Backdoors no WordPress | Milhares de sites WordPress são infectados a cada ano e o número está aumentando. Estes sites hackeados são então usados para espalhar fraudes e spam. Muitas vezes os proprietários e desenvolvedores podem não estar cientes da infecção.
A infecção pode ser persistente ou não. Assim, um backdoor WordPress ajuda a manter essa persistência. Um backdoor WordPress é o código que permite que um atacante tenha acesso não autorizado e persistente ao servidor. Muitas vezes é um arquivo malicioso escondido em algum lugar. Ou, às vezes, pode ser um plugin infectado. Novas variantes de backdoor do WordPress podem ser encontradas a cada mês.
Os hackers estão sempre em jogo tentando injetar a porta de trás do WordPress. Tem havido vários plugins ao longo dos anos usados para espalhar a infecção.
Portanto, a ameaça pode ser de qualquer lugar. Mais tarde, pode ser um processo que consome tempo e recursos para remover os backdoors do WordPress. Entretanto, as medidas preventivas podem sempre controlar os danos.
Um site WordPress seguro pode atrasar o ataque se não for prevenido. Veremos mais sobre como encontrar e consertar um backdoor WordPress neste blog.
O que leva a um Backdoor no WordPress?
A criação de um site WordPress é razoavelmente confortável. Mas várias brechas podem abrir caminho para uma porta de trás do WordPress. Portanto, para simplificar, podemos reduzir a um pequeno número. Estes são:
- Às vezes pode ser devido a um bug no plugin ou no tema.
- As credenciais de login em seu site podem ser fracas ou padrão.
- As permissões dos arquivos podem ser fracas, expondo arquivos sensíveis.
- Não usar um firewall ou algum tipo de solução de segurança.
- As instalações podem estar desatualizadas.
- Compartilhar um servidor infectado com outros sites. Solicite ao seu provedor de serviços uma sub-rede.
Como Encontrar Backdoors do WordPress
Backdoors nos Temas
Temas inativos são o melhor lugar para esconder backdoors no WordPress. Os hackers estão cientes deste fato e frequentemente procuram tais temas em seu site. O motivo é que é menos provável que você verifique lá, pois está inativo.
O WordPress contém um arquivo crítico chamado functions.php. Este arquivo é responsável por chamar PHP nativo, WordPress, e outras funções. Portanto, em palavras simples, ele pode ser usado para realizar qualquer tipo de operação. Muitas vezes os atacantes tentam injetar este arquivo para obter um backdoor WordPress.
Assim, mesmo que você exclua o usuário, ele pode ser criado novamente, visitando esta URL. Este é um exemplo típico de um backdoor WordPress. No entanto, este código só pode ser injetado ao se ter acesso ao servidor primeiro. Ele pode estar usando uma porta FTP aberta ou outras brechas.
Backdoors em Plugins
Backdoors no WordPress acontecem devido a bug nos plugins. Vários plugins possuem bugs acumulados ao longo dos anos.
Quando os arquivos de plugins são modificados, ele pode não estar visível no Painel de Controle. Entretanto, uma busca por FTP pode revelar tais arquivos. Além disso, para que pareça legítimo, os arquivos de backdoor são nomeados como arquivos de ajuda. As razões pelas quais os backdoors são encontrados nos plugins são:
- Os plugins não utilizados são mais propensos a serem infectados. Somente porque eles podem esconder backdoors por muito tempo.
- Plugins não confiáveis e impopulares são muitas vezes mal codificados. Assim, aumentando as chances de um “backdoor” do WordPress.
- Plugins desatualizados são mais propensos a serem o alvo. Só porque muitos ainda os estão rodando sem atualização.
- Estes plugins bugados podem ajudar na modificação de outros arquivos centrais.
Portanto, fique atento a quaisquer plugins desconhecidos. Limpe todos os plugins não utilizados!
