Você sabe como remover o vírus npDcheckClassBgp do WordPress?
Nesse artigo vou explicar como ele ataca e qual o passo a passo para remoção total do vírus npDcheckClassBgp.
ATUALIZADO EM 01/12/2020
Essa semana atendi um cliente do Workana com a seguinte constatação:
Meu site foi hackeado! Ao clicar pela primeira vez em alguns links do meu site ele me redireciona para XXXXXXXXX.com. Preciso de ajuda para remover este vírus.
Como o cliente já tinha um volume de acessos considerável ao site, isso é umbaita problema!
Devo admitir que fiquei muito impressionado com a engenhosidade do plugin e vou explicar porque. O método de ataque é relativamente comum, o vírus faz a substituição dos links originais do site pelos maliciosos na primeira interação do usuário e depois volta a exibir os links corretos. Porém, a grande diferença é que ele cria um banco de dados com todos os IPs de visitantes que já clicaram em um link malicioso e a princípio, não infecta mais tais máquinas por um determinado espaço de tempo. Além disso, osIPs dos administradores do site entram nesta lista e não são infectados.
Manual do dono do site WordPress
Um guia abrangente especialmente elaborado para proprietários não técnicos sobre como fazer a manutenção do site feito com WordPress.
Como o ataque não é constante ou “visível” pelas máquinas dos usuários admin do WP, este vírus passou por muito tempo impune… Até agora!
Como remover o vírus npDcheckClassBgp do WordPress
Atualização importante! Recentemente constatamos um aumento no número de casos referentes a este vírus e, ao que tudo indica, a forma como ele está infectando os sites mudou um pouco.
Recomendamos que você siga os passos abaixo e, além disso, também realize um scan com a opção de High Sensitivity do WordFence em seu site.
Caso você localize outros arquivos ou funções estranhas em seu site. Por favor, notifique nos comentários aqui do post para que possamos ajudar outras pessoas!
Passo 1:Certifique-se de que o seu site foi infectado. Abra o arquivo functions.php do seu tema ativo e procure pela seguinte informação: @include( ‘template-config.php’ );.
Passo 2:Apague esta linha de código;
Passo 3:No início do arquivo functions.php do seu tema, localize a seguinte constatação (possivelmente entre as linhas 1 e 86):
<?php
/**
* Main WordPress API
[.............]
$npDcheckClassBgp = 'aue';
}
?>
Passo 4:Apague tudo isso encontrado nopasso 3, mas cuidado! Você ainda deve deixar a tag de apertura do php do seu tema (<?php) para que não cause erros em seu site.
Passo 5:Apague todos os temas inativos do seu site ou, se preferir, repita os passos 1 a 4 em todos os inativos.
Passo 6:Através de um acesso FTP, abra a pastawp-admin/csse apague o arquivo “.bt” (é nele que ficam salvos os IPs já atacados).
Passo 7 (novo): Através de um acesso FTP, abra o arquivo wp-includes/functions.php e apague o mesmo que foi apagado no passo 3.
Passo 8: Acesse o banco de dados do seu site e apague as tabelas: {prefix}pcachewpr e {prefix}lcachewpr, onde “{prefix}” é o prefixo das suas tabelas do WP;
Passo 8 (extensão):segundo o relato doNícolas Sanfer aqui nos comentários do post, é provável que o vírus agora implemente também uma terceira tabela chamada{prefix}lmcachewpr . Então caso você se depare com esta tabela, pode apagar ela também!
Atualização 01/12/2020
Segundo o comentário do Nick Young abaixo, o vírus não está mais infectando o arquivos functions.php e indo direto para o arquivo wp-load.php. Recomendamos então que você verifique também este arquivo do WordPress e, por precaução, caso se sinta confortável, instale novamente o CMS em sua hospedagem.
Outros vírus comuns no WordPress
Caso você ainda esteja tendo problemas com site wordpress com vírus e este passo a passo não conseguiu ajudar, nós temos também tutoriais de remoção de vírus para os seguintes:
Demon Image
Se apresenta como “erro” no painel administrativo do WordPress onde os usuários com perfil Administrador não conseguem atualizar o WordPress ou plugins e temas instalados. Saiba mais sobre ele neste artigo.
Infecção por vulnerabilidades
Todos temos falhas, e os plugins e temas para WordPress não são diferentes. neste artigo nós comentamos sobre a falha de segurança no plugin Popup Builder. Saiba mais neste artigo.
Dicas extras
Eu recomendo fortemente o uso do WordFence e estes outros plugins na sua instalação do WordPress.
Caso tenha ficado com alguma dúvida ou não se sentir seguro para realizar estes procedimentos em seu site, me mande uma mensagem para resolvermos esse problema!
Continue lendo
9 ferramentas de gestão de projetos que irão facilitar a sua vida
Mesmo que você tenha uma equipe enxuta e o orçamento apertado, existem uma série de [...]
Precisando de novas funções? Saiba tudo sobre os plugins WordPress
Os plugins WordPress são um dos principais responsáveis por este sistema ter se tornado o [...]