Como corrigir um site que foi hackeado

Para corrigir um site hackeado, você precisa saber que ele foi comprometido em primeiro lugar. Isso nem sempre é fácil. Se o invasor tirar seu sistema de monitoramento, você precisará procurar outros sinais: atividade incomum, avisos de navegador ou vírus, serviços ou páginas da Web que não respondem, um aumento repentino de relatórios de spam. Depois de descobrir isso, você precisa tomar medidas rápidas para proteger seu site.

Por que os sites são hackeados?

Há um ditado no campo da segurança cibernética que diz: “se você não sabe, não adivinhe”. A invasão de sites pode ser motivada por gratuidade, vingança ou política. Mas qualquer sistema com segurança fraca acabará sendo invadido em uma varredura aleatória de botnet.

O resultado geralmente será um ou mais dos quatro itens a seguir:

Alavancagem financeira é quando um invasor usa sua nova posição de poder para obter dinheiro. Isso pode ser feito por meio de fraude bancária, ransomware ou por meio da execução de golpes em outras pessoas a partir do seu domínio.

Defacing e negação de serviço é o hack de site mais óbvio. O invasor sabota o site para impedi-lo de fazer negócios ou edita o site e os e-mails automatizados para enviar mensagens prejudiciais, de spam ou de cunho político.

Roubo de IP é quando o invasor deseja roubar segredos internos, informações de clientes e fornecedores e outros dados valiosos que, de outra forma, seriam privados.

Espionagem e captura de recursos é um hack sutil de site. O invasor quer usar seus servidores como um posto de escuta, capturando interações à medida que elas acontecem. Posteriormente, ele pode sequestrar seus sistemas para fazer parte de um botnet ou como bode expiatório para atividades ilegais.

Dica

Você pode proteger seu site contra esses ataques com o MyDefender da IONOS, que permitirá que você detecte e se recupere rapidamente de uma invasão mal-intencionada.

Como você diagnostica um site invadido?

A primeira etapa no diagnóstico de um site invadido é encontrar as brechas de segurança que o hacker usou para obter acesso. A vulnerabilidade real pode estar no próprio site, por meio de um aplicativo fraco ou usando uma conta de e-mail comprometida.

Em particular, o hacking do WordPress se tornou mais comum. O WordPress tem vulnerabilidades graves quando você está executando um software antigo, e os proprietários de sites são frequentemente alvo de campanhas de engenharia social.

Se o seu site hackeado não estiver executando um software antigo, é possível que eles tenham se aproveitado de uma segurança na nuvem insuficiente ou encontrado um exploração de dia zero para aproveitar. Ou você é apenas uma das muitas pessoas pegas no meio de um ataque DDoS ou DDoS. Ataques Man-in-the-Middle também são possíveis, mas, infelizmente, são mais difíceis de detectar.

Agora que você sabe como isso acontece, pode procurar por sinais de um site invadido. Para detectar malware e determinar se seu site está comprometido, observe o seguinte:

Avisos do navegador

Se o seu navegador estiver avisando que não consegue acessar uma versão segura do site ou que o certificado não é válido, esse site pode ter sido invadido. Sem um certificado válido, SSL e TLS param de funcionar.

Não é possível acessar o site

O invasor pode colocar o site off-line ou seu host da Web pode desabilitar seu site devido a atividades suspeitas. Se os invasores obtiveram acesso ao hardware de rede do host ou ao seu registrador de domínios, eles também podem ter alterado a forma como o site é roteado ou resolvido.

Software antivírus

Às vezes, o software antivírus detecta o malware que um site invadido está tentando enviar aos visitantes. Esse é um sinal bastante claro.

O login não está funcionando

Se não conseguir fazer login apesar de saber que seu nome de usuário e senha estão corretos, alguém pode ter assumido, renomeado ou removido sua conta de usuário.