Backdoors nos arquivos de instalação
A modificação dos arquivos principais vem em seguida, após o plugin ser infectado. Pode haver código desonesto nos arquivos base ou podem aparecer novos arquivos. Às vezes, a porta traseira pode parecer assim:
$t43=”l/T6\:aAcMLn#?rP}1\rG_ -s`SZ\$58t\n7E{.*]ixy3h,COKR2dW[0!U\tuQIHf4bYm>wFz<=SqV@&(BjX’~|ge%p+oMJv^);\”k9″;
$GLOBALS[‘ofmhl60’] = ${$t43[10].$t43
Este código é ofuscado através de técnicas conhecidas. Assim, é mais difícil de ler para os usuários humanos. Portanto, procure um código com tal aparência de peixe e remova os arquivos que o contêm.
Às vezes backdoors no WordPress também podem se apresentar como um arquivo legítimo como xml.php, media.php, plugin.php, etc. Portanto, não pule nenhum arquivo, mesmo que pareça legítimo. Além disso, existem outras técnicas que dificultam a leitura do código.
Como Remover Backdoors no WordPress?
Comparando o Checksum
O primeiro passo é comparar os checksums. É uma determinação heurística da integridade do arquivo. A inspeção manual pode ser feita. Além disso, há ferramentas automáticas disponíveis gratuitamente para este fim. Não apenas para os arquivos principais, mas também para os checksums para plugins e temas.
Além disso, é possível manter uma lista negra pessoal. Isto pode ser feito usando listas disponíveis no domínio público. Depois que os checksums não corresponderem, proceder para remover manualmente os backdoors do WordPress.
Arquivos Principais
Em segundo lugar, após os arquivos mostrarem diferentes valores de soma de controle, inspecioná-los manualmente. É muito provável que backdoors no WordPress tivessem adulterado os arquivos. Assim, a integridade dos arquivos de instalação pode ser verificada. Comece baixando uma nova cópia do WordPress.
Encodificações
Às vezes, os arquivos podem ser modificados, mas podem ser ilegíveis para você. Então, você pode começar a limpeza da porta traseira do WordPress procurando por codificações base64. É aqui que o comando grep pode fazer as maravilhas. Use o seguinte comando:
find . -nome “*.php” -exec grep “base64″‘{}'{}; -print &> output.txt
Este comando listará de forma clara todas as detecções base64 no output.txt. A partir daqui, você pode decodificá-lo para o texto em texto puro usando ferramentas on-line. Além disso, se você desejar pesquisar em outros arquivos que não .php, basta substituir a palavra *.php em código.
Além disso, o código malicioso também pode estar no formato hexadecimal. Portanto, você poderia usar grep -Pr “[\x01x02\x03]”. Para outras codificações similares, repita esta etapa. Apague estes arquivos ou linhas de código malicioso para remover os backdoors do WordPress.
Usando os Logs do Servidor
Os logs do servidor podem ajudar a remover os backdoors do WordPress. Primeiramente, você precisa ver quais arquivos foram editados após uma data específica. Além disso, passe pelos logs de FTP para ver os IPs usados para se conectar ao seu servidor. Mantenha um registro dos arquivos editados recentemente.
Além disso, fique atento à pasta de imagens. Ninguém espera que os executáveis estejam presentes nas pastas de imagens. Além disso, a pasta de imagens pode ser gravável. É por isso que os hackers adoram esconder-se em backdoors lá.
Além disso, assegure-se de que as permissões sejam apropriadas para arquivos sensíveis. Assim, configure suas permissões de arquivo para 444 (r-r-r-) ou talvez 440 (r-r–). Veja especificamente para qualquer mudança na pasta de imagens.
Atualização e Backup
A importância de atualizar seu site WordPress tem sido enfatizada repetidamente. Uma instalação desatualizada é tão boa quanto uma infectada.
Se você não conseguir rastrear a causa do hack da porta traseira do WordPress, restaure-a a partir do backup, somente após fazer o backup do site atual e depois compare os dois.
Se você não tiver um backup existente e quiser substituir os arquivos principais do WordPress pelos novos arquivos. Para isso, você precisa atualizar seu site WordPress manualmente após ter feito o backup do site atual.
Além disso, se alguma vulnerabilidade for relatada com os plugins que você usa, é recomendável atualizá-los imediatamente. Se o patch estiver demorando muito, então substitua-o pelas alternativas. Recomenda-se ficar atualizado com os blogs oficiais para obter os patches o mais cedo possível.
Agora que você sabe um pouco mais sobre backdoors no WordPress, volte a página principal.