Vírus no WordPress: como removê-los rapidamente (guia completo!)

Ter vírus no WordPress é uma situação chata demais! Felizmente, é simples removê-los. Basta seguir os hábitos ditos nesse artigo.

  • 17 min de leitura
Foto de Lucas Tavares
virus no wordpress

Um site infectado por malware é uma das situações mais complicadas para quem tem um site.

Afinal de contas, muitas vezes você não sabe nem como o WordPress pegou o vírus e, muito menos, como resolver esse problema.

Felizmente, embora pareça complicado no início, proteger o seu site WordPress é mais simples do que parece.

Basta seguir algumas pequenas instruções e adotar alguns hábitos para impedir que códigos maliciosos invadam o seu site e ponham em risco seus resultados no Google ou até mesmo seu faturamento com possíveis clientes.

Para isso, precisamos entender inicialmente com qual problema estamos lidando.

O que é um malware?

Um malware é um termo comum para todo tipo de código, programa ou material malicioso feito por crackers com o objetivo de obter lucro financeiro ou provocar riscos à usuários na internet.

É o que comumente chamamos de "vírus".

Principais problemas causados por malwares

Existem dois principais problemas quando se tratam de malwares no WordPress.

O primeiro é o redirecionamento.

Nele, você acredita que seu site está funcionando normalmente, mas em horários específicos (madrugada, por exemplo) ou situações específicas (usuários vindo do Google), os usuários são redirecionados para gerar tráfego a outros sites ou até mesmo para passarem por phishing ou outras ferramentas com objetivo de roubar dados.

Se isso já não fosse problema, temos ainda um segundo fator ainda mais perigoso: a interceptação de informações.

Nesse problema, o seu site também parece funcionar perfeitamente, mas tudo o que está sendo digitado em formulários (seja externa ou internamente) está sendo enviado para outro local.

Onde isso leva? A vazamento de dados, principalmente envolvendo cartões de crédito.

Claro que o WordPress a cada atualização melhora suas políticas e medidas de segurança, mas é importante lembrar que crackers também evoluem seus métodos e trazem riscos para todos.

Como seu WordPress pode pegar vírus

perigo virus no wordpress

Basicamente, através de três formas:

1. Acesso mal intencionado

Seu WordPress pode pegar vírus caso algum usuário mal intencionado tenha acesso às pastas do seu servidor. Ele, através da engenharia social ou através de ferramentas, pode acessar seus arquivos e instalar o que quiser lá.

Embora seja o mais difícil de acontecer, é necessário estar atento e contratar uma hospedagem realmente segura. Empresas de hospedagem de site de baixa qualidade são mais vulneráveis a ataques de hackers.

2. Plugins nulled

Plugins nulled são plugins piratas. Você precisaria pagar para ter acesso a eles, mas conseguiu uma licença "gratuita" através de terceiros.

Muitas vezes, essas versões nulled vêm alteradas, de forma a contribuir para a instalação de vírus e outras ferramentas capazes de te prejudicar.

Na dúvida, sempre invista em plugins premium. Os valores são elevados, muitas vezes em moeda estrangeira, mas é muito melhor ficar com a consciência tranquila de que seu site realmente está protegido.

3. Temas nulled

Da mesma forma que existem plugins nulled, também existem temas nulled. Ou seja, temas piratas que são disponibilizados por outros sites além do oficial.

Se os plugins piratas já eram um problema, imagine todo um tema, cuja liberdade de estilização e de codificação pode ser ainda maior.

No entanto, como já deu para perceber, nem sempre é fácil saber que um site está infectado.

O que fazer então? Ficar atento aos sintomas.

4. Falha de segurança do próprio WordPress

Mesmo sendo o CMS mais poderoso, como muitos sistemas de segurança, o WordPress pode possuir falhas de segurança.

Felizmente, como é uma comunidade de código aberto, caso algum bug ou problema seja identificado, ele é logo corrigido na próxima atualização (que são constantes).

Já que estamos falando de um sistema que existe e é atualizado desde 2003, essas falhas de segurança são raríssimas hoje em dia, mas podem ocorrer.

A boa notícia é que alguns plugins podem te ajudar a ter mais segurança do que a própria versão nativa do WordPress. Falaremos sobre eles daqui a pouco.

Sintomas de vírus no WordPress

sintomas de virus no wordpress

Os principais sintomas de que algo está errado com o seu WordPress estão listados abaixo:

Redirecionamentos

Como forma de atrair tráfego para sites piratas e perigosos, os redirecionamentos são um dos sintomas mais comuns. No entanto, como já dito nesse artigo, nem sempre eles ocorrem o tempo inteiro.

Muitas vezes os redirecionamentos são programados para serem feitos em horários que o dono do site não poderá averiguar.

