Problemas com WordPress e Joomla Hacked

De Wiki Integrator do Brasil
Ir para: navegação, pesquisa
Medidas que precisa tomar caso seu site seja invadido

1) Retire o site do ar, movendo seu conteúdo para um diretório que não seja acessível online
2) Baixar o software e analisar todo o conteúdo em busca de algum arquivo injetado. Geralmente, eles possuem conteúdo estranho ou estão com um embaralhamento de texto ou código simples em PHP, que não condiz com seu aplicativo
2) Deixe sempre atualizado o software se for livre, como WordPress, Joomla e outros, ex.: Plugins e Temas
2.1) Remova Plugins e Temas não usados mais
2.2) Substitua Plugins ou Temas que não recebem mais atualizações por mais de 6 meses (ou certifique-se de que eles ainda são ativos e seguros).
3) Sites realizados por terceiros, informe da situação, principalmente aqueles que possuem temas personalizados
4) Se for algum arquivo que subiu, olhe sua máquina e analise se não está com vírus/worm que permita injetar arquivos em seu site quando usa FTP
5) Entre no site do Joomla oficial, WordPress ou outros e veja se existem alertas de segurança, seja relatado oficialmente ou por usuários em fóruns

Medidas adicionais que deve tomar depois de retornar o site no ar

1) Analisar durante 10 dias o conteúdo que aparece no site
2) Entrar no cPanel, em Logs de Acesso Bruto. Baixe os acessos e veja, em sua máquina. Analise acessos em busca de IPs externos (veja o país de origem do IP em http://iplocation.net) e locais estranhos na entrada de um site, como: 

http://seusite.com.br/index.php?option=com_media&view=imagesList&tmpl=component&folder=&asset=com_content&author=
  • Locais comuns de problemas no WordPress:

wp-content/upload/
wp-content/themes/
wp-content/plugins/

  • Locais comuns de problemas no Joomla:

plugins/system/
components/
images/
includes/
media/
modules/

Os diretórios citados acima são comuns de injeção no WordPress e Joomla e alvo fácil de arquivos com textos PHP de conteúdo embaralhado. É extremamente raro um site WordPress ou Joomla conter algum arquivo com códigos confusos, estranhos ou sem as normas de desenvolvimento que eles fornecem para criação de extensões ao seu propósito.

2.1) Acessos de um mesmo IP, ou um conjunto, em um mesmo arquivo, de nome estranho, devem ser baixados por FTP. Leia seu conteúdo. Geralmente possuem textos ilegíveis em forma de código e contém alguns trechos como:
eval(base64_decode(/d
$GLOBALS['zcwsd68'](
strtolower ( $mjk1[3].

2.2) Diretórios com nomes estranhos como "xyk, 1111, x8an, trav.al, .ahb", são suspeitos imediatos. Arquivos também com nomes estranhos são sempre suspeitos.

Não permita que o site fique desatualizado ou que não tenha acompanhamento de um técnico especializado na plataforma escolhida. Em caso de personalizações de temas ou plugins, esteja certo de que os desenvolvedores mantém atualizações constantes.

3) Instale um plugin de segurança como o Wordfence:
https://wordpress.org/plugins/wordfence/

IMPORTANTE: Falhas sempre são divulgadas nos sites que desenvolvem os aplicativos (http://wordpress.org, http://joomla.org, fóruns que estes mantém e outros), onde os usuários podem evitar antecipadamente que sejam exploradas em seu site prejudicando a você e terceiros também.

Disponível em "https://wiki.integrator.com.br/index.php?title=Problemas_com_WordPress_e_Joomla_Hacked&oldid=7342"