Como corrigir o aviso “site enganoso a frente” no WordPress

Principais conclusões

• Um aviso “Deceptive site ahead” bloqueia instantaneamente o tráfego do sítio Web, exigindo a identificação e remoção imediata do código malicioso.
• A limpeza manual do site é altamente propensa a erros, uma vez que a omissão de um único script ofuscado faz com que o Google rejeite a análise de segurança e aumenta o tempo de inatividade do site.
• O Cloudways Malware Protection Add-on automatiza a remoção de backdoor no nível do servidor, garantindo um site totalmente limpo antes de enviar a revisão do Google.

Encontrar o aviso “Site enganador à frente” significa que o Google está a bloquear ativamente o acesso dos visitantes ao teu Web site. O teu tráfego orgânico e direto diminui instantaneamente, destruindo a confiança dos visitantes e interrompendo as receitas da empresa. Ser sinalizado pelos motores de busca indica uma falha crítica na segurança do teu sítio Web.

Para restaurar o acesso, tens de identificar os ficheiros comprometidos, removê-los em segurança e provar ao Google que o teu domínio está limpo.

Este guia explica exatamente o que significa este aviso e como localizar manualmente o código malicioso escondido no teu servidor.

Vamos percorrer as etapas exatas para enviar seu site para uma revisão de segurança e, em seguida, mostrar como o complemento Cloudways Malware Protection fornece uma alternativa automatizada para garantir que seu site esteja totalmente limpo antes de enviar essa revisão.

O que significa “Site Deceptive Ahead”?

A mensagem “Site enganador à frente” é um aviso de ecrã inteiro gerado pela Navegação segura do Google. Quando este ecrã aparece, significa que o Google analisou o teu Web site e encontrou indícios de atividade maliciosa.

O motor de busca assinala o domínio porque acredita que o teu site está atualmente configurado para enganar os visitantes e levá-los a fazer algo perigoso, como revelar palavras-passe sensíveis ou descarregar vírus.

O impacto deste bloqueio é grave. Este aviso bloqueia efetivamente mais de 95% do teu tráfego orgânico e direto. Prejudica o teu SEO, a reputação da tua marca e interrompe as receitas da tua empresa até que o problema de segurança subjacente seja totalmente resolvido e o Google limpe o domínio.

Causas comuns do aviso de site enganoso à frente

A Navegação segura do Google monitoriza constantemente a Web em busca de ameaças específicas. Quando coloca um bloqueio no teu domínio, normalmente é porque detectou uma das seguintes vulnerabilidades:

• Páginas de phishing: Os atacantes comprometem frequentemente um site para alojar portais de início de sessão falsos. Estas páginas imitam serviços legítimos, como bancos ou fornecedores de e-mail, para roubar nomes de utilizador e palavras-passe de visitantes desprevenidos.
• Descargas de malware: O teu site pode estar a tentar instalar secretamente software malicioso nos computadores dos teus visitantes. Isto acontece quando os hackers injectam scripts que forçam downloads automáticos de vírus ou ransomware.
• Redireccionamentos maliciosos e spam: Os atacantes também usam sites comprometidos para canalizar o tráfego para destinos ilegais ou maliciosos. Um hack de redireccionamento o culto do WordPress desencadeia quase instantaneamente os filtros de sites enganadores do Google. Além disso, o spam de SEO de chapéu preto, como o hack de palavras-chave japonesas, é frequentemente assinalado pelo Google Safe Browsing.

Estas infecções raramente acontecem por acidente. Os piratas informáticos deixam frequentemente uma porta traseira no WordPress para que possam carregar continuamente estes ficheiros enganadores, mesmo depois de tentares fazer uma limpeza básica.

Corrige automaticamente o aviso de site enganoso

A limpeza manual muitas vezes não detecta malware oculto. O complemento Cloudways Malware Protection analisa o teu servidor para extrair ameaças, para que possas passar na revisão de segurança do Google.

Protege-te

Como verificar se o teu site está sinalizado

A maior parte dos proprietários de sítios Web não descobre um aviso “Deceptive site ahead” navegando casualmente na sua própria página inicial.

Normalmente, descobres isso através de uma queda súbita no tráfego do Google Analytics ou de um e-mail de segurança crítico diretamente da Consola de Pesquisa do Google.

Quando recebes estes relatórios, o teu primeiro instinto é escrever o teu URL no teu browser para ver o que se passa.

No entanto, é possível que não vejas o ecrã de aviso no teu computador. Os navegadores guardam frequentemente em cache versões mais antigas do teu sítio Web para melhorar os tempos de carregamento. Isto significa que os teus visitantes estão a ser bloqueados pelo Google enquanto o site parece perfeitamente normal para ti.

