Como corrigir um hack de redireccionamento do WordPress (Guia passo a passo)

Principais conclusões

• A remoção manual de malware requer a eliminação de scripts ocultos dos ficheiros principais, mas um único erro pode danificar o teu site ou deixar escapar completamente os backdoors ocultos.
• Os plugins de segurança são mais seguros do que a edição manual, mas consomem recursos do servidor e não podem ajudar se o hack te bloquear o painel de controlo wp-admin.
• Automatiza toda a limpeza no nível do servidor com o Cloudways Malware Protection para remover instantaneamente as ameaças por apenas US$ 4/mês por aplicativo.

Como proprietário de um site WordPress, esperas que os teus links levem os visitantes exatamente para onde pretendem ir. Descobrir que o teu site os está a forçar subitamente para uma página web completamente diferente é um problema enorme.

Um hack de redireccionamento do wordpress é uma das coisas mais prejudiciais que podem acontecer a um site, arruinando imediatamente o teu SEO e destruindo a confiança dos visitantes.

A solução é localizar o script malicioso escondido nos ficheiros ou na base de dados do teu servidor e removê-lo. Assim que o fizeres, o redireccionamento forçado pára e recuperas o controlo sobre o teu tráfego.

Neste guia, vamos dizer-te o que é um hack de redireccionamento do WordPress, explicar como limpar a infeção manualmente, discutir os riscos de editar o código por conta própria e, em seguida, mostrar-te uma maneira automatizada de corrigir o problema usando o Cloudways Malware Protection Addon.

O que é um Hack de Redireccionamento do WordPress?

Um hack de redireccionamento do WordPress é um ataque cibernético em que scripts maliciosos são injectados no teu site para redirecionar à força os visitantes das tuas páginas pretendidas para destinos de terceiros não autorizados.

Quando os utilizadores clicam num link para o teu site, este código oculto sequestra o seu browser e empurra-os instantaneamente para outro lugar. Um exemplo real desta situação é a campanha Balada Injetor. Nesse ataque específico, os piratas informáticos exploraram vulnerabilidades em mais de um milhão de sites WordPress para roubar tráfego e empurrar os visitantes para falsos esquemas de apoio técnico.

Os piratas informáticos executam estes ataques para lucrar com o teu público. Normalmente, redireccionam o tráfego que ganhaste com dificuldade para sites de phishing criados para roubar credenciais, conteúdos para adultos ou redes de anúncios fraudulentas que geram receitas ilegais com as visualizações da tua página.

Corrige o teu Hack de Redireccionamento do WordPress Automaticamente

Ignora a arriscada edição manual de código e a busca no banco de dados. Localiza e limpa automaticamente scripts de redirecionamento ocultos no nível do servidor com o complemento Cloudways Malware Protection.

Aprende mais!

Sinais comuns de que o teu site WordPress está a ser redireccionado para spam

O código malicioso geralmente permanece oculto durante o maior tempo possível. A principal função é redirecionar o tráfego silenciosamente, sem alertar o proprietário do site para o problema. Se começares a notar que o teu site wordpress está a ser redireccionado para spam, tens de agir rapidamente.

Apresentamos-te de seguida os sintomas imediatos a que deves estar atento com mais pormenor:

1. Reclamações diretas dos teus visitantes

Muitas vezes, o primeiro aviso vem diretamente do teu público. Podes receber e-mails, mensagens nas redes sociais ou pedidos de apoio de clientes frustrados que dizem que o teu sítio Web está sempre a redirecionar para outro sítio sempre que tentam clicar numa ligação ou ler um artigo.

O script não autorizado é muitas vezes configurado para ignorar as sessões de administrador com sessão iniciada. Isto faz com que os teus visitantes regulares sejam a primeira linha de defesa para detetar a infeção.

2. URLs de malware conhecidos que piscam no navegador

Quando ocorre um redireccionamento forçado, a transição raramente é um salto direto do teu site para o destino final. Podes ver domínios maliciosos específicos e reconhecidos a piscar rapidamente na barra de endereços do browser antes de a página de spam final ser carregada.

