Nada pior do que acessar o site e ver que ele está com vírus, eu vou dizer uma coisa alarmante, normalmente o proprietário do site é o último a saber da invasão!

Recentemente eu escrevi um artigo com o passo a passo para limpar o wordpress com vírus npDcheckClassBgp (clique aqui para este tutorial), mas muitos visitantes acabaram entrando em contato solicitando suporte para outros vírus que estavam infectando a instalação do WordPress deles.

De maneira geral, remover um vírus do WordPress é uma tarefa simples, porém trabalhosa. Eu não recomendo que usuários com pouca experiência em programação e banco de dados façam os passos deste tutorial, qualquer erro ou linha de código a mais apagada pode gerar uma grande dor de cabeça.

Sem mais delongas, vamos ao passo a passo de como limpar uma instalação WordPress com vírus.

Passo 01: Confirme a existência do vírus e onde ele esta

Pode parecer besteira e você possivelmente já fez isso, mas eu recomendo que seja feito um scan do site com a ferramenta Sucuri Site Check e com o plugin WordFenceEnquanto a primeira ferramenta apenas irá confirmar a existência ou não do vírus, a segunda irá fazer uma varredura completa de todos os arquivos da sua instalação WordPress e confrontar com os arquivos disponíveis no repositório oficial do WP.

Caso o WordFence identifique se seu s, ele irá imediatamente listá-lo e dar opções como apagar o arquivo, substituir pela versão original e etc. Por mais que seja tentador, não apague nenhum arquivo ainda. As vezes scripts maliciosos estão dentro de arquivos realmente necessários para o bom funcionamento do WP.

Um exemplo disso é o vírus VCD (muito comum de ser encontrado em arquivos de temas baixados ilegalmente), que insere apenas 2 linhas de código acima do arquivo functions.php do tema. Para quem não sabe, este é normalmente o arquivo mais importante de configuração dos temas!

Passo 02: Comece a “dissecar” os arquivos

Observação: Antes de entrar no passo 02 de como limpar um wordpress com vírus, vou dar a dica mais importante de todas, TIRE UM BACKUP DOS SEUS ARQUIVOS, mesmo que infectados. Assim caso tu faça alguma lambança, pelo menos terá uma cópia reserva dos arquivos originais (mesmo que infectados).

Agora que tu já tem a lista dos arquivos supostamente infectados abra uma conexão FTP e abra os arquivos informados pelo Wordfence. Procure por qualquer linha de código suspeita, que faça menção a hasheamento, MD5, linhas que parecem fugir do escopo de programação oficial do arquivo, blocos de código com muita distância (quebras de linha) do restante do arquivo… Pela minha experiência, normalmente os códigos maliciosos ficam no início ou no fim do arquivo. Sendo dificilmente encontrados no meio do código.

Além disso, aproveite que tu já esta dentro do teu ambiente FTP e procure por arquivos ocultos (aqueles sem nome de arquivos, apenas extensão, tipo .bat , .bach e etc.), com exceção do .htaccess, esses arquivos ocultos são dificilmente nativos do WP e requerem examinação para confirmar se é malicioso ou não.

Conforme for encontrando arquivos “estranhos” e verificando os informados pelo WordFence, vá apagando as linhas de códigos maliciosos (ou o arquivo inteiro se for o caso) e sempre testando para ver se o seu site não caiu fora do ar pela remoção do arquivo.

Passo 03: Vasculhe seu banco de dados

Hackers são espertos, muito espertos, então não pense que eles criaram um vírus que é dependente apenas dos arquivos infectados. Normalmente após uma infecção, é necessária limpar também o banco de dados do WP.

Faça isso abrindo o seu ambiente phpmyadmin e veja as tabelas que não fazem sentido a sua instalação de WordPress. Lembre-se que plugins também acrescentam tabelas no banco de dados, então cuidado para não apagar nada que não deve.

vírus npDcheckClassBgp

Passo 04: Altere TODAS as senhas possíveis

Um passo que muitos acabam menosprezando, mas que é de extrema importância esta na alteração das senhas após uma invasão. Muitos vírus podem até não fazer uso delas, mas é melhor prevenir do que remediar. Eu recomendo que sejam alteradas as senhas:

  • Do banco de dados, se possível alterar também o nome do banco de dados. ( Você terá que ajustar o seu arquivo wp-config.php após isso)
  • Dos usuários administradores

Passo 05: Reinstale plugins e o CMS

Como é muito difícil saber a real dimensão de uma infecção por vírus no WordPress, eu recomendo também que seja feita uma “reatualização do wordpress” (disponível em seudominio.com/wp-admin/update-core.php) e também de todos os plugins e temas utilizados.

Com isso, qualquer outra modificação que o invasor tenha feito em seu WordPress será sobrescrita com os arquivos originais disponíveis no repositório do CMS. Tudo para garantir que seu WordPress com vírus fique limpo!

Dicas bônus de segurança

  1. Evite ter temas e plugins inativos ou desatualizados em seu site, eles são uma brecha de segurança muito grande e pode ser por algum deles que o vírus tenha acesso.
  2. Tenha backups atualizados diariamente e, no mínimo, um backup semanal salvo. Assim você pode sempre restaurar os arquivos originais antes da infecção. Eu falo mais sobre este assunto neste outro artigo.
  3. Siga as informações deste manual.
  4. Me manda uma mensagem. Eu com certeza irei te auxiliar a limpar o seu wordpress com vírus. E não se preocupe que é totalmente sem compromisso e eu ficarei feliz em dar dicas extras sempre que possível!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *