WordPress Hackeado: Um Guia Eficaz para Recuperar o Seu Site

Mais de 2.200 ataques cibernéticos ocorrem todos os dias — o que resulta em mais de 800.000 pessoas tornando-se vítimas deles todos os anos. Com tantas ameaças digitais pairando pela internet, existe uma chance de que um desses ataques afete o seu site WordPress.

Entretanto, você não precisa entrar em pânico caso o seu site seja hackeado. Neste artigo, nós listaremos 11 passos para você recuperar o seu site e se prevenir contra ataques futuros.

Vamos começar explicando se — e quando — o problema que você está enfrentando é uma invasão ao seu site WordPress.

Sinais de que o Seu Site WordPress foi Hackeado

Nem sempre é fácil diagnosticar um site hackeado. Procure pelos seguintes sinais para determinar se a sua página foi realmente invadida:

  • Você não consegue logar no painel de administrador do WordPress.
  • Há novos conteúdos e designs que não foram colocados no ar por você.
  • O tráfego do site caiu repentinamente.
  • O site redireciona os usuários para outras URLs e envia emails de spam.
  • O seu navegador mostra um aviso de página insegura ao visitar o site.
  • Seus arquivos do WordPress sumiram.
  • Os logs do servidor detectam atividades incomuns e visitas de locais desconhecidos.
  • Um novo membro com direitos de administrador foi adicionado ao WordPress sem o seu consentimento.
  • Seu plugin de segurança alerta para uma possível invasão.

Como um Site WordPress é Hackeado

Estes são alguns dos principais métodos de ataques cibernéticos que tiram vantagem de vulnerabilidades de segurança do WordPress:

  • Backdoors – tipo de malware que burla procedimentos de autenticação para acessar os arquivos do núcleo do WordPress.
  • Ataques de força bruta – um método de invasão que usa a estratégia de tentativa e erro para adivinhar suas credenciais de login.
  • Cross-site scripting (XSS) – um ataque com injeção de código que executa scripts maliciosos no código de um website.
  • Ataques de injeção SQL – um método de invasão que envolve injeção de código direcionada a solicitações SQL vulneráveis.
  • Redirecionamentos maliciosos – uma backdoor que redireciona os visitantes do seu site a uma página prejudicial.
  • Pharma hacks – um ataque de spam baseado em SEO que infecta seu site com conteúdo malicioso. Com isso, sua página começa a ranquear com base nessas palavras-chave relacionadas a spam, danificando a reputação da sua marca.
  • Negação de Serviço (Denial of Service, ou DoS) – um ataque projetado para derrubar um site ou uma rede, sobrecarregando o sistema com solicitações.

Motivos Que Fazem Um Site WordPress Ser Hackeado

A essa altura, você pode estar se perguntando por que seu site foi hackeado. Aqui estão três das principais razões para os hackers verem a sua página no WordPress como um alvo preferencial para seus ataques cibernéticos.

Credenciais de Login Inseguras

8% de todos os sites WordPress infectados têm senhas fracas, como “12345”, “abc123” ou “senha”. Por mais que uma senha forte não possa garantir imunidade absoluta contra ataques, credenciais de login seguros adicionam uma camada extra de segurança ao seu site e às suas informações pessoais.

Software Desatualizado

Temas, plugins e arquivos importantes do WordPress que estejam obsoletos são algumas das portas de entrada mais comuns em sites hackeados.

Manter suas instalações do WordPress sempre atualizadas é essencial, uma vez que as atualizações de software trazem correções de segurança que lidam com vulnerabilidades descobertas nas versões anteriores. Sem os updates, hackers podem explorar essas falhas e invadir o seu site WordPress.

Código Ruim

Plugins e temas WordPress de baixa qualidade costumam ser escritos de maneira desleixada, adicionando vulnerabilidades ao seu site. Por conta disso, nós recomendamos obter seus temas e plugins a partir do repositório oficial do WordPress ou de plataformas respeitadas, que oferecem atualizações regulares e suporte.

11 Soluções Para Consertar um Site WordPress Hackeado

Uma vez confirmada a invasão no seu site WordPress, chegou o momento de corrigir o problema. Na seção a seguir, explicaremos como limpar um site WordPress hackeado em 11 passos simples.

1. Coloque o WordPress em Modo de Manutenção

Se você ainda tem acesso ao painel da sua página WordPress, coloque o site em modo de manutenção imediatamente. Essa ação impedirá que visitantes abram o site hackeado, protegendo seus dados pessoais e dispositivos dos olhos de quem o estiver atacando. Você também preservará a credibilidade da sua marca ao impedir que um site WordPress hackeado permaneça no ar.

Usuários da Hostinger podem ativar o modo de manutenção no dashboard do hPanel. Você só precisa navegar até a opção Dashboard, na seção WordPress do hPanel, e clicar na opção Modo de manutenção.

ativar modo de manutenção no wordpress

Dica do Especialista

Confira nosso artigo sobre o modo de manutenção do WordPress para descobrir outras formas de ativar o recurso.

