Para corrigir um site hackeado, você precisa saber que ele foi com­pro­me­tido em primeiro lugar. Isso nem sempre é fácil. Se o invasor tirar seu sistema de mo­ni­to­ra­mento, você precisará procurar outros sinais: atividade incomum, avisos de navegador ou vírus, serviços ou páginas da Web que não respondem, um aumento repentino de re­la­tó­rios de spam. Depois de descobrir isso, você precisa tomar medidas rápidas para proteger seu site.

Por que os sites são hackeados?

Há um ditado no campo da segurança ci­ber­né­tica que diz: “se você não sabe, não adivinhe”. A invasão de sites pode ser motivada por gra­tui­dade, vingança ou política. Mas qualquer sistema com segurança fraca acabará sendo invadido em uma varredura aleatória de botnet.

O resultado ge­ral­mente será um ou mais dos quatro itens a seguir:

Ala­van­ca­gem fi­nan­ceira é quando um invasor usa sua nova posição de poder para obter dinheiro. Isso pode ser feito por meio de fraude bancária, ran­somware ou por meio da execução de golpes em outras pessoas a partir do seu domínio.

Defacing e negação de serviço é o hack de site mais óbvio. O invasor sabota o site para impedi-lo de fazer negócios ou edita o site e os e-mails au­to­ma­ti­za­dos para enviar mensagens pre­ju­di­ci­ais, de spam ou de cunho político.

Roubo de IP é quando o invasor deseja roubar segredos internos, in­for­ma­ções de clientes e for­ne­ce­do­res e outros dados valiosos que, de outra forma, seriam privados.

Es­pi­o­na­gem e captura de recursos é um hack sutil de site. O invasor quer usar seus ser­vi­do­res como um posto de escuta, cap­tu­rando in­te­ra­ções à medida que elas acontecem. Pos­te­ri­or­mente, ele pode se­ques­trar seus sistemas para fazer parte de um botnet ou como bode ex­pi­a­tó­rio para ati­vi­da­des ilegais.

Dica

Você pode proteger seu site contra esses ataques com o My­De­fen­der da IONOS, que permitirá que você detecte e se recupere ra­pi­da­mente de uma invasão mal-in­ten­ci­o­nada.

Como você di­ag­nos­tica um site invadido?

A primeira etapa no di­ag­nós­tico de um site invadido é encontrar as brechas de segurança que o hacker usou para obter acesso. A vul­ne­ra­bi­li­dade real pode estar no próprio site, por meio de um apli­ca­tivo fraco ou usando uma conta de e-mail com­pro­me­tida.

Em par­ti­cu­lar, o hacking do WordPress se tornou mais comum. O WordPress tem vul­ne­ra­bi­li­da­des graves quando você está exe­cu­tando um software antigo, e os pro­pri­e­tá­rios de sites são fre­quen­te­mente alvo de campanhas de en­ge­nha­ria social.

Se o seu site hackeado não estiver exe­cu­tando um software antigo, é possível que eles tenham se apro­vei­tado de uma segurança na nuvem in­su­fi­ci­ente ou en­con­trado um ex­plo­ra­ção de dia zero para apro­vei­tar. Ou você é apenas uma das muitas pessoas pegas no meio de um ataque DDoS ou DDoS. Ataques Man-in-the-Middle também são possíveis, mas, in­fe­liz­mente, são mais difíceis de detectar.

Agora que você sabe como isso acontece, pode procurar por sinais de um site invadido. Para detectar malware e de­ter­mi­nar se seu site está com­pro­me­tido, observe o seguinte:

Avisos do navegador

Se o seu navegador estiver avisando que não consegue acessar uma versão segura do site ou que o cer­ti­fi­cado não é válido, esse site pode ter sido invadido. Sem um cer­ti­fi­cado válido, SSL e TLS param de funcionar.

Não é possível acessar o site

O invasor pode colocar o site off-line ou seu host da Web pode de­sa­bi­li­tar seu site devido a ati­vi­da­des suspeitas. Se os invasores obtiveram acesso ao hardware de rede do host ou ao seu re­gis­tra­dor de domínios, eles também podem ter alterado a forma como o site é roteado ou resolvido.

Software antivírus

Às vezes, o software antivírus detecta o malware que um site invadido está tentando enviar aos vi­si­tan­tes. Esse é um sinal bastante claro.

O login não está fun­ci­o­nando

Se não conseguir fazer login apesar de saber que seu nome de usuário e senha estão corretos, alguém pode ter assumido, renomeado ou removido sua conta de usuário.

Avisos sobre ten­ta­ti­vas de login

Um ataque de força bruta gera milhares ou milhões de ten­ta­ti­vas de login com falha. A repetição de avisos significa que alguém está tentando usar a automação para violar sua conta.