Uma boa forma de verificar se isso está acontecendo é a utilização de ferramentas como o Google Analytics. Nela, o seu tráfego é analisado e, com isso, é possível verificar as saídas do seu site.

Caso note algum comportamento incomum, fique atento.

Tela branca

Normalmente a tela branca do WordPress é um bug que pode indicar inúmeras coisas, não apenas vírus.

Esse tipo de comportamento pode acontecer por causa de:

  • Falta de memória do WordPress;
  • Incompatibilidade de tema;
  • Incompatibilidade de plugin;
  • Problemas com servidor de hospedagem.

Mas, por via das dúvidas, é bom prestar atenção e verificar se esse problema está sendo mais comum do que deveria.

Comportamentos incomuns

Sabe quando o site fica mais lento do que o normal?

Sabe quando você clica em qualquer canto da tela e parece que um link "fantasma" foi clicado?

Sabe quando surge um pop-up ou banner que você não criou em momento algum?

Esses comportamentos incomuns podem indicar vírus no WordPress.

Vez ou outra, é bom verificar (em uma aba anônima) se o seu site está se comportando como deveria.

Como remover o vírus do WordPress

Nos passos abaixo você vai saber como remover, de uma vez por todas, os arquivos maliciosos da sua instalação no WordPress.

1. Faça um backup

Antes de qualquer alteração no seu site, faça backup!

Essa é uma regra ignorada facilmente pela maioria das pessoas que possuem site no WordPress pelo fato da plataforma ser segura e nem sempre apresentar problemas.

Mesmo assim, existem inúmeras ferramentas que te ajudam nessa função (escrevemos um artigo completo sobre isso).

2. Desative temas e plugins não essenciais

É muito comum você manter temas e plugins que não usa ativados e instalados.

Embora pareça inofensivo para a maioria dos usuários, fazer isso abre chance de problemas de incompatibilidade, bugs e até mesmo entrada para vírus.

O recomendável é desativar/excluir os plugins não utilizados, ou cuja funcionalidade possa ser ignorada (isso depende da estratégia do seu site) e manter apenas dois temas instalados (o seu tema atual e o tema mais recente que já vem com a própria versão do WordPress).

3. Faça a limpeza com o site offline

Praticamente todos vírus e malwares para WordPress são projetados para ter uma camada de persistência. Isso é, o seu site se auto infecta a todo momento.

Cada vez que uma página do seu site é carregada, seja por você ou por um visitante legítimo do site, um código do malware é acionado para infectar novamente os arquivos do site.

Quase sempre esse tipo de código insere trechos de scripts em diferentes arquivos do site e obviamente você não consegue remover todos esses códigos de uma vez só. Ou seja, enquanto você está removendo um arquivo ele é inserido em vários outros arquivos.

Por esse motivo, é comum as pessoas falarem que o malware "voltou" depois de ser removido. Porém, na realidade o próprio malware é programado para infectar novos arquivos quando detecta que o site está sendo "limpo".

Para evitar esse problema, é importante realizar a remoção do malware com o site offline. Dessa forma, o malware perde a capacidade de executar scripts durante o processo de limpeza dos arquivos.

Você pode realizar a limpeza do site offline de duas formas diferentes:

  1. Faça o download do último backup do seu site e realize a limpeza dos arquivos em seu computador. Depois de realizar o procedimento de limpeza ensinado nas próximas etapas deste tutorial, apague todos os arquivos do servidor e envie os arquivos que foram limpos por você (eu utilizo esse método, pois assim posso usar o antivírus do meu pc para escanear as pastas do site em busca de códigos ou arquivos maliciosos).
  2. A segunda opção é remover o site do ar movendo todos os arquivos para uma pasta de nome aleatório (dentro do servidor) e, partir dessa pasta, realizar os procedimentos de limpeza de malware. Desse modo, durante todo o processo de remoção do malware ninguém vai conseguir acessar o site e, com isso, o malware perde a capacidade de infectar novos arquivos (não utilize plugins que exibem mensagem de site em manutenção para tirar o site do ar).
remoção de malware com o site offline
A limpeza de arquivos do site deve ser feita baixando os arquivos para seu computador ou tirando o site do ar, para dessa forma impedir que o script malicioso infecte novamente o site durante o processo de remoção do malware.

4. Reinstale seu WordPress manualmente

Eu já expliquei passo a passo 4 formas de reinstalar o WordPress caso aconteça algum problema.

Entretanto, também vou explicar de forma resumida para você.

  1. Baixe o WordPress novamente no site oficial.
  2. Abra o arquivo Winrar que foi baixado e exclua a página WP-CONTENT (da pasta extraída, não do seu site!!).
  3. Extraia os arquivos e envie para seu servidor via FTP ou gerenciador de arquivos.
  4. Ao fazer isso, você será avisado que os arquivos já existem, basta clicar em Substituir e Utilizar sempre esta AçãoAplicar somente a fila atual.

