Comprometimento do WordPress: Conteúdo de spam

Detetámos um comprometimento que afeta alguns dos sítios do WordPress. Neste comprometimento, os atacantes conseguem aceder aos dados de início de sessão do administrador do WordPress e carregar os ficheiros na respetiva conta de alojamento. Esses ficheiros são então utilizados para injetar conteúdos de spam no tema e/ou base de dados do WordPress, criando hiperligações ocultas para sítios fraudulentos.

Pode obter mais informações sobre os comprometimentos e sobre como lidar com eles em E se o meu sítio da internet tiver sido acedido de forma ilícita?.

Sinais de que o seu sítio está comprometido

Uma vez que este comprometimento cria hiperligações ocultas, ficará invisível no seu sítio. A melhor forma de determinar se o seu sítio foi afetado é verificar o código de origem da sua página inicial. Para evitar aceder à sua página inicial infetada, recomendamos que utilize o Google® Chrome ou o Firefox® e aceda ao código de origem:http://[nome do seu domínio].

Nesta janela, pode procurar o seu código de origem para detetar fraudes comuns online, tais como em publicidade farmacêutica ou empréstimos para salários. Tente procurar os seguintes temas comuns:

  • salário
  • farmacêutica
  • viagra
  • cialis

Soluções

A forma mais simples de remover este conteúdo é restaurar o conteúdo e a base de dados do seu sítio da internet a partir de ficheiros de restauro que tem a certeza que não estão afetados.

Se não tiver uma cópia de segurança que esteja garantidamente limpa, pode remover manualmente o conteúdo. Existem duas localizações comuns para este conteúdo: o cabeçalho do tema do WordPress ou a base de dados do WordPress.

Editar o seu tema

O tema do WordPress pode ser acedido e editado diretamente através do painel de controlo do administrador do WordPress. Se tiver uma cópia de segurança do seu tema, pode simplesmente reinstalar o tema através do menu Aspeto do WordPress.

Caso contrário, pode visualizar diretamente o código dos seus ficheiros. Para mais informações sobre como editar os seus ficheiros através do WordPress, consulte aqui a documentação do WordPress.org.

A partir daqui, pode remover qualquer uma das hiperligações que encontrou.

Limpar a sua base de dados

Se os atacantes introduzirem hiperligações maliciosas na sua base de dados, estas são normalmente introduzidas de modo inverso para não serem detetadas (por ex., "oãçagilrepih" em vez de "hiperligação"). Pode procurá-las na sua base de dados.

Antes de efetuar quaisquer alterações na sua base de dados, recomendamos que crie uma cópia de segurança (mais informações).

Pode procurar manualmente nas tabelas da sua base de dados, usando o separador Procurar na sua interface phpMyAdmin (mais informações).

Também pode efetuar a seguinte consulta na base de dados a partir do separador SQL na interface phpMyAdmin:

SELECIONAR *
EM "wp_options"
SENDO QUE option_value REPRESENTA '%>vid/<%'

Esta consulta seleciona qualquer item da tabela wp_options que contém um marcador div HTML escrito ao contrário. Verá resultados semelhantes ao seguinte:

query results

Pode ler os detalhes do conteúdo se clicar no ícone do lápis. Assim, terá uma visão mais abrangente dos conteúdos da linha. Aqui pode editar diretamente os conteúdos para remover o texto malicioso. Depois de efetuar as alterações, clique em Voltar à Página Anterior para as guardar. Se os conteúdos lhe parecerem totalmente maliciosos, clique em Voltar à Página Anterior e depois no ícone X vermelho para remover a entrada.

result details

Outros ficheiros comprometidos

Quando tiver apagado o seu tema e/ou base de dados, deverá consultar os ficheiros na sua conta de alojamento para ter a certeza que são válidos. Normalmente, este comprometimento tem vários ficheiros associados:

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

Estes nomes podem parecer válidos, mas os ficheiros podem não ser os corretos. Pode saber quais os ficheiros corretos ao consultar o código do ficheiro ou ao comparar a data modificada com a dos outros ficheiros do mesmo diretório.

Recomendamos que remova ou mude o nome (e consequentemente desative) de quaisquer ficheiros que aparentem ser maliciosos.

Informações técnicas

Exemplos de códigos

MD5Total de ficheiros maliciosos conhecidos

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

Este Artigo Foi Útil?
Obrigado pelos seus comentários. Para falar com um representante do serviço de apoio ao cliente, utilize o número de telefone da assistência ou a opção de conversação acima.
Ficamos contentes por o termos ajudado! Podemos fazer mais alguma coisa por si?
Pedimos desculpas. Indique-nos o que era confuso ou o motivo pelo qual a solução não resolveu o seu problema.