Um culpado frequente é o vírus shbzek.com ou URLs de rastreamento intermediários semelhantes. Estes domínios intermediários interceptam a ligação do utilizador antes de empurrar o visitante para o destino final (muitas vezes, podes detectá-los precocemente executando uma verificação do site Sucuri).

3. Reencaminhamento súbito para as vendas de produtos farmacêuticos

Podes estar a lidar com um wordpress pharma hack. Este problema específico redirecciona os utilizadores para páginas de vendas de produtos farmacêuticos não autorizados. Aproveita a autoridade SEO existente do teu domínio para contornar os filtros dos motores de busca e apresentar estes produtos ao teu público.

4. Comportamento estranho específico do tráfego móvel ou de pesquisa

Os scripts são frequentemente escritos para serem activados apenas em condições muito específicas. O redireccionamento não autorizado pode acontecer apenas em dispositivos móveis ou exclusivamente para visitantes que chegam diretamente de uma pesquisa no Google. O código baseia-se na lógica condicional para funcionar desta forma.

Se verificares o teu site escrevendo o URL diretamente no teu browser de computador, tudo parece estar perfeitamente bem. Esta tática garante que o proprietário do site permanece completamente inconsciente enquanto o tráfego de pesquisa orgânica é silenciosamente redireccionado.

Como Implementar uma Correção de Hack de Redirecionamento do WordPress (Método Manual)

A remoção manual de malware do WordPress requer que te aprofundes na configuração do teu servidor. O código não autorizado quase nunca está à vista de todos. Em vez disso, espalha-se por vários diretórios e tabelas de banco de dados para evitar a deteção.

Se te sentires à vontade para editar diretamente os ficheiros do teu servidor, eis os passos exactos para localizar e eliminar esses scripts ocultos.

Passo 1: Inspeciona o ficheiro .htaccess

• O ficheiro .htaccess controla a forma como o teu servidor lida com o tráfego de entrada. Isto torna-o um alvo principal para redireccionamentos ao nível do servidor.
• Liga-te ao teu site utilizando um cliente FTP ou o gestor de ficheiros do teu alojamento e, em seguida, navega para a pasta de raiz pública do teu site. Na maioria das configurações de alojamento, esta é public_html. Em alguns alojamentos, pode ser htdocs, www, ou a pasta onde o WordPress está instalado. Abre o ficheiro .htaccess num editor de texto, faz as alterações e guarda o ficheiro.

• Procura regras de redireccionamento estranhas ou URLs desconhecidos. No exemplo abaixo, podes ver o código malicioso concebido para redirecionar o tráfego móvel colocado mesmo no topo do ficheiro. Se vires um código semelhante a afastar o tráfego do teu domínio, elimina essas linhas específicas e guarda o ficheiro.

Passo 2: Verifica os ficheiros principais do WordPress

• Em seguida, examina os ficheiros principais do WordPress. Tens de prestar especial atenção ao wp-config.php e ao index.php. O script oculto muitas vezes parece um bloco enorme de texto aleatório. Esta é uma técnica conhecida como codificação base64, usada para ocultar o URL de destino real.
• No primeiro exemplo abaixo, podes ver uma cadeia ofuscada de código malicioso injectada mesmo no topo do ficheiro de configuração.

• Em alternativa, os atacantes utilizarão includes ocultos para carregar silenciosamente malware disfarçado de activos normais do site. No segundo exemplo, o código malicioso dentro de index.php está a forçar o site a carregar um ficheiro CSS falso. Elimina quaisquer blocos de código desconhecidos ou caminhos de ficheiros suspeitos que encontres nestes ficheiros principais.

Passo 3: Revê a base de dados

• Por vezes, o código de redireccionamento é injetado diretamente na tua base de dados e não nos ficheiros do servidor. Entra no phpMyAdmin e faz uma pesquisa nas tuas tabelas. Tens de te concentrar muito nas tabelas wp_options e wp_posts.
• Na captura de ecrã abaixo, podes ver uma etiqueta JavaScript maliciosa enterrada no final do conteúdo de uma publicação padrão do WordPress. Procura tags não reconhecidas ou URLs desconhecidos anexados às tuas publicações, páginas e definições de site legítimas. Remove todas as entradas não autorizadas que encontrares.