Des­fi­gu­ra­ção

Se o seu site normal tiver uma de­cla­ra­ção dos hackers , sua conta pro­va­vel­mente está bloqueada e você precisará fazer algumas ligações ou obter acesso físico para recuperar o controle.

Sequestro

Se você notar downloads estranhos acon­te­cendo au­to­ma­ti­ca­mente ou receber avisos do navegador sobre códigos mal-in­ten­ci­o­na­dos, pro­va­vel­mente seu site está com­pro­me­tido. Muitos ve­ri­fi­ca­do­res de vírus e na­ve­ga­do­res detectam isso, mas alguns não. As senhas fracas de FTP e de hos­pe­da­gem na Web ge­ral­mente são as culpadas.

Mensagens de ran­somware

As mensagens de ran­somware apa­re­ce­rão quando seus sites ou ser­vi­do­res forem invadidos e o invasor quiser dinheiro para restaurá-los. Até lá, tudo o que está neles está crip­to­gra­fado e inu­ti­li­zá­vel. Se você não tiver um backup intacto de todos os dados e não tiver instalado medidas de segurança eficazes contra ran­somware, precisará tomar várias decisões difíceis.

Avisos e bloqueios do Google

o Google Search Console é uma fer­ra­menta gratuita de marketing e análise fornecida pelo Google que verifica a oti­mi­za­ção para me­ca­nis­mos de pesquisa do seu site. Se ele o avisar sobre um fluxo maciço de links de entrada ou saída, malware ou atividade suspeita, você precisará verificar a segurança do seu site. O site também é bloqueado pelo Google se tiver sido re­pe­ti­da­mente relatado como suspeito ou malicioso. Para voltar aos re­sul­ta­dos de pesquisa, você precisa corrigir seu site e reativá-lo por meio do Google Console.

Tempos de car­re­ga­mento de página incomuns

Se sua página carrega com lentidão incomum, seu site pode estar com­pro­me­tido. Cryp­to­jac­king aumenta o uso da CPU e da memória. Tanto o software de mineração (como o Coinhive) quanto o malware de hacking de hash dis­tri­buído podem ser os culpados. Eles usam o servidor e os clientes in­fec­ta­dos para cryp­to­mi­ning e senhas de força bruta.

E-mails de spam, re­di­re­ci­o­na­men­tos ou pop-ups

Se você receber re­cla­ma­ções de e-mails de spam de uma de suas contas, ela pode ter sido invadida. Re­la­tó­rios de re­di­re­ci­o­na­men­tos e pop-ups ou anúncios des­co­nhe­ci­dos também são sinais de invasão.

Dica

Rápido, seguro e escalável webhos­ting da IONOS pode protegê-lo com cer­ti­fi­ca­dos SSL atu­a­li­za­dos, backups e proteção DDoS.

O que fazer quando você sabe que tem um site com­pro­me­tido

Há várias coisas que você pode fazer para redefinir suas contas, proteger seu site e bloquear as ex­plo­ra­ções que o levaram a essa situação. Primeiro, faça um backup do seu site e dos dados dele em um ar­ma­ze­na­mento externo. Você não quer que nenhum vírus ou malware que possa estar presente infecte um com­pu­ta­dor ativo. Faça uma ve­ri­fi­ca­ção completa de vírus e malware no backup e examine-o quanto a al­te­ra­ções de conteúdo ou script. Só então você poderá ter certeza de que é seguro usá-lo. Para todas as ati­vi­da­des restantes, use com­pu­ta­do­res, ar­ma­ze­na­mento e contas externos. Não se pode confiar em nada local. Em caso de dúvida, consulte um es­pe­ci­a­lista em TI.

Alterar detalhes de login e registro

Você precisa fazer uma re­de­fi­ni­ção global de senha. Cada e-mail, conta de hos­pe­da­gem, conta de serviço… tudo. Nenhuma de suas contas é confiável. Isso inclui os dados de login de todos os ad­mi­nis­tra­do­res do site. Se você tiver um ge­ren­ci­a­dor de senhas central, altere a senha mestra primeiro e, em seguida, use-a para iniciar uma re­de­fi­ni­ção de senha global. Caso contrário, você precisará passar por todas as contas, uma a uma. Use uma senha segura com pelo menos 12 ca­rac­te­res, com letras maiús­cu­las e mi­nús­cu­las, números e ca­rac­te­res especiais. Como al­ter­na­tiva, use uma frase exclusiva de pelo menos 25 ca­rac­te­res.

Alternar o site para o modo de ma­nu­ten­ção

Se o seu site estiver com­pro­me­tido, coloque-o no modo de ma­nu­ten­ção para proteger seus vi­si­tan­tes e sua reputação enquanto ele estiver sendo corrigido.

