Meu wordpress foi invadido, e agora?

Por: jvitor
sex
10
mar
2017
Categorias
Segurança, Suporte, Web, WordPress
Tags

Saudações pessoal!

Depois de um tempo sem escrever estou de volta para falar sobre segurança no wordpress.

Recentemente fui pego de surpresa com o site de um cliente invadido. Os problemas apresentados foram:

  1. A tela do site foi alterada e passou a tocar música de fundo, tanto no site quanto no painel de controle
  2. Não era mais possível inserir conteúdo no painel de controle
  3. Em alguns computadores o site passou a ser marcado como site infectado

Quem é desenvolvedor sabe que geralmente você será um dos últimos a ser informado sobre o problema, afinal, muitas das vezes somos conhecidos por pouco traquejo social, rs

Aproveito para comentar sobre minha metodologia de análise do problema:

  1. Usuário desesperado: acesso o site como um usuário comum e sinto o desespero de o site estar diferente do que foi desenvolvido;
  2. Esvaziar a cabeça: tu já percebeu que está em mals lençóis e que, independentemente de culpado, você é o responsável (ou o capacitado) por voltar o site ao ar. Dê preferência para estar sozinho neste momento, assim tu pode ficar nervoso sem afetar sua relação com seu cliente. Bota pra fora a energia ruim.
  3. Hipóteses: o que pode ter acontecido para chegar a essa situação? Aconteceu algo diferente nos últimos dias com o site? Quem tem acesso ao site? Quem é seu provedor de hospedagem?
  4. Situações semelhantes: provavelmente alguém já passou por isso antes. Em caso positivo, é grande a chance de haver um post falando sobre a situação. No meu caso, usei como referência o post http://www.programadorpratico.com.br/blog/como-limpar-um-site-wordpress-hackeado-invadido/ , do Alan Rezende;
  5. Preparação do ambiente e permissões: Partimos do princípio que você faz regularmente backup do teu site. É válido fazer um backup deste momento em que o site está corrompido e informar ao seu cliente quais suas hipóteses de atuação;

Problema identificado

No caso que cito o site foi hackeado usando uma falha de segurança apontada recentemente no plugin NextGEN Gallery que permitiu ao invasor alterar o conteúdo do título do site. Esse título é uma string e fica armazenado no banco de dados do wordpress e é impresso nas páginas via php.

No campo correspondente ao título foi escrito um código que alterou visualmente todo o site. É facilmente identificável pois o título do site passa a iniciar com <!DOCTYPE .

Além disso, a barra lateral principal do site foi substituída por um widget de texto contendo o javascript que bloqueia o teclado e mouse bem como toca o áudio.

Limpando o estrago

  1. Tente analisar o código fonte do teu site para entender onde está o problema. No caso usado como exemplo, era perceptível que o <title> do site estava divergente
  2. Feche as portas! Importantíssimo verificar as permissões de pasta no seu FTP e gerar novas senhas de FTP, banco de dados e usuários
  3. Verifique seu arquivo .htaccess e wp-config
  4. Mantenha os plugins atualizados e / ou desative-os caso persista
  5. Atualize via phpmyadmin o title do teu site para voltar a conseguir trabalhar no mesmo, após isso identifique este widget malicioso e elimine-o também

Espero ter ajudado. E você? Já teve algum site invadido? Como procedeu? Deixe seus comentários para enriquecermos esta discussão.

Obrigado, paz