Os passos acima farão a atualização manual de todo arquivo do WordPress (exceto da pasta WP-CONTENT que é onde ficam seus arquivos pessoais como fotos, plugins e temas).

5. Reinstale temas e plugins

Depois de reinstalar o WordPress, é necessário reinstalar temas e plugins para garantir que as alterações maliciosas feitas por vírus sejam removidas completamente do seu site.

  1. Abra a pasta wp-content do seu site.
  2. Localize os plugins na pasta plugins e temas na pasta themes.
  3. Exclua um por um, sempre baixando o mesmo novamente de fontes oficiais. Exemplo: Plugins gratuitos do WordPress podem ser baixados no repositório de plugins. Agora, se for um plugin premium, procure o arquivo zipado de instalação no site oficial do desenvolvedor.

6. Verifique o arquivo wp-config.php

O arquivo wp-config.php é o único arquivo que não é sobrescrito quando você reinstala o WordPress. Isso ocorre porque é nesse arquivo que o WP armazena o login do banco de dados e as chaves de autenticação do login do site.

Por se tratar de um arquivo que nunca é sobrescrito durante uma reinstalação do WordPress, é comum os malwares e vírus em geral adicionarem códigos maliciosos nesse arquivo. Desse modo, mesmo que você reinstale o WordPress o vírus continua ali no arquivo wp-config.php.

Para contornar isso, você pode comparar o seu arquivo wp-config.php com o arquivo wp-config-sample.php baixado da fonte oficial do WordPress. Se você notar algum código a mais, como a inclusão de arquivos externos, remova a linha de código para ficar idêntico ao arquivowp-config-sample.php.

7. Instale e execute um plugin de segurança

image

Plugins como o All in One WP Security & Firewall te ajudam a proteger mais ainda o seu WordPress contra vírus, além de possibilitar o scanner dos seus arquivos à procura de malwares e vírus.

Boa parte desses plugins são freemium. Ou seja, possuem uma versão gratuita e uma versão premium com mais funções disponíveis.

Muitas vezes, apenas as funções gratuitas são suficientes para manter a segurança do seu site.

Dentre os disponíveis, temos:

Depois de realizar a limpeza manual do site, é importante executar um scanner de arquivos como o do Wordfence. Essa etapa é importante, pois ainda pode haver arquivos hospedados na pasta uploads ou em outras pastas do site.

8. Faça uma busca manual por arquivos suspeitos

Se você está executando o processo de limpeza a partir do seu computador (baixando o backup do site para seu pc), abra a pasta wp-content > uploads e use a opção de buscar arquivos de seu sistema operacional para buscar arquivos com extensão php.

É comum os malwares hospedarem arquivos .php com códigos maliciosos na pasta uploads e na pasta languages. Remova qualquer arquivo com extensão .php dessas duas pastas.

arquivo malicioso do malware na pasta uploads
Exemplo de arquivo malicioso encontrado na pasta "uploads" do WordPress.

No exemplo acima existe um arquivo malicioso na pasta uploads, provavelmente utilizado para distribuir malwares para outros usuários através do servidor do seu site. É muito comum scripts maliciosos utilizarem métodos para ofuscar o código PHP para dificultar a análise do mesmo.

Remova todos os arquivos suspeitos que encontrar com códigos ofuscados, como na imagem acima. os desenvolvedores nunca utilizam essa função para ofuscar códigos PHP, ela geralmente é usada em malwares para esconder seus códigos maliciosos.

Hábitos que você deve adotar para proteger seu WordPress de vírus e outros problemas

Os vírus podem entrar no WordPress, na grande maioria das vezes, devido a hábitos de segurança que não adotamos. Para evitar que sua instalação seja comprometida por eles, vamos à lista de hábitos para proteger seu site de vírus (e outros problemas também).

1 - Utilizar senhas seguras

image

Em casos de invasão por força bruta, em que um algoritmo fica testando diversas senhas na tela de login do WordPress até conseguir invadir, ter uma senha segura faz muita diferença. Principalmente quando se trata de boas combinações de letras, sinais e números.

Uma boa forma de ter senhas seguras é salvá-las em um cofre de senhas (como o do próprio Google Chrome) e utilizar ferramentas geradoras de senha (o próprio WordPress te sugere uma nos padrões exigidos na hora de criar um usuário) como o Last Pass.

2 - Use os níveis de usuário de forma preventiva

Se você tem vários usuários com acesso ao seu WordPress, esse subtópico merece muito sua atenção.

Como você já deve saber, é possível dar diferentes níveis para cada usuário do seu WordPress de acordo com a função deles.

Isso limita a possibilidade de controle deles em algumas áreas do site, como a parte de configuração, por exemplo.