2. Altere Suas Senhas do WordPress

Se hackers obtiverem acesso ao seu website, suas credenciais de login ficarão comprometidas. Portanto, um passo inicial importantíssimo para consertar o seu site hackeado é alterar as senhas do seu painel do WordPress, FTP, banco de dados e acesso à conta do seu serviço de hospedagem.

Muitas ferramentas de gerenciamento de senhas, como o NordPass, oferecem um gerador que você pode usar para criar senhas fortes e mantê-las seguras. Recomenda-se que a senha ideal tenha pelo menos 16 caracteres, incluindo letras, números e símbolos.

Nós também recomendamos que você ative a autenticação de dois fatores e limite as tentativas de login para adicionar camadas extras de proteção às suas credenciais de login do WordPress.

3. Atualize o WordPress

Antes de tentar consertar seu site hackeado, é uma boa ideia atualizar todas as suas velhas instalações do WordPress. Ao fazer isso, você pode impedir que os hackers venham a se aproveitar das vulnerabilidades do seu site e desfazer suas correções, mantendo a página segura após a invasão.

Dica do Especialista

Confira nosso artigo sobre como atualizar o WordPress se você precisa de ajuda. Nós também recomendamos atualizar os seus temas e plugins, uma vez que ataques cibernéticos frequentemente infiltram o WordPress por meio de arquivos desatualizados desses dois elementos.

4. Desative Plugins e Temas

Desativar todos os seus plugins e temas, e depois reativá-los um a um, permite que você isole instalações possivelmente infectadas. Uma vez descobertos os elementos contaminados, desative-os e apague-os.

Esse também é um bom momento para remover coisas antigas e inutilizadas do seu WordPress. Ter temas e plugins desnecessários instalados no seu site pode criar pontos de acesso para que malwares iniciem ataques ao sistema, mesmo que esses elementos estejam inativos.

Além disso, é uma boa ideia desinstalar todos os temas e plugins obtidos fora dos diretórios oficiais ou reconhecidos do WordPress, uma vez que esse tipo de software sempre tem um maior risco de trazer consigo códigos maliciosos.

Para desativar um plugin no WordPress, confira os passos a seguir:

  1. No painel de administrador do WordPress, acesse Plugins -> Plugins instalados.
  2. Para desativar um plugin, clique na opção Desativar logo abaixo do seu nome.


  3. Para desativar múltiplos plugins de uma vez só, marque a caixa de seleção ao lado do nome de cada plugin desejado e clique em Desativar no menu “Ações em Massa”. Então, clique em Aplicar.
desativar plugins no wordpress

5. Reinstale o WordPress

Se nenhum dos passos anteriores funcionar, seus arquivos de núcleo (core) do WordPress podem estar infectados. Nesse caso, será necessário reinstalá-los para voltar ao status original.

A forma mais fácil de fazer isso é pelo painel de administrador do próprio WordPress. Vá em Painel -> Atualizações e clique no botão Reinstalar.

reinstalar wordpress

Antes de iniciar uma nova instalação do WordPress, certifique-se de fazer um backup de todos os arquivos do seu website. Evite gravar o novo backup por cima dos salvamentos anteriores — posteriormente, você pode comparar os arquivos do WordPress hackeado com as suas versões “limpas” para identificar e remover elementos suspeitos.

Dica do Especialista

Visite nosso artigo sobre como reinstalar o WordPress para saber mais sobre outros métodos de reinstalação.

6. Remova Novos Usuários do WordPress Com Privilégios de Administrador

Um dos sinais mais comum de sites WordPress hackeados é o surgimento de novos usuários com privilégios de administrador. Se você encontrar alguma conta admin recém-adicionada que você ou outros administradores do site não reconhecem, apague-a imediatamente.

Dica do Especialista

Você pode dar uma olhada no nosso artigo sobre como gerenciar licenças e permissões no WordPress para conferir os passos específicos sobre como remover contas de usuários no seu site.

7. Procure o Malware

Existem duas maneiras de buscar malwares nos sites WordPress hackeados: manualmente ou utilizando um plugin de remoção de malware. Nós recomendamos a segunda opção, uma vez que o processo manual, se realizado incorretamente, pode piorar a situação.

Siga nosso artigo que fala sobre a remoção de malwares do WordPress usando os dois métodos. O artigo destaca ainda os melhores plugins de segurança para o WordPress, com direito a recursos de remoção de ameaças, para que você faça suas considerações.

8. Desative a Execução de PHP

Invasores podem criar backdoors no WordPress ao subir arquivos com códigos maliciosos para a pasta Uploads. Desativar a execução de PHP no seu site impede que os hackers executem esses arquivos infectados.

Primeiramente, crie um arquivo .htaccess e adicione a ele o seguinte código:

<Files *.php>
deny from all 
</Files>

Em seguida, faça o upload do arquivo .htaccess para a pasta wp-content/uploads/ dentro do diretório principal da sua instalação WordPress. Isso pode ser feito configurando um cliente FTP ou utilizando um Gerenciador de Arquivos.