Para obter uma resposta definitiva, deves evitar confiar no que é carregado no teu browser pessoal. Utiliza o Relatório de Transparência do Google para ver exatamente como os motores de busca vêem atualmente o teu domínio.

Eis como podes verificar o teu estado:

• Navega até à página Estado do site de navegação segura do Google.
• Introduz o URL exato do teu site na barra de pesquisa e prime enter.
• Analisa os resultados na secção “Estado atual”.

Esta ferramenta dir-te-á explicitamente se o Google encontrou conteúdo enganador ou se o site está marcado como não seguro. Também podes utilizar um scanner externo, como o Sucuri SiteCheck, para verificar se o teu domínio está incluído noutras listas negras globais.

Passos para remover o aviso “Deceptive Site Ahead” manualmente

Livrar-se de uma lista negra do Google requer uma abordagem muito específica. Não podes simplesmente adivinhar quais os ficheiros que estão infectados e esperar que o aviso desapareça.

Tens de encontrar a fonte, proteger os teus dados existentes, remover manualmente o código incorreto e, em seguida, pedir formalmente ao Google uma reavaliação.

Passo 1: Verifica o relatório de problemas de segurança do Google

Não comeces a eliminar ficheiros às cegas. O teu primeiro passo é descobrir exatamente o que o Google viu quando rastreou o teu site. Tens de aceder aos dados de diagnóstico específicos que o Google fornece aos proprietários de sites verificados.

Acede ao teu painel de controlo da Consola de Pesquisa do Google e segue estes passos para localizar os ficheiros infectados:

• Navega até ao menu do lado esquerdo e clica em Segurança e acções manuais.
• Abre o separador Problemas de segurança.

• Revê a lista categorizada de hacks detectados. O Google rotulará o problema como um download prejudicial, páginas enganosas ou algo semelhante.

• Clica em cada problema individual para revelar os exemplos específicos de URLs e trechos de código em que o Google encontrou a atividade maliciosa.

Este relatório aponta diretamente para as áreas problemáticas, para que possas limpar as coisas mais rapidamente.

Passo 2: Faz uma cópia de segurança do teu sítio Web

Parece estranho fazer uma cópia de segurança de um site pirateado, mas é uma rede de segurança fundamental. A remoção manual de malware exige que edites ou elimines os ficheiros principais do WordPress e as tabelas da base de dados.

Se cometeres um erro e apagares o ficheiro PHP errado, todo o teu site ficará danificado, tornando o processo de recuperação muito mais difícil.

Antes de modificares uma única linha de código, tens de guardar uma cópia do estado atual do teu site.

Eis como proteger manualmente os teus ficheiros e a tua base de dados:

• Descarrega os teus ficheiros: Liga-te ao teu servidor utilizando um cliente FTP como o FileZilla. Localiza o diretório raiz que contém a tua instalação do WordPress e transfere toda a pasta para o teu computador local.

• Exporta a tua base de dados: Acede ao phpMyAdmin através do painel de controlo do teu alojamento. Seleciona a tua base de dados WordPress e exporta uma cópia .sql completa para o teu disco local.

Se o teu site estiver hospedado na Cloudways, podes ignorar os downloads manuais. Nós fornecemos um método automatizado muito mais rápido:

• Vai a Gestão de aplicações no teu painel principal.
• Seleciona a aplicação afetada.
• Navega para o separador Cópia de segurança e restauro.
• Clica no botão Fazer cópia de segurança agora para gerar um ponto de restauro imediato.

Passo 3: Encontra e remove o código malicioso

Assim que tiveres a lista de URLs sinalizados pelo Google, a fase seguinte envolve a ligação ao teu servidor para localizar e extrair o código comprometido. A remoção manual de malware do WordPress é difícil de executar sem falhas enquanto o teu domínio estiver ativamente bloqueado.

Os ficheiros maliciosos estão muitas vezes dispersos por diferentes diretórios, exigindo uma auditoria completa de toda a sua arquitetura. É aqui que tens de procurar limpar o teu site manualmente:

O diretório Uploads

O caminho wp-content/uploads destina-se exclusivamente a recursos multimédia, como fotografias e PDFs. Nunca deverás encontrar aqui código executável. Inicia sessão através do teu cliente FTP e navega pelas subpastas baseadas em datas.

Se encontrares uma extensão .php escondida entre os teus ficheiros de imagem padrão, é muito provável que seja uma adição maliciosa.