Passo 4: Procura ficheiros de temas e plug-ins

• Finalmente, inspecciona o teu tema ativo e os diretórios de plugins. Os ficheiros header.php e footer.php do teu tema são locais muito comuns para injecções de JavaScript. Uma vez que estes ficheiros específicos são carregados em todas as páginas do teu site, colocar um script dentro deles garante que o redireccionamento é ativado constantemente.
• Como mostrado no exemplo abaixo, os atacantes frequentemente colocam uma tag <script> antes da tag de fechamento </head > no arquivo de cabeçalho. Revê estes ficheiros e elimina quaisquer scripts desconhecidos.

Os riscos da remoção manual de malware

Tentar limpar ficheiros infectados à mão é um processo arriscado. Embora as etapas manuais descritas acima funcionem, elas têm desvantagens significativas que podem facilmente piorar a tua situação.

Aqui estão os principais problemas com a edição manual do código do teu site:

• Quebrar o teu site: Os ficheiros principais do WordPress e as configurações do servidor são altamente sensíveis. Se apagares uma linha de código errada em wp-config.php ou .htaccess, o teu site ficará instantaneamente danificado. Um único carácter em falta pode desencadear o Ecrã Branco da Morte, bloqueando-te completamente fora do painel de controlo do WordPress e colocando o teu site totalmente offline.
• Não encontra backdoors ocultos: Encontrar o script que causa o redireccionamento é normalmente apenas metade da batalha. Os atacantes deixam quase sempre backdoors ocultos espalhados pela tua estrutura de diretórios. Se eliminares o código de redireccionamento principal mas não encontrares uma backdoor, o malware regenera-se simplesmente no dia seguinte. Isto coloca-te num ciclo frustrante em que a infeção continua a voltar.
• Desperdiça tempo e recursos: A procura manual de código ofuscado requer conhecimentos técnicos e horas de esforço dedicado. Procurar linha a linha em tabelas de bases de dados e ficheiros principais prolonga o tempo de inatividade e mantém a sua empresa offline durante muito mais tempo do que o necessário.

Devido a estes riscos, pesquisar o código à mão raramente é a abordagem mais prática para um empresário que tenta voltar a estar online rapidamente.

Como Corrigir um Hack de Redireccionamento do WordPress Usando um Plugin

Se a edição direta de ficheiros do servidor estiver fora da tua zona de conforto, a utilização de um plug-in anti-malware do WordPress é a abordagem lógica seguinte. Os plugins automatizam o processo de pesquisa diretamente a partir do teu painel de controlo do WordPress.

Aqui está como utilizar uma ferramenta de segurança padrão como o Wordfence (ou uma alternativa fiável ao Wordfence) para encontrar e remover o script não autorizado.

Passo 1: Instala um scanner de segurança

• Acede à tua área de administração do WordPress. Navega até Plugins e clica em Adicionar novo. Procura Wordfence Security, instala o plugin e ativa-o.

• Terás de fornecer um endereço de e-mail para receber alertas de segurança e obter a tua chave de licença gratuita para concluir a configuração.

Passo 2: Configura as definições de digitalização

• Quando procuras malware no teu sítio Web, queres ter a certeza de que a ferramenta procura em todo o lado. Vai ao menu Wordfence no teu painel de controlo e clica em Verificar.

• Clica em“Manage Scan” e seleciona a opção“High Sensitivity“. Isto garante que o plugin verifica fora das pastas de instalação padrão do WordPress se existem backdoors ocultos ou modificações de ficheiros invulgares.

Passo 3: Executa a verificação de malware

• Volta à página principal da verificação e clica em“Iniciar nova verificação“. O plug-in irá agora comparar os teus ficheiros principais, temas e plug-ins actuais com as versões oficiais limpas armazenadas no repositório do WordPress. Verificará também a sua base de dados em busca de URLs maliciosos conhecidos e injecções de scripts não autorizadas.

Passo 4: Repara ou elimina os ficheiros infectados

• Quando a verificação terminar, verás uma lista de itens sinalizados. O Wordfence destacará os ficheiros específicos que contêm o código de redireccionamento.

• Para os ficheiros principais do WordPress, podes normalmente clicar num botão para“Reparar” o ficheiro, que elimina o código não autorizado e restaura a versão original limpa.