O problema é que, por não entender muito sobre níveis, algumas pessoas acabam deixando todos os usuários como administradores, o que pode provocar o acesso a códigos maliciosos, mesmo que sem querer, pelas demais pessoas.

Para corrigir esse problema, é necessário saber o que cada nível de usuário pode ou não pode fazer.

  • Administrador: Pode fazer tudo. Ele tem total controle sobre as configurações do site, instalação de temas, plugins e atualizações.
  • Editor: Consegue criar e alterar páginas, posts, comentários e arquivos de mídia. Também gerencia e altera conteúdo das postagens criadas por outros usuários.
  • Autor: Só pode alterar e gerenciar publicações criadas por ele.
  • Colaborador: Pode criar postagens mas pode publicá-las (é necessário que um editor ou administrador faça isso).
  • Assinante: Pode apenas fazer as alterações do seu perfil. Esse tipo de usuário é pouco utilizado no Brasil, com exceção de alguns plugins.

3 - Não use temas e plugins nulled

Como já conversado anteriormente, temas e plugins nulled são piratas e muitas vezes possuem códigos maliciosos que podem te prejudicar. Um bom hábito a ser adotado é o de investir em soluções pagas.

Embora a maioria seja internacional, logo, em dólares, os temas e plugins produzidos são profissionais e te dão a segurança de cumprir a função sem causar problemas (e se causar, o suporte deles existe com a finalidade de resolvê-los).

4 - Instale um Certificado SSL

Para evitar a interceptação de dados usando sniffers de redes ou outros métodos de invasão, principalmente se você possui uma loja virtual (em que dados de cartão de débito e crédito são inseridos), você precisa instalar um certificado SSL para realizar a conexão com HTTPS.

Normalmente eles são gratuitos e de fácil instalação.

Esses seguintes servidores oferecem gratuitamente o certificado SSL, por exemplo:

Ao informar seu login e senha no painel de administração do WordPress, sem utilizar uma conexão HTTPS, a senha trafega na rede em formato de texto simples, sem nenhum tipo de criptografia. Por isso, qualquer pessoa que utilize o mesmo wifi ou rede consegue rodar uma aplicação chamada sniffer de rede que captura as senhas do seu site.

5 - Invista em uma proteção premium (principalmente se seu site envolver pagamentos)

Como último e mais importante hábito, é importantíssimo investir em uma proteção premium, principalmente para sites maiores.

Se você possui um e-commerce ou site com grande número de acessos diários, ter uma segurança mais apurada pode te livrar de problemas grandes como vazamento de dados dos clientes.

No entanto, é claro que isso depende da análise de outros fatores também.

6 - Não utilize o protocolo FTP para acessar arquivos

A grande maioria dos tutoriais da internet ensinam a acessar os arquivos do seu site usando um cliente FTP, porém, o que ninguém diz é que esse protocolo é completamente inseguro e vulnerável a hackers.

O protocolo FTP é equivalente ao protocolo HTTP. Isso é, ele não possui nenhum tipo de criptografia. Ao utilizar uma conexão wifi pública, por exemplo, qualquer pessoa conectada a mesma rede wifi consegue usar um sniffer de rede para capturar a senha de acesso do seu site.

Além disso, por não contar com criptografia, o protocolo FTP permite que hackers interceptem facilmente o tráfego caso consigam acesso a sua rede ou seu computador. As senhas trafegam em texto simples, por isso é tão fácil descobrir a senha.

Como alternativa, utilize o protocolo sFTP, que possui uma camada adicional de criptografia e é compatível com todos os principais clientes FTP, como por exemplo o FileZilla.

Verifique com sua hospedagem de site como realizar a conexão usando o SSH ou SFTP, que são protocolos que utilizam criptografia. Geralmente, para utilizar esses protocolos basta informar a porta 22 ou 2222 no cliente FTP de sua preferência. Não use a porta 21, pois nela a conexão ocorre de forma insegura.

Como Remover o alerta de Malware do Google

image

Quando o site está com excesso de vírus, o Google exibe um aviso para proteger os usuários.

Se isso acontecer com seu site, até recuperar a relevância dele e a mesma quantidade de visitas diárias, demora muito!

Para acelerar esse processo e remover essa mensagem, é necessário:

Pode ser que o aviso ainda demore algum tempo, mesmo depois de já ter dado todos os passos para removê-lo.

Conclusão: como remover vírus no WordPress

Embora descobrir que seu site está com vírus seja uma situação chata, nesse artigo você viu formas de resolver o problema e de ter seu WordPress de volta ao normal.

Espero que cada dica tenha sido útil e que todas as informações aqui te ajudem a proteger não apenas o acesso às configurações do seu WordPress, mas também dados importantes de clientes e conteúdo.

Um abraço enorme e nos vemos no próximo artigo.

-

-

-

-

*Consulte condições no site

Ótima hospedagem por EXCELENTE preço.

-80