Verifica o conteúdo desse ficheiro. Normalmente, os piratas informáticos baralham o seu código para esconder o seu objetivo. Se o abrires e vires um bloco enorme de caracteres aleatórios e ilegíveis, tens de remover esse ficheiro imediatamente.

Ficheiros de configuração

Os intrusos adoram enterrar os seus scripts em ficheiros de sistema essenciais para que o site continue a funcionar normalmente enquanto executam os seus payloads. Normalmente, vão atrás do wp-config.php ou do functions.php do teu tema.

Obtém uma cópia limpa do WordPress a partir da fonte oficial e compara-a com os teus ficheiros activos. Estás à procura de comandos PHP suspeitos, como eval() ou base64_decode(), que tenham sido introduzidos no código.

Se vires estes comandos ligados a cadeias de texto estranhas, elimina cuidadosamente essa parte específica do código, guarda as tuas alterações e substitui o ficheiro no teu servidor.

Ficheiros de sistema falsos

Outro truque comum é a camuflagem. Os piratas informáticos colocam ficheiros maliciosos nas tuas diretorias principais, mas dão-lhes nomes que parecem oficiais à primeira vista.

Procura na tua pasta raiz e no diretório wp-includes. Fica atento aos ficheiros rotulados como wp-options.php ou index-config.php.

A versão oficial do WordPress não utiliza estes nomes de ficheiros específicos. Encontrá-los confirma um compromisso ativo, por isso tens de os apagar completamente.

Tabelas da base de dados

Encontrar todos os ficheiros PHP defeituosos é inútil se um atacante deixou uma conta backdoor para voltar a entrar mais tarde. Tens de eliminar todas as contas maliciosas diretamente ao nível da base de dados. Abre o phpMyAdmin a partir do painel de controlo do teu alojamento e navega até à tabela wp_users.

Procura na lista nomes de utilizador irreconhecíveis ou endereços de e-mail estranhos e elimina imediatamente essas linhas.

Também precisas de verificar a segurança completa da base de dados, revendo a tabela wp_options. Procura na coluna option_name a linha active_plugins.

Por vezes, os piratas informáticos activam plugins invisíveis diretamente na base de dados para evitar a deteção no teu painel de controlo principal. Elimina todas as referências de plugins desconhecidas que aí se encontrem.

O maior risco desta etapa é deixar uma porta traseira oculta para trás. Se eliminares o spam óbvio, mas não apanhares o script oculto que o hacker utilizou para obter acesso, o teu site será imediatamente reinfectado.

Se o Google detetar o malware novamente, rejeitará o teu pedido de revisão e prolongará o teu tempo de inatividade.

Passo 4: Solicita uma avaliação do Google

O ecrã de aviso vermelho não desaparecerá por si só, só porque apagaste os ficheiros com defeito. Quando tiveres a certeza absoluta de que o site está limpo, tens de pedir formalmente ao Google que avalie novamente o teu domínio.

Eis como enviar o teu site para uma análise de segurança:

• Volta ao relatório de Problemas de segurança no painel de instrumentos da Consola de Pesquisa do Google.
• Clica no botão Solicitar revisão, localizado na parte superior do relatório.

• Preenche o formulário obrigatório com detalhes específicos. Tens de explicar exatamente que vulnerabilidades encontraste, como removeste o código malicioso e que passos tomaste para proteger o servidor de futuros ataques.
• Apresenta o pedido e aguarda os resultados.

Tens de definir as tuas expectativas em conformidade. O Google não processa estes pedidos instantaneamente. Normalmente, demora entre 24 e 72 horas para que os seus sistemas automáticos voltem a analisar o teu site e processem a revisão.

Se o teu site estiver realmente limpo, o aviso de site enganoso será retirado globalmente e o teu tráfego será retomado.

No entanto, é difícil conseguir um site completamente limpo manualmente. Se faltar apenas um ficheiro oculto, o Google rejeitará o teu pedido de revisão e prolongará o teu tempo de inatividade.

Uma vez que a pesquisa manual e os plug-ins básicos muitas vezes não detectam backdoors profundamente enraizados, a utilização de um scanner ao nível do servidor é a forma mais segura de garantir que o teu site passa na análise.

A correção automatizada: Cloudways Malware Protection Add-on

Para passar na revisão do Google na primeira tentativa, precisas de analisar profundamente o teu site em busca de malware ao nível do servidor. O complemento Cloudways Malware Protection opera abaixo da camada de aplicação do WordPress.

Isto significa que detecta as ameaças ocultas que os plug-ins padrão e as verificações manuais não detectam constantemente, proporcionando uma taxa de sucesso muito mais elevada para a tua avaliação do Google.

