Blog

Como resolver o virus Demon Image do WordPress

Tags Segurança

VVerner - Como resolver o virus Demon Image do WordPress

Nós últimos dias, temos recebido diversos contatos sobre um “erro” no painel administrativo do WordPress onde os usuários com perfil Administrador não conseguem atualizar o WordPress ou plugins e temas instalados.

Infelizmente, o que parecia ser um erro comum de permissões de usuário acabou se tornando um novo vírus de WordPress que é, de longe, um dos mais complexos que já precisamos resolver. Se você está tendo algum dos “sintomas” abaixo, este relatório de segurança e passo a passo irá lhe ajudar:

  • usuário admin não consegue atualizar o tema do WordPress
  • usuário admin não consegue atualizar os plugins do WordPress
  • usuário admin não consegue atualizar o CORE do WordPress
  • usuário admin vê notificação “WordPress XXX está disponível. Contate o administrador do sistema”
VVerner - Como resolver o virus Demon Image do WordPress
Exemplo de notificação

Vale frisar que estes são os sintomas internos da infecção, usuários não logados no site podem ser levados a páginas de clickbait e pornografia ao clicar em links dentro das páginas do seu site.

Observação importante:

Antes de começar a apagar arquivos do seu site ou fazer qualquer modificação, faça um backup prévio de todos os arquivos e banco de dados do WordPress. Nós recomendamos, neste caso, o uso do plugin UpdraftPlus.

Como remover o vírus Demon Image

O motivo de termos intitulado este malware de WordPress com o nome Demon Image é porque os arquivos iniciais da infecção encontram-se nos arquivos do plugin Demon Imagem Annotation. O que parece ter sido um plugin com funcionalidades bem interessantes, hoje é usado com um propósito errado.

Para fazer as verificações abaixo você irá precisar de 3 coisas: o acesso FTP do seu site, um backup previamente feito e calma.

Diretórios para apagar

A primeira coisa a fazer para confirmar a existência do vírus em seu site, é buscar na raiz da sua instalação do WordPress (public_html, public, app…) a existência dos diretórios abaixo.

Manual do dono do site WordPress

Um guia abrangente especialmente elaborado para proprietários não técnicos sobre como fazer a manutenção do site feito com WordPress.

Baixar (grátis)

Caso eles não existam, provavelmente é apenas um erro de permissão que você pode conferir como resolver no neste tópico do artigo.

  • designo
  • webstruct
  • wp-content/plugins/demon-image-annotation

Arquivos para apagar

Estes são arquivos que o malware insere em seu site para realizar as ações maliciosas. Você deve apagar estes arquivos sem pensar duas vezes.

  • wp_auto_login_a0b27c12af09ab777ab7428213538386.php
  • wp-admin/maint/replace.php
  • wp-admin/network/user-privacy-4Oy38p.php
  • wp-admin/includes/medias.php
  • wp-admin/images/align-centers.png
  • wp-admin/images/align-rights.png
  • wp-admin/images/align-lefts.png
  • wp-includes/customize/class-wp-customize-filters-setting.php
  • wp-includes/customize/class-wp-customize-filters-setting.php
  • wp-includes/images/smilies/icon_reds.gif
  • wp-includes/images/smilies/icon_greens.gif
  • wp-includes/images/smilies/icon_blacks.gif
  • wp-includes/images/smilies/icon_greens.gif
  • wp-includes/images/smilies/icon_reds.gif

Arquivos modificados

Estes são arquivos do CORE do WordPress e devem ser manuseados com cuidado. Iremos deixar uma observação em cada arquivos com a melhor prática em cada um.

  • wp-includes/load.php
    • A melhor abordagem neste arquivo é sobrescrever ele com uma versão recém extraída do wordpress.org
  • wp-includes/template-loader.php
    • A melhor abordagem neste arquivo é sobrescrever ele com uma versão recém extraída do wordpress.org
  • .htaccess
    • Simplesmente renomeie o arquivo para “.htaccess-old” e salve a sua estrutura de links permanentes do WordPress novamente
  • wp-config.php
    • No final do arquivo, busque pelas duas linhas abaixo e apague-as. Feito isso é só subir o arquivo para a hospedagem novamente
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

Banco de Dados

Até momento da redação deste artigo não localizamos nenhuma modificação realizada no banco de dados das aplicações infectadas.

Ajuda extra para remover o vírus

Se você quiser ter certeza de que está fazendo tudo certo e conseguindo eliminar o vírus do seu site, siga este outro passo a passo e utilize o WordFence para lhe auxiliar.

Não fui infectado mas não consigo atualizar o site

Caso você não tenha localizado os diretórios citados acima, você pode tentar resolver seu problema apenas aplicando o ajuste no arquivo wp-config.php .

Caso mesmo assim não resolva, acreditamos que você tem um problema de permissão de usuários.

Mantenha a web segura

Ajude-nos a manter este artigo atualizado, caso você esbarre por este malware em seu site e localize novas informações que possam melhorar as informações citadas, não deixe de comentar para que todos possam ficar seguros.

Continue lendo

VVerner - Como deixar os campos de endereço obrigatórios no Magento?
Como deixar os campos de endereço obrigatórios no Magento?

Mesmo tendo como especialidade o WordPress, às vezes me deparo com jobs onde preciso fazer personalizações [...]

VVerner - Como criar um menu de posts recentes no WordPress
Como criar um menu de posts recentes no WordPress

Manter um menu de posts recentes no WordPress pode ser trabalho e ineficiente. Veja como [...]

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Abrir WhatsApp
1
Oi! Tudo bom? 👋🏻
Qual ideia iremos desenvolver hoje?