Avisos sobre tentativas de login

Um ataque de força bruta gera milhares ou milhões de tentativas de login com falha. A repetição de avisos significa que alguém está tentando usar a automação para violar sua conta.

Desfiguração

Se o seu site normal tiver uma declaração dos hackers , sua conta provavelmente está bloqueada e você precisará fazer algumas ligações ou obter acesso físico para recuperar o controle.

Sequestro

Se você notar downloads estranhos acontecendo automaticamente ou receber avisos do navegador sobre códigos mal-intencionados, provavelmente seu site está comprometido. Muitos verificadores de vírus e navegadores detectam isso, mas alguns não. As senhas fracas de FTP e de hospedagem na Web geralmente são as culpadas.

Mensagens de ransomware

As mensagens de ransomware aparecerão quando seus sites ou servidores forem invadidos e o invasor quiser dinheiro para restaurá-los. Até lá, tudo o que está neles está criptografado e inutilizável. Se você não tiver um backup intacto de todos os dados e não tiver instalado medidas de segurança eficazes contra ransomware, precisará tomar várias decisões difíceis.

Avisos e bloqueios do Google

o Google Search Console é uma ferramenta gratuita de marketing e análise fornecida pelo Google que verifica a otimização para mecanismos de pesquisa do seu site. Se ele o avisar sobre um fluxo maciço de links de entrada ou saída, malware ou atividade suspeita, você precisará verificar a segurança do seu site. O site também é bloqueado pelo Google se tiver sido repetidamente relatado como suspeito ou malicioso. Para voltar aos resultados de pesquisa, você precisa corrigir seu site e reativá-lo por meio do Google Console.

Tempos de carregamento de página incomuns

Se sua página carrega com lentidão incomum, seu site pode estar comprometido. Cryptojacking aumenta o uso da CPU e da memória. Tanto o software de mineração (como o Coinhive) quanto o malware de hacking de hash distribuído podem ser os culpados. Eles usam o servidor e os clientes infectados para cryptomining e senhas de força bruta.

E-mails de spam, redirecionamentos ou pop-ups

Se você receber reclamações de e-mails de spam de uma de suas contas, ela pode ter sido invadida. Relatórios de redirecionamentos e pop-ups ou anúncios desconhecidos também são sinais de invasão.

Dica

Rápido, seguro e escalável webhosting da IONOS pode protegê-lo com certificados SSL atualizados, backups e proteção DDoS.

O que fazer quando você sabe que tem um site comprometido

Há várias coisas que você pode fazer para redefinir suas contas, proteger seu site e bloquear as explorações que o levaram a essa situação. Primeiro, faça um backup do seu site e dos dados dele em um armazenamento externo. Você não quer que nenhum vírus ou malware que possa estar presente infecte um computador ativo. Faça uma verificação completa de vírus e malware no backup e examine-o quanto a alterações de conteúdo ou script. Só então você poderá ter certeza de que é seguro usá-lo. Para todas as atividades restantes, use computadores, armazenamento e contas externos. Não se pode confiar em nada local. Em caso de dúvida, consulte um especialista em TI.

Alterar detalhes de login e registro

Você precisa fazer uma redefinição global de senha. Cada e-mail, conta de hospedagem, conta de serviço… tudo. Nenhuma de suas contas é confiável. Isso inclui os dados de login de todos os administradores do site. Se você tiver um gerenciador de senhas central, altere a senha mestra primeiro e, em seguida, use-a para iniciar uma redefinição de senha global. Caso contrário, você precisará passar por todas as contas, uma a uma. Use uma senha segura com pelo menos 12 caracteres, com letras maiúsculas e minúsculas, números e caracteres especiais. Como alternativa, use uma frase exclusiva de pelo menos 25 caracteres.

Alternar o site para o modo de manutenção

Se o seu site estiver comprometido, coloque-o no modo de manutenção para proteger seus visitantes e sua reputação enquanto ele estiver sendo corrigido.