Eis como esta ferramenta prepara o teu site para uma análise de segurança bem sucedida sem que tenhas de tocar em qualquer código:

• Remoção automatizada de Backdoor: Em vez de procurar manualmente por funções ocultas, o scanner ao nível do servidor encontra e extrai automaticamente cargas maliciosas, mantendo os teus ficheiros principais legítimos completamente seguros.
• Auditoria profunda da base de dados: A ferramenta ignora as consultas padrão para auditar diretamente a sua base de dados. Procura contas de administrador desonestas, plugins ocultos e tarefas cron de servidor maliciosas que os hackers utilizam para recuperar o acesso.
• Autoproteção de aplicativos em tempo de execução (RASP): O Cloudways usa a autoproteção de aplicativos em tempo de execução (RASP) para identificar e neutralizar arquivos maliciosos instantaneamente. Se um script oculto tentar executar um comando, ele será bloqueado em tempo real.
• Defesa proactiva de dia zero: Fornece segurança completa ao servidor, analisando como os scripts realmente se comportam. Se um arquivo age como um backdoor, ele é interrompido imediatamente, mesmo que seja uma nova ameaça.

Como ativar o complemento Cloudways Malware Protection

A ativação desta proteção demora apenas alguns cliques. O trabalho pesado é feito diretamente no servidor, o que significa que não irá esgotar os recursos do WordPress nem tornar o teu site mais lento.

Passo 1: Navega até à Segurança da Aplicação

Entra na tua conta Cloudways e seleciona a tua aplicação alvo. No menu esquerdo, clica em Segurança do aplicativo e escolhe a guia Proteção contra malware.

Passo 2: Ativar o scanner

Clica no botão Ativar proteção. Isto ativa instantaneamente a monitorização em tempo real e inicia uma varredura abrangente dos teus ficheiros e da tua base de dados.

Passo 3: Monitorizar o teu painel de controlo

Quando a verificação inicial terminar, podes rever as acções de limpeza automatizadas em três separadores específicos:

• Malicioso: Esta secção lista ameaças isoladas. Mostra o caminho exato do ficheiro e confirma se o script foi limpo, colocado em quarentena ou totalmente removido.
• Histórico de verificações: Aqui podes rever os registos de verificações de segurança de fundo anteriores ou forçar uma nova verificação imediata do teu servidor.
• Defesa proactiva: Este registo de tempo de execução mostra exatamente quando e onde os scripts PHP maliciosos activos foram impedidos de serem executados.

Como evitar avisos de site enganosos no futuro

Sair de uma lista negra do Google requer tempo e esforço. Quando o teu site estiver limpo e o teu tráfego voltar ao normal, tens de te concentrar em impedir o próximo ataque antes que ele aconteça.

Aqui estão as formas mais eficazes de manter o teu domínio fora das listas negras de segurança:

Mantém tudo atualizado

Os piratas informáticos baseiam-se em vulnerabilidades conhecidas em software desatualizado. Deves corrigir constantemente o núcleo, os temas e os plug-ins do WordPress. Os programadores lançam estas actualizações especificamente para fechar as falhas de segurança exactas que os atacantes utilizam para injetar código malicioso.

Se a manutenção manual ocupa muito tempo, aproveitar o Cloudways SafeUpdates automatiza todo o processo enquanto testa seu site de antemão para garantir que nada quebre.

Utiliza um WAF

Limpar o malware é uma medida reactiva. Um Web Application Firewall interrompe o ataque no perímetro. Adicionar o Cloudflare Enterprise ao Cloudways bloqueia os bots maliciosos e os scanners de vulnerabilidade que tentam lançar malware no seu servidor em primeiro lugar.

Saiba como adicionar proteção de borda difere da varredura interna em nossa comparação entre WAF e firewall.

Passar do pânico reativo para a segurança proactiva garante que nunca mais terás de lidar com um ecrã de aviso vermelho.

Terminar!

Um aviso “Site enganador à frente” destrói imediatamente o teu tráfego e prejudica a confiança do visitante. O restabelecimento do acesso requer um processo de limpeza metódico.

Tens de identificar os ficheiros comprometidos através da Consola de Pesquisa do Google, remover totalmente o código malicioso e enviar um pedido de revisão formal.

O passo mais importante é garantir que a infeção é completamente erradicada antes de pedires uma reavaliação ao Google. Uma avaliação falhada apenas prolonga o teu tempo de inatividade.

Quer optes por procurar os ficheiros manualmente ou por confiar num scanner automatizado ao nível do servidor, como o add-on Cloudways Malware Protection, confirmar que o teu site está genuinamente limpo é a única forma de levantar o bloqueio e colocar o teu negócio novamente online em segurança.