes de mais nada, obrigado por deixar um comentário.
O objetivo dos hackers é implementar cerca de 12 linhas de código para que os visitantes sejam redirecionados para outros sites (possivelmente mal-intencionados).
No entanto, isso só é possível quando eles já obtiveram acesso a um login do WordPress capaz de editar os arquivos PHP do tema.
Você pode resolver esse problema desativando as permissões de usuário para editar arquivos PHP por meio do wp-admin. Implemente o seguinte trecho de código no arquivo wp-config.php para desativar esse recurso:
# Desativar a edição do tema
define( 'DISALLOW_FILE_EDIT', true );
Mais importante ainda, você precisa proteger suas credenciais do WordPress.
Se você for atingido por um ataque, é importante alterar todas as suas senhas, verificar se algum arquivo foi ajustado e procurar por contas de administrador desonestas se você tiver vários administradores.
Apenas mais algumas dicas para proteger seu login do WordPress:
- Altere o nome de usuário "admin" para algo menos identificável
- Altere o URL da página de login do padrão wp-login-php
- Criar senhas complexas
- Limitar o número de tentativas de login em um determinado período de tempo
Saúde
Arnaud
Altere também suas senhas de FTP, caso o invasor tenha obtido acesso por esse meio.
Ótima dica!
Arnaud,
Obrigado por suas valiosas informações. Agradeço por ter fornecido uma solução alternativa e dicas em sua resposta ao Mike. Essas são informações valiosas para mim.
Feliz dia! =)
De nada, Diana!
Então você está dizendo que eles teriam que obter acesso por senha, correto? Não há outra maneira de entrar. Eles não podem pular a etapa da senha?
É o mais comum, mas também há outros métodos para obter acesso aos arquivos do seu site. O FTP é um ótimo exemplo.
Qual plug-in de segurança você recomendaria e que não causará conflito com o All in One SEO Pack?
O WordFence é excelente e não apresenta problemas de compatibilidade com o All in One SEO Pack.
Também recomendamos muito o iTheme Security.
Mmmn! Bastante útil. Eu escapei por pouco de um ataque na semana passada.
Obrigado pela postagem útil! Acho que devemos ter cuidado com o uso de temas ou plug-ins gratuitos ou não.
Encontrei esta postagem porque há um script que está sendo injetado no header.php de todos os sites da conta do servidor. A cada poucos dias, tenho que verificar o header.php e remover o bloco de texto acima, geralmente com muitos espaços acima dele. É insuportável! Se o script não for removido, o Google e outros scanners de segurança colocam o site na lista negra por alguns dias até que ele seja removido e solicitam que o Google faça uma nova varredura no site. Isso está afetando muito as classificações!
Até o momento:
1. Excluí todos os arquivos principais do WP e recarreguei os arquivos principais da versão mais recente.
2. Excluí os plug-ins não utilizados.
3. Verifiquei todos os diretórios /uploads em busca de arquivos .php (já que deveria haver apenas imagens).
4. Alterei o nome de usuário do administrador.
5. Alterei as senhas.
6. Remoção de usuários de spam.
7. Alterada a senha do FTP.
8. Instalei o plugin Sucuri e reforcei tudo, instalei o Wordfence, instalei o Bad Behavior.
Nenhum dos plug-ins de segurança está bloqueando isso e nenhum deles está sequer alertando que o header.php foi modificado. ISSO AINDA ESTÁ ACONTECENDO SEMANALMENTE.
Perguntas:
1. Como eles conseguem injetar esse script em todos os sites da conta de hospedagem ao mesmo tempo, mesmo que esses sites não usem os mesmos plug-ins etc.? Isso é muito frustrante e irritante porque todos os sites precisam ter o script removido e todos os sites são colocados na lista negra do Google, etc.
2. Se eles conseguirem entrar em seus arquivos e colar esse script no header.php e perceberem que você continua a removê-lo, o que os impede de mexer em todos os arquivos ou excluir coisas?
Para responder às suas perguntas:
1. Não tenho certeza se você está enfrentando o mesmo problema descrito neste artigo. De qualquer forma, se os artigos continuarem sendo injetados com código, você provavelmente está enfrentando uma infecção de um script mal-intencionado em seu servidor da Web. Talvez você queira fazer backup de todos os seus sites, limpá-los um a um e fazer uma limpeza completa do servidor antes de restaurar os sites novamente.
2. Não há nada que os impeça, mas para a maioria dos hackers não há ganhos em destruir ou infectar completamente um site. Eles ainda querem que as pessoas visitem e usem a funcionalidade/informação em seu site.
Oi Arnaud,
Obrigado por compartilhar. Esse poderia ser o motivo pelo qual estou recebendo muitos comentários de spam?
Não, os comentários de spam são apenas bots ou blogueiros que tentam aumentar seu SEO criando backlinks de outros sites para o deles.
Esse é um método que geralmente não funciona porque os mecanismos de pesquisa percebem esse engano e podem verificar a qualidade dos backlinks.
Se estiver usando o WordPress, recomendo que instale um plug-in como o Akismet para filtrar comentários válidos e inválidos.
É difícil encontrar pessoas experientes nesse assunto,
mas parece que você sabe do que está falando! Obrigado, senhor
Olá, meu site foi hackeado há um mês e nós o limpamos totalmente, mas quando eu configuro um anúncio no Facebook com um link para o meu site, ele redireciona na primeira vez para um site mal-intencionado. Soube por alguém que esse redirecionamento ocorre sempre uma vez por IP. Ainda deve haver arquivos infectados que criam esse redirecionamento?
Sim, parece que seu site ainda está infectado com malware. Oferecemos um serviço de limpeza de malware. Para obter informações, entre em contato conosco aqui - https://aioseo.com/contact/
Ótima explicação.