Nós últimos dias, temos recebido diversos contatos sobre um “erro” no painel administrativo do WordPress onde os usuários com perfil Administrador não conseguem atualizar o WordPress ou plugins e temas instalados.

Infelizmente, o que parecia ser um erro comum de permissões de usuário acabou se tornando um novo vírus de WordPress que é, de longe, um dos mais complexos que já precisamos resolver. Se você está tendo algum dos “sintomas” abaixo, este relatório de segurança e passo a passo irá lhe ajudar:

  • usuário admin não consegue atualizar o tema do WordPress
  • usuário admin não consegue atualizar os plugins do WordPress
  • usuário admin não consegue atualizar o CORE do WordPress
  • usuário admin vê notificação “WordPress XXX está disponível. Contate o administrador do sistema”
Como resolver o virus Demon Image do Wordpress - Vinicius Verner
Exemplo de notificação

Vale frisar que estes são os sintomas internos da infecção, usuários não logados no site podem ser levados a páginas de clickbait e pornografia ao clicar em links dentro das páginas do seu site.

Observação importante:

Antes de começar a apagar arquivos do seu site ou fazer qualquer modificação, faça um backup prévio de todos os arquivos e banco de dados do WordPress. Nós recomendamos, neste caso, o uso do plugin UpdraftPlus.

Como remover o vírus Demon Image

O motivo de termos intitulado este malware de WordPress com o nome Demon Image é porque os arquivos iniciais da infecção encontram-se nos arquivos do plugin Demon Imagem Annotation. O que parece ter sido um plugin com funcionalidades bem interessantes, hoje é usado com um propósito errado.

Para fazer as verificações abaixo você irá precisar de 3 coisas: o acesso FTP do seu site, um backup previamente feito e calma.

Diretórios para apagar

A primeira coisa a fazer para confirmar a existência do vírus em seu site, é buscar na raiz da sua instalação do WordPress (public_html, public, app…) a existência dos diretórios abaixo.

Caso eles não existam, provavelmente é apenas um erro de permissão que você pode conferir como resolver no neste tópico do artigo.

  • designo
  • webstruct
  • wp-content/plugins/demon-image-annotation

Arquivos para apagar

Estes são arquivos que o malware insere em seu site para realizar as ações maliciosas. Você deve apagar estes arquivos sem pensar duas vezes.

  • wp_auto_login_a0b27c12af09ab777ab7428213538386.php
  • wp-admin/maint/replace.php
  • wp-admin/network/user-privacy-4Oy38p.php
  • wp-admin/includes/medias.php
  • wp-admin/images/align-centers.png
  • wp-admin/images/align-rights.png
  • wp-admin/images/align-lefts.png
  • wp-includes/customize/class-wp-customize-filters-setting.php
  • wp-includes/customize/class-wp-customize-filters-setting.php
  • wp-includes/images/smilies/icon_reds.gif
  • wp-includes/images/smilies/icon_greens.gif
  • wp-includes/images/smilies/icon_blacks.gif
  • wp-includes/images/smilies/icon_greens.gif
  • wp-includes/images/smilies/icon_reds.gif

Arquivos modificados

Estes são arquivos do CORE do WordPress e devem ser manuseados com cuidado. Iremos deixar uma observação em cada arquivos com a melhor prática em cada um.

  • wp-includes/load.php
    • A melhor abordagem neste arquivo é sobrescrever ele com uma versão recém extraída do wordpress.org
  • wp-includes/template-loader.php
    • A melhor abordagem neste arquivo é sobrescrever ele com uma versão recém extraída do wordpress.org
  • .htaccess
    • Simplesmente renomeie o arquivo para “.htaccess-old” e salve a sua estrutura de links permanentes do WordPress novamente
  • wp-config.php
    • No final do arquivo, busque pelas duas linhas abaixo e apague-as. Feito isso é só subir o arquivo para a hospedagem novamente
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

Banco de Dados

Até momento da redação deste artigo não localizamos nenhuma modificação realizada no banco de dados das aplicações infectadas.

Ajuda extra para remover o vírus

Se você quiser ter certeza de que está fazendo tudo certo e conseguindo eliminar o vírus do seu site, siga este outro passo a passo e utilize o WordFence para lhe auxiliar.

Não fui infectado mas não consigo atualizar o site

Caso você não tenha localizado os diretórios citados acima, você pode tentar resolver seu problema apenas aplicando o ajuste no arquivo wp-config.php .

Caso mesmo assim não resolva, acreditamos que você tem um problema de permissão de usuários.

Mantenha a web segura

Ajude-nos a manter este artigo atualizado, caso você esbarre por este malware em seu site e localize novas informações que possam melhorar as informações citadas, não deixe de comentar para que todos possam ficar seguros.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *