Malware no WordPress: como lidar com o problema

É tentador fingir que o problema de malware no WordPress não existe, ou que é algo que só afeta os outros. Contudo, conhecer sobre o problema, agir preventivamente e não ter medo de aplicar rapidamente as correções necessárias pode ser a diferença entre um blog destruído por código nefasto e um que segue em frente a despeito dos contratempos.

Neste artigo vamos apresentar uma breve informação básica sobre o assunto malware, bem como vamos expor como fazemos para atacar este problema nos blogs de nossos clientes.

O que é malware

O termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar alguns danos, alterações ou roubo de informações. (Fonte: Wikipédia)

Em termos práticos é o que as pessoas simplificam chamando de vírus, ou seja, elementos de software que são injetados em um blog sem o conhecimento de seu dono. O objetivo do malware sempre é escuso, mais comumente:

  • enviar spam;
  • roubar dados financeiros ou outros, com páginas falsas de bancos ou outras instituições;
  • roubar tráfego;
  • instalar programas na máquina dos visitantes, com algum dos objetivos acima ou com o de torná-la uma máquina zumbi em uma rede maior de máquinas sequestradas.

Como o malware infecta um blog WordPress

WordPress e plugin desatualizados são o principal vetor de infecção de blogs por malware.

Em linhas gerais, um malware só infecta um sistema — seja ele um blog, seja outro tipo de site, seja um servidor inteiro ou um computador doméstico — caso haja vulnerabilidades conhecidas não tratadas no sistema em si.

Por uma questão de didática vamos dividir as opções em dois principais grupos; entretanto é comum que não seja uma única a causa de invasões dos blogs WordPress

Infecção indireta

Por infecção indireta queremos falar das infecções que não tiram proveito de falhas ou fraquezas no WordPress em si, mas sim em softwares utilizados para acessar o servidor.

Um exemplo prático são os computadores que têm instalados keyloggers (programas responsáveis por armazenar tudo que é feito e digitado no dispositivo para posterior envio à pessoa que vai tratar de descobrir senhas, números de cartões de crédito, etc) — normalmente computadores rodando Windows, mas macOS, Linux, Android, etc, também podem ser vítimas deste tipo de invasão.

Uma vez que alguém tenha acesso às senhas de acesso ao servidor não importa o que se faça, o problema sempre vai voltar a ocorrer, pois o sujeito tem condições de descobrir imediatamente caso haja troca de senha.

Infecção direta

Por infecção direta referimos as invasões que ocorrem por causa de vulnerabilidades no WordPress propriamente dito: WordPress e plugin desatualizados são o principal vetor de infecção de blogs por malware.

Além disso há plugins e temas constantes no diretório oficial do WordPress que estão abandonados há anos, e que também podem ser portas de entrada para ataques.

Plugins e temas piratas — ou nulled, como também são chamados — também têm importantíssimo papel na construção de um “ecossistema” de blogs comprometidos.

Tipos de malware por suas características

Os principais tipos de malware que acometem o WordPress estão listados abaixo, em separado para maior clareza.

Há plugins e temas constantes no diretório oficial do WordPress que estão abandonados há anos, e que também podem ser portas de entrada para ataques.

Shells e outros scripts de gerenciamento remoto

Um dos piores tipos de malware é o que consiste em arquivos .php espalhados pelo servidor, tanto em locais facilmente identificáveis (como a raiz do domínio) quanto em locais ocultos, como diretórios de sistema do WordPress.

A maior dificuldade de combater este tipo de infecção reside no fato de que os arquivos maliciosos ficam camuflados nos diretórios do sistema — os que ficam facilmente visíveis geralmente são apenas distração — deixando a pessoa com dúvida quanto a poder ou não apagá-los.

Código injetado em arquivos do sistema

Outro tipo de malware difícil de detectar. Sua principal característica é inserir código maldoso em scripts legítimos do WordPress, o que diminui as suspeitas sobre si bem como desencoraja quem tenha a intenção de remover o código malicioso, pois nem sempre é possível identificar com clareza que parte do código pode ou não ser removida.

Assim como arquivos do tema podem ser modificados nessa modalidade de invasão, o mesmo se dá com plugins e temas.

Código injetado no conteúdo do blog — posts ou widgets

Certamente este é o tipo mais trabalhoso de lidar, pois depende de uma auditoria completa no blog inteiro em busca de código JavaScript injetado no conteúdo, notadamente widgets de texto, no corpo de posts (podem ser todos, podem ser posts específicos, aleatórios ou não) ou nos títulos; é mais raro encontrar código injetado nos excertos manuais ou nos campos personalizados, mas pode acontecer.

Felizmente esse é um problema que é mais comum para versões muito antigas do WordPress, uma vez que as versões mais novas têm filtros mais eficientes para remoção de código indevido.

Prevenção do problema

Embora já seja lugar comum, algumas diretrizes de segurança são fundamentais, tão importantes quanto sua simplicidade.

Senhas fortes

Existem sistemas especializados em quebrar senhas, então senhas muito simples — ou fracas — são um problema potencial para qualquer site. Senhas fortes normalmente são longas, contêm caracteres numéricos, alfabéticos maiúsculos e minúsculos, e eventualmente símbolos.

Manter sigilo das senhas, e não dar direito de administrador a quem deve ser só assinante ou colaborador também é algo óbvio mas muito negligenciado.

  • Dica extra: se você tem dificuldade de inventar senhas fortes experimente utilizar o K_Gasp4m, um gerador de senhas fortes que roda direto no navegador de qualquer dispositivo capaz de executar JavaScript.

Softwares atualizados

É indispensável que WordPress, plugins e temas, além de serem de fontes confiáveis (componentes piratas são uma péssima escolha, sempre), estejam sempre atualizados, em dia com as correções de segurança que são feitas de tempos em tempos em qualquer software “vivo”, não abandonado.

Componentes que não recebem atualização há muito tempo também devem ser evitados, pois o abandono aumenta a probabilidade de que o código tenha se tornado inseguro pela descoberta de vulnerabilidades que o afetem.

O mesmo diz respeito ao software do servidor (os clientes da PortoFácil não precisam ter preocupações quanto a isso, pois vendemos apenas servidores gerenciados) e das estações de trabalho ou outros dispositivos utilizados para acessar o blog — ver “infecção indireta” mais acima.

Bloqueio de scripts publicados no WordPress

Outra preocupação que os clientes da PortoFácil não precisam ter é com o bloqueio de scripts publicados em seus blogs.

“Scripts publicados” são arquivos com a extensão .php que são chamados diretamente a partir da URL (ou por outros métodos), normalmente por scripts que não consideram as boas práticas de programação aplicáveis ao WordPress.

Nós bloqueamos totalmente a execução de scripts fora de wp-admin, o que eventualmente causa algum desconforto por causa dos já citados plugins mal escritos; contudo, o benefício desta medida é maior que o transtorno causado, e até hoje — pela nossa experiência — nenhum plugin ou tema que publicava arquivos .php deixou de ser passível de substituição por outro equivalente e melhor elaborado.

Ocultação do script de login padrão

O script de login padrão do WordPress — wp-login.php — é amplamente conhecido de todo mundo. Qualquer um que queira atacar um blog WP vai tentar invadi-lo usando este script padrão.

Existem algumas maneiras de ocultar esta URL, trocando-a por outra não óbvia, não pública. A Mônica para Clientes, disponível para os clientes de VPSs NX (não cPanel) da PortoFácil é uma das maneiras de ocultar este script, por meio da instalação e configuração de um plugin.

Solução do problema

A solução do problema de malware, em linhas gerais, implica:

  1. exclusão completa de todos os arquivos do WordPress, de plugins e de temas (mantêm-se, basicamente, os uploads — arquivos de mídia do blog);
  2. reinstalação de um blog novo, do zero, aproveitando apenas os arquivos de mídia e do banco de dados;
  3. troca da URL de login padrão;
  4. exclusão de todos os usuários não essenciais para o blog e troca de senhas de todos os demais, por senhas fortes;
  5. bloqueio de todos os scripts .php publicados para evitar novas infecções.

Estes são os passos que nosso pessoal técnico realiza ao efetuar uma limpeza de qualquer blog. Claro que cada caso é um universo em si, e passos adicionais são executados para tornar a limpeza eficiente.

Além disso, caberá ao cliente:

  • a tarefa amarga de auditar seu conteúdo, em busca de código malicioso que não seja encontrável por uma verificação por código;
  • a reinstalação e reconfiguração de todos os plugins e do tema, de modo a deixar o blog como era antes dos ataques.

Precisa de ajuda?

Se você já é cliente da PortoFácil já sabe que pode contar conosco para resolver o seu problema, basta abrir um chamado de suporte que nossos técnicos respondem rapidinho e não demora nada para seu blog estar novo em folha.

Caso você ainda não seja cliente, esta é uma excelente oportunidade para tornar-se um! Basta clicar no link abaixo, preencher o formulário e aguardar: o mais rapidamente possível responderemos com orientações de como nos dar acesso para resolvermos o problema de malware do seu WordPress.

Compartilhe