Verifique seus registros

Examine os logs do seu site por meio do console de ad­mi­nis­tra­ção ou no diretório apro­pri­ado da linha de comando. Se não souber onde estão os logs, entre em contato com o provedor de hos­pe­da­gem. Se não entender o conteúdo, entre em contato com um pro­fis­si­o­nal de mo­ni­to­ra­mento e segurança ci­ber­né­tica.

Redefinir dados .htaccess

No Apache, redefina o arquivo .htaccess e restrinja os direitos ao mínimo ne­ces­sá­rio. Quando tudo estiver seguro, você poderá redefinir o acesso aos níveis normais.

Verifique se há malware ou código malicioso no site

os ope­ra­do­res do WordPress podem escolher entre plug-ins gratuitos e pagos de segurança para WordPress. Eles ve­ri­fi­ca­rão os dados, os apli­ca­ti­vos e os plug-ins do seu site em busca de código malicioso.

Os plug-ins de segurança co­nhe­ci­dos e populares incluem:

  • WPScan
  • Bul­let­Proof Security
  • Sucuri Security
  • Jetpack

Para al­ter­na­ti­vas ao WordPress, você pode con­si­de­rar:

  • Intruder
  • ImmuniWeb
  • Hos­tedS­can Security
  • Detectify
  • Si­te­Guar­ding

Como você evita que seu site seja invadido no futuro?

Você pode proteger seu site contra malware:

  • Usando senhas seguras e um ge­ren­ci­a­dor de senhas.
  • Cicle as senhas pe­ri­o­di­ca­mente e use um sistema de ve­ri­fi­ca­ção de senhas para evitar o uso si­mul­tâ­neo.
  • Use versões atu­a­li­za­das do PHP. A mais recente é PHP 8.
  • Use o ge­ren­ci­a­mento de patches cor­po­ra­ti­vos ou faça ve­ri­fi­ca­ções pe­rió­di­cas de patches para todos os plug-ins, apli­ca­ti­vos e outros softwares vin­cu­la­dos.
  • Use software antivírus e, se você tiver acesso a ele, filtragem de pacotes.
  • Use pro­ve­do­res de hos­pe­da­gem con­fiá­veis e seguros.
  • Utilize plug-ins de segurança para monitorar seu site.
  • Mantenha seus cer­ti­fi­ca­dos SSL atu­a­li­za­dos.
  • Nunca use pro­to­co­los obsoletos como o FTP. Use SFTP.
  • Habilite a au­ten­ti­ca­ção de dois fatores sempre que estiver dis­po­ní­vel.
  • Crie backups regulares dos dados ou ser­vi­do­res de seu site.
  • Execute testes de vul­ne­ra­bi­li­dade de re­sul­ta­dos em seu site e in­fra­es­tru­tura.
  • Monitore os registros de acesso, as al­te­ra­ções de permissão de página e as funções de usuário.
  • Use um firewall seguro para seu site (por exemplo, via Sucuri ou Cloud­flare).
  • As empresas têm segurança de TI interna ou contratam um serviço externo.

Co­mu­ni­ca­ção com o cliente após a proteção de um site invadido

A correção de seu site com­pro­me­tido é apenas a primeira etapa. Todos os as­si­nan­tes, usuários e parceiros cor­po­ra­ti­vos precisam ser in­for­ma­dos de acordo com a sua política interna, bem como com as normas go­ver­na­men­tais e do setor.

Um exemplo dessas re­gu­la­men­ta­ções é a Re­gu­la­men­ta­ção Geral de Proteção de Dados (GDPR) . Ela es­pe­ci­fica como e quando os usuários e parceiros de negócios precisam ser in­for­ma­dos sobre violações de segurança. Pode haver re­gu­la­men­ta­ção local adicional, bem como padrões do setor, a serem con­si­de­ra­dos.

Seja trans­pa­rente. Descreva os eventos de forma factual, bem como o possível impacto. Informe aos usuários quais medidas eles podem tomar para se manterem seguros, pro­te­ge­rem suas iden­ti­da­des e pro­te­ge­rem suas finanças. Incentive-os a alterar suas senhas e adicionar au­ten­ti­ca­ção de dois fatores quando possível.

Conclusão: Proteção em primeiro lugar

Os ataques ci­ber­né­ti­cos estão crescendo em escopo e magnitude. Com tantos alvos em potencial, con­si­de­rando o cres­ci­mento da população mundial e a expansão da Internet das Coisas (IoT), essa tendência não será revertida tão cedo. Os pro­pri­e­tá­rios de sites devem per­ma­ne­cer vi­gi­lan­tes. Eles precisam instalar medidas para proteger seus sites, endereços de e-mail e ser­vi­do­res. Uma hos­pe­da­gem confiável na Web inclui muitas das fer­ra­men­tas de que você precisa para se manter seguro.

Ir para o menu principal