Comprometimento do WordPress: Conteúdo de spam

Detectamos um comprometimento que afeta alguns sites do WordPress. Neste comprometimento, os invasores conseguem obter acesso a um login administrativo do WordPress e enviar arquivos para sua conta de hospedagem. Esses arquivos são usados para injetar conteúdo de spam no tema e/ou banco de dados do WordPress, criando links escondidos para sites fraudulentos.

Você pode obter mais informações sobre comprometimentos e sobre como lidar com eles em E se meu site for invadido?.

Sinais de que você está com comprometimento

Como este comprometimento cria links ocultos, ele ficará invisível em seu site. A melhor forma de determinar se o seu site foi afetado é visualizar o código-fonte da sua página inicial. Para evitar visitar sua página inicial infectada, recomendamos usar Google® Chrome ou Firefox® e visitar view-source:http://[nome do seu domínio].

Nesta janela, você pode pesquisar seu código fonte para fraudes online comuns, como publicidade farmacêutica ou empréstimos no dia do pagamento. Tente pesquisar pelos termos comuns a seguir:

  • dia de pagamento
  • publicidade farmacêutica
  • viagra
  • cialis

Correções

A maneira mais simples de remover esse conteúdo é restaurar o conteúdo e o banco de dados do seu site desde uma restauração que você sabe que não está afetada.

Se você não tiver um backup limpo, pode remover o conteúdo manualmente. Há dois locais comuns para este conteúdo: o seu cabeçalho com tema WordPress ou seu banco de dados do WordPress.

Como editar seu tema

Seu tema do WordPress pode ser acessado e editado diretamente através do painel de controle do administrador do WordPress. Se você tiver um backup de seu tema, pode simplesmente reinstalar o tema através do menu Aparência do WordPress.

Caso contrário, você pode visualizar o código dos seus arquivos diretamente. Para obter informações sobre como editar seus arquivos por meio do WordPress, reveja a documentação do WordPress.org aqui.

Aqui, você pode remover quaisquer links que encontrou.

Como limpar seu banco de dados

Se os invasores colocarem links maliciosos em seu banco de dados, eles normalmente são inseridos em reverso para evitar a detecção (por exemplo, 'knil' em vez de 'link'). Você pode pesquisar isso em seu banco de dados.

Antes de fazer alterações no seu banco de dados, recomendamos criar um backup ( saiba mais).

Você pode pesquisar suas tabelas de banco de dados manualmente usando a guia Pesquisar da sua interface phpMyAdmin (saiba mais).

Você também pode executar a seguinte consulta do banco de dados na guia SQL em phpMyAdmin:

SELECIONAR *
DE “wp_options”
EM QUE option_value LIKE '%>vid/<%'

Essa consulta seleciona qualquer coisa da sua tabela wp_options, que contém um marcador HTML div. Você verá resultados semelhantes aos seguintes:

resultados de consulta

Você pode rever os conteúdos em detalhe, clicando no ícone de lápis. Isso trará uma visão maior do conteúdo da linha. Aqui, você pode editar os conteúdos diretamente para remover quaisquer textos maliciosos. Depois de fazer as alterações, clique em Voltar para a página anterior para salvar. Se o conteúdo parecer totalmente mal-intencionado, clique em Voltar para a página anterior e, em seguida, clique no ícone X vermelho para remover a entrada.

detalhes do resultado

Arquivos comprometidos adicionais

Depois de limpar seu tema e/ou banco de dados, você deve revisar os arquivos em sua conta de hospedagem para garantir que eles sejam válidos. Esse comprometimento geralmente possui vários arquivos associados a ele:

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

Embora esses nomes possam parecer válidos, os arquivos podem não ser legítimos. Você pode saber quais arquivos são legais ao visualizar o código do arquivo ou comparar a data modificada com outros arquivos no mesmo diretório.

Recomendamos remover ou renomear (e, portanto, desativar) quaisquer arquivos que pareçam mal-intencionados.

Informações técnicas

Amostra do código

MD5Sums de arquivos maliciosos conhecidos

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

Este artigo foi útil?
Agradecemos seus comentários. Para falar com um representante do atendimento ao cliente, ligue para o suporte ou utilize a opção de bate-papo acima.
Ficamos felizes em ajudar! Há algo mais que possamos fazer por você?
Mil desculpas. Conte-nos o que estava confuso ou por que a solução não resolveu o seu problema.