9. Limpe o Banco de Dados do WordPress

Depois de fazer a limpeza nas suas instalações do WordPress, o passo seguinte é passar um pente fino nos registros do seu banco de dados (database). Remova quaisquer elementos contendo código malicioso ou novos registros que você não reconhece, para impedir que hackers criem backdoors por meio de uma injeção no banco de dados.

É bom notar que fazer esse processo manual é arriscado e pode levar bastante tempo, especialmente se você tiver uma grande quantidade de registros. Fora isso, o site ainda pode ficar danificado além de qualquer chance de reparo caso você apague acidentalmente os registros errados.

Por isso, para esse processo, nós recomendamos escolher alguma opção entre os melhores plugins para banco de dados do WordPress.

10. Limpe o Sitemap do WordPress

O sitemap (mapa do site) é um diagrama que permite que mecanismos de busca descubram e rastreiem o conteúdo do seu website. Se o site for invadido, seus ranqueamentos nos sites de busca certamente cairão. Por isso, é uma boa ideia gerar um novo sitemap ao lidar com ataques de malware no WordPress.

A forma mais fácil de criar um sitemap no WordPress é utilizando um plugin apropriado. Depois disso, basta enviar o novo sitemap para rastreamento no Google Search Console. Tenha em mente que os mecanismos de busca podem precisar de até duas semanas para rastrear o seu website.

11. Entre em Contato com o Seu Provedor de Hospedagem

Se o seu website está num plano de hospedagem compartilhada, existe a chance do problema ter vindo de outro site no mesmo servidor. Entre em contato com o seu provedor de hospedagem para checar se a falha de segurança afetou outros sites além do seu.

No mínimo, sua empresa de hospedagem poderá te ajudar a recuperar o acesso ao seu site WordPress ou obter registros que ajudem a detectar o momento da invasão.

O seu provedor de hospedagem tem o papel importante de garantir que a performance e a segurança do seu site estejam seguindo os padrões mais altos possíveis. Se você não acredita que a sua hospedagem atual é capaz de te proteger de ataques e invasões ao WordPress, é hora de procurar um novo serviço.

Considere contratar um plano de hospedagem dedicado ao WordPress, uma vez que eles geralmente oferecem recursos de segurança pensados especificamente para proteger arquivos, instalações e sites WordPress.

Conclusão

Ter seu site WordPress hackeado é sempre uma situação estressante. Ainda assim, é melhor redirecionar a sua energia à contenção de danos e iniciar o quanto antes um plano de ações para recuperar o acesso ao seu site.

Aqui está uma rápida recapitulação:

  1. Coloque seu site WordPress hackeado em modo de manutenção.
  2. Altere suas senhas.
  3. Atualize seu site WordPress.
  4. Desative plugins e temas.
  5. Reinstale o software do WordPress.
  6. Remova novos usuários do WordPress com privilégios de administrador.
  7. Procure os malwares.
  8. Desative a execução de PHP.
  9. Limpe o banco de dados do WordPress.
  10. Limpe o sitemap do WordPress.
  11. Entre em contato com o seu provedor de hospedagem.

Esperamos que esse artigo tenha te ajudado a restaurar o seu site WordPress e minimizar os danos causados. Boa sorte!

WordPress Hackeado: Perguntas Frequentes

O WordPress Pode Ser Hackeado Facilmente?

Como o WordPress é o sistema de gerenciamento de conteúdo (CMS) mais popular do mundo, sites construídos com ele costumam ser alvos populares de ataques cibernéticos. Entretanto, 61% dos sites WordPress hackeados estavam desatualizados, ou seja, não dispunham das últimas atualizações de segurança para se proteger de vulnerabilidades.

Como Proteger um Site WordPress Sem Plugins?

Proteja o seu site WordPress:
1. Use senhas fortes.
2. Estabeleça um limite para tentativas de login.
3. Mude o prefixo da tabela do seu banco de dados.
4. Escolha um provedor de hospedagem com boa reputação.

Por mais que você possa proteger o seu site sem a ajuda de plugins de segurança, eles te darão ferramentas para reforçar os recursos nativos de proteção do WordPress.

Qual o CMS Mais Seguro?

O Drupal é um dos sistemas de gerenciamento de sites (CMS) mais populares e seguros hoje em dia. Ele otimiza a maior parte dos seus recursos nativos para performance e proteção, além de realizar testes de segurança regularmente. Apesar disso, por ser pensado principalmente para desenvolvedores web, o Drupal tem uma curva de aprendizagem mais íngreme que o WordPress.

Author
O autor

Bruno Santana

Sou jornalista em formação pela Universidade Federal da Bahia, além de colaborador eventual do site MacMagazine e da editoria de cultura do Jornal A Tarde, de Salvador. Fascinado por tecnologia desde criança, criei meu primeiro blog no Wordpress aos 13 anos e nunca mais parei. Nas horas vagas, gosto de ir ao cinema e brincar com meu gato, Sushi.