• Se a verificação encontrar ficheiros completamente não reconhecidos que não pertencem ao teu servidor, podes selecionar a opção para os eliminar completamente.

As limitações da utilização de plug-ins de segurança

Embora a utilização de um plugin seja significativamente mais segura do que a edição manual do código, continua a depender da tua aplicação WordPress para funcionar. Isto cria alguns obstáculos específicos durante uma infeção grave.

• Bloqueio do painel de controlo: Se o script de redireccionamento estiver configurado para ser ativado imediatamente após o carregamento da página de início de sessão, simplesmente não consegues aceder à tua área wp-admin. Se não conseguires iniciar sessão, não podes instalar ou executar o plug-in para resolver o problema.
• Drenagem de recursos do servidor: Os scans profundos de malware requerem grandes quantidades de poder de processamento. Executar esta tarefa intensiva diretamente a partir do teu backend do WordPress pode tornar o teu site mais lento para os visitantes ou até mesmo fazer com que um servidor mais pequeno falhe completamente.
• Restrições ao nível da aplicação: Os plug-ins operam inteiramente dentro dos limites do WordPress. Se o código não autorizado estiver escondido mais profundamente no nível do servidor, um plug-in padrão geralmente não tem as permissões necessárias para encontrar ou remover a causa raiz.

Como corrigir automaticamente o redirecionamento na Cloudways

Tanto a edição manual do código como os métodos baseados em plugins têm desvantagens significativas. Editar os ficheiros do servidor à mão coloca-te em risco de danificar o teu site, enquanto os plugins de segurança padrão se tornam totalmente inúteis se o código malicioso te bloquear o painel de controlo do WordPress.

Para fornecer uma opção mais segura e confiável, criamos o complemento de Proteção contra malware diretamente na plataforma Cloudways. Alimentado pelo Imunify360, ele opera no nível do servidor em vez de no nível do aplicativo.

Isto significa que nem sequer precisas de aceder à tua área wp-admin para eliminar a infeção.

Eis como o add-on resolve problemas complexos de redireccionamento diretamente a partir do teu painel de controlo:

• Limpeza automatizada de malware: Em vez de procurar código ofuscado ou vasculhar os gestores de ficheiros, o sistema analisa o ambiente do servidor para localizar os scripts maliciosos. Limpa automaticamente o código infetado, isolando a ameaça e mantendo intactos os ficheiros legítimos do seu site.
• Proteção profunda da base de dados: Os plug-ins padrão muitas vezes não detectam códigos maliciosos enterrados em tabelas de banco de dados. O nosso scanner entra diretamente na tua base de dados WordPress para eliminar estas ameaças ocultas e garantir uma segurança abrangente da base de dados. Também procura trabalhos cron maliciosos, fechando uma porta traseira comum que faz com que os redireccionamentos se regenerem.
• Auto-proteção da Aplicação em Tempo de Execução (RASP): Esta funcionalidade monitoriza ativamente a sua aplicação Web. Identifica injeções de malware em tempo real e bloqueia o roteamento não autorizado antes que o script possa ser executado.
• Eventos de defesa proactiva: Para fornecer segurança proativa contra ataques de dia zero, utiliza um mecanismo de avaliação de scripts PHP em tempo real para analisar exatamente o que seus scripts PHP estão fazendo enquanto são executados. Isto impede ameaças novas e desconhecidas que os scanners tradicionais baseados em assinaturas normalmente não detectam.

A utilização desta ferramenta integrada evita a necessidade de editar os ficheiros principais sensíveis e acelera o processo de recuperação.

Como ativar a limpeza automatizada

A ativação do complemento demora apenas alguns cliques e a verificação inicial é executada totalmente em segundo plano, sem afetar o desempenho do teu site.

Passo 1: Navega até à Segurança da Aplicação

Faça login na sua plataforma Cloudways, selecione seu servidor e clique no seu aplicativo específico. No menu de gerenciamento à esquerda, clica em Segurança do aplicativo e seleciona a guia Proteção contra malware.

Passo 2: Ativar o scanner

Clica no botão Ativar proteção. Isto ativa instantaneamente a monitorização em tempo real e desencadeia uma análise abrangente e automatizada dos teus diretórios Web e da tua base de dados do WordPress.