Verifique seus registros

Examine os logs do seu site por meio do console de administração ou no diretório apropriado da linha de comando. Se não souber onde estão os logs, entre em contato com o provedor de hospedagem. Se não entender o conteúdo, entre em contato com um profissional de monitoramento e segurança cibernética.

Redefinir dados .htaccess

No Apache, redefina o arquivo .htaccess e restrinja os direitos ao mínimo necessário. Quando tudo estiver seguro, você poderá redefinir o acesso aos níveis normais.

Verifique se há malware ou código malicioso no site

os operadores do WordPress podem escolher entre plug-ins gratuitos e pagos de segurança para WordPress. Eles verificarão os dados, os aplicativos e os plug-ins do seu site em busca de código malicioso.

Os plug-ins de segurança conhecidos e populares incluem:

  • WPScan
  • BulletProof Security
  • Sucuri Security
  • Jetpack

Para alternativas ao WordPress, você pode considerar:

  • Intruder
  • ImmuniWeb
  • HostedScan Security
  • Detectify
  • SiteGuarding

Como você evita que seu site seja invadido no futuro?

Você pode proteger seu site contra malware:

  • Usando senhas seguras e um gerenciador de senhas.
  • Cicle as senhas periodicamente e use um sistema de verificação de senhas para evitar o uso simultâneo.
  • Use versões atualizadas do PHP. A mais recente é PHP 8.
  • Use o gerenciamento de patches corporativos ou faça verificações periódicas de patches para todos os plug-ins, aplicativos e outros softwares vinculados.
  • Use software antivírus e, se você tiver acesso a ele, filtragem de pacotes.
  • Use provedores de hospedagem confiáveis e seguros.
  • Utilize plug-ins de segurança para monitorar seu site.
  • Mantenha seus certificados SSL atualizados.
  • Nunca use protocolos obsoletos como o FTP. Use SFTP.
  • Habilite a autenticação de dois fatores sempre que estiver disponível.
  • Crie backups regulares dos dados ou servidores de seu site.
  • Execute testes de vulnerabilidade de resultados em seu site e infraestrutura.
  • Monitore os registros de acesso, as alterações de permissão de página e as funções de usuário.
  • Use um firewall seguro para seu site (por exemplo, via Sucuri ou Cloudflare).
  • As empresas têm segurança de TI interna ou contratam um serviço externo.

Comunicação com o cliente após a proteção de um site invadido

A correção de seu site comprometido é apenas a primeira etapa. Todos os assinantes, usuários e parceiros corporativos precisam ser informados de acordo com a sua política interna, bem como com as normas governamentais e do setor.

Um exemplo dessas regulamentações é a Regulamentação Geral de Proteção de Dados (GDPR) . Ela especifica como e quando os usuários e parceiros de negócios precisam ser informados sobre violações de segurança. Pode haver regulamentação local adicional, bem como padrões do setor, a serem considerados.

Seja transparente. Descreva os eventos de forma factual, bem como o possível impacto. Informe aos usuários quais medidas eles podem tomar para se manterem seguros, protegerem suas identidades e protegerem suas finanças. Incentive-os a alterar suas senhas e adicionar autenticação de dois fatores quando possível.

Conclusão: Proteção em primeiro lugar

Os ataques cibernéticos estão crescendo em escopo e magnitude. Com tantos alvos em potencial, considerando o crescimento da população mundial e a expansão da Internet das Coisas (IoT), essa tendência não será revertida tão cedo. Os proprietários de sites devem permanecer vigilantes. Eles precisam instalar medidas para proteger seus sites, endereços de e-mail e servidores. Uma hospedagem confiável na Web inclui muitas das ferramentas de que você precisa para se manter seguro.

Este artigo foi útil?
Para melhorar a sua experiência, este site usa cookies. Ao acessar o nosso site, você concorda com nosso uso de cookies. Mais informações