Passo 3: Monitorizar o teu painel de controlo

Quando o add-on estiver ativo, podes monitorizar as ameaças e as acções de limpeza automatizadas através de três separadores simples:

• Malicioso: lista todas as ameaças isoladas. Mostra o caminho exato do ficheiro ou a tabela da base de dados onde o código de redireccionamento foi encontrado e confirma a ação tomada (Limpo, em Quarentena ou Removido).
• Histórico de verificações: Aqui, podes rever um registo completo de todas as verificações automáticas anteriores ou clicar em “Iniciar verificação” para ativar uma verificação imediata a pedido.
• Defesa proactiva: Este é o teu registo de proteção em tempo de execução. Detalha todos os eventos de dia zero em que scripts PHP maliciosos foram impedidos de serem executados.

Como evitar futuros redireccionamentos maliciosos

Para garantir que o redireccionamento não volta, tens de fechar as vulnerabilidades que permitiram a injeção em primeiro lugar e reforçar a segurança geral do teu site.

Aqui está como proteger o teu ambiente WordPress contra futuros ataques.

1. Mantém o teu software atualizado

Os plugins e temas desactualizados são os pontos de entrada mais comuns para o malware. Os desenvolvedores lançam regularmente patches para vulnerabilidades conhecidas, e atrasar essas atualizações deixa seu site exposto. Para simplificar esse fluxo de trabalho e evitar a quebra de seu site ao vivo, você pode usar o Cloudways SafeUpdates para testar, fazer backup e aplicar automaticamente esses patches críticos.

2. Remove Plugins e Temas Inactivos

O software não utilizado continua a residir no teu servidor, fornecendo aos atacantes alvos desnecessários. Mesmo que um plug-in esteja desativado, uma vulnerabilidade conhecida no seu código ainda pode ser explorada. Se um plug-in ou tema não estiver a servir ativamente um propósito, elimina-o completamente para reduzir a pegada de vulnerabilidade do teu site.

3. Evita software nulo

Os plug-ins e temas premium pirateados ou “nulled” são frequentemente modificados para incluir backdoors ocultos e malware antes de serem distribuídos. Ao instalá-los, o teu site fica comprometido desde o primeiro dia. Obtém sempre o teu software diretamente do repositório oficial do WordPress ou de programadores verificados.

4. Aplica palavras-passe fortes e 2FA

A segurança avançada do servidor não pode proteger um site se um invasor simplesmente fizer login com credenciais de administrador comprometidas. Exige palavras-passe complexas e únicas para todas as contas de utilizador e ativa a autenticação de dois factores (2FA) para proteger rigorosamente o teu painel de controlo wp-admin.

5. Utiliza um ambiente de alojamento seguro

Seu provedor de hospedagem desempenha um papel crítico na filtragem de tráfego malicioso. Uma plataforma segura como a Cloudways fornece proteções integradas no nível do servidor, como um Web Application Firewall (WAF) e mitigação de bots para bloquear ataques automatizados e tentativas de login não autorizadas antes que elas cheguem ao seu aplicativo WordPress.

Terminar!

Um hack de redireccionamento do WordPress prejudica gravemente a reputação do teu site e rouba o teu tráfego orgânico. Embora possas tentar encontrar o código malicioso manualmente ou confiar em plug-ins de segurança padrão, ambos os métodos têm desvantagens significativas.

A edição manual põe em risco os teus ficheiros principais e os plugins ao nível da aplicação tornam-se inúteis se o malware te bloquear o painel de controlo.

A maneira mais confiável de eliminar uma infeção é lidar com ela no nível do servidor. Em vez de pagar centenas por um serviço único de remoção de malware de site, o complemento Cloudways Malware Protection automatiza todo o processo de limpeza a partir de apenas US$ 4/mês por aplicativo.

Analisa a sua base de dados e ficheiros, neutraliza a ameaça e bloqueia ativamente futuros ataques antes de serem executados. Ao ativar esta ferramenta integrada e ao manter o software atualizado, podes proteger permanentemente o teu site WordPress contra redireccionamentos maliciosos.