Alguns dias atrás, fiz algo que normalmente tento evitar; Usei as redes sociais para desabafar. Isso foi depois que recebi uma mensagem desanimadora por e-mail, o que me levou a entrar em contato com meu host, mas o suporte técnico fez tudo, menos ajudar, daí a necessidade de arejar roupa suja no Twitter.
Sendo quem eu sou, eu teria escolhido deixar esse assunto de lado, mas o tipo de suporte que recebi do meu host quando precisei de ajuda foi o que mais me aborreceu. Foi um choque e um abridor de olhos. Agora sou um cliente insatisfeito comprando um novo host.
Quero dizer, o que eles esperavam depois de um suporte ao cliente tão ruim? Um dos representantes teve a audácia de me pedir para mudar meu site para outro lugar se eu estivesse insatisfeito. O nervo. Por favor, recomende um ótimo anfitrião nos comentários e coloque um sorriso no meu rosto Mas, além do atendimento ao cliente de má qualidade, qual foi a causa dos meus problemas? Aqui está a história por trás deste e-mail desanimador:
Recentemente, fui vítima de um hacker muito determinado que obteve acesso ao meu site WordPress, eventualmente assumindo todo o meu diretório public_html. Ou vice-versa – eu realmente não sei como fui hackeado, pois meu host não forneceu essas informações, mesmo depois de perguntar algumas vezes.
Agora, eu tinha seis sites WordPress vivendo nesta conta. Como resultado do hack, todos eles foram retirados como medida de segurança, o que é totalmente compreensível. Mas, como a situação ficou completamente fora de controle, o tráfego diminuiu e nunca recebi uma única consulta nas mais de 72 horas em que fiquei bloqueado do meu negócio.
Então eu fui ao Twitter e fiz muito barulho, depois do qual um sujeito aparentemente legal chamado Matthew (obrigado se você estiver lendo) veio em meu socorro. Depois que Matt interveio, consegui recuperar meu site principal, embora tivesse sofrido grandes golpes em termos de funcionalidade principal. Os outros cinco sites não tiveram a mesma sorte, tiveram que morder a poeira, deixando-me com um gosto ruim na boca.
Foi uma experiência frustrante e estressante, especialmente com a pouca ajuda que eu estava recebendo dos representantes de suporte da Bluehost . Sim, acabei de delatar você Bluehost. Basta dizer que esta é a segunda vez que sou hackeado em seu pacote de hospedagem compartilhada. Eu deveria começar a aprender.
Isenção de responsabilidade: Minha experiência não descarta o fato de que você pode estar se divertindo muito com o anfitrião – esta é apenas minha experiência isolada.
O que Matt fez de diferente? Ele me fez um arquivo malware.txt contendo detalhes dos arquivos corrompidos. Limpar a maioria desses arquivos foi fácil, mas significou excluir plugins importantes e substituir os arquivos principais que deixaram meu site principal com sérias incapacidades. Foi embora em pouco tempo, o que era melhor do que nada.
Eu deletei os outros cinco completamente porque eles estavam corrompidos e os backups – de acordo com os representantes de suporte – também estavam corrompidos. Você sabe, como além do reparo. É uma vergonha. Agora eu tenho que começar a trabalhar em cinco sites diferentes, o que é realmente decepcionante para uma grande empresa como a Bluehost. De qualquer forma, fiz uma ótima avaliação para Matt, mas os outros representantes não tiveram a mesma sorte. Mas ainda estou preocupado que possa ser hackeado novamente, e não é o tipo de mentalidade que você precisa ao administrar um negócio.
Falando à parte, ser hackeado não é algo que você deve desejar a ninguém, mesmo ao seu pior inimigo. Mesmo que você acabe recuperando seu site, isso causará estresse indevido e custará tempo e dinheiro preciosos. Se o seu host for ruim como o meu, você corre o risco de ser hackeado uma segunda vez. Você perderá tráfego e vendas, e a memória amarga levará muito tempo para morrer. Sua credibilidade também está em jogo, então sim, ser hackeado não é divertido.
Então, o que você deve fazer quando algum idiota em algum lugar sequestra seu site WordPress e destrói todos os esforços; tempo, dinheiro e ambição, você colocou em seu projeto? Existe algum número para o qual você possa ligar? A polícia da internet talvez? Existe um botão rápido para corrigir tudo em que você possa clicar e recuperar seu site em minutos, em vez de dias?
Você tem que passar por uma experiência angustiante como eu, ou seu anfitrião de escolha entenderá que você já está estressado por perder seus ativos digitais? O que um usuário do WordPress deve fazer? Os hackers devem ser temidos ou você pode se proteger? Aqui estão algumas dicas que você pode empregar para nunca ter uma experiência como eu tive.
Segurança do WordPress
Dizem que é melhor prevenir do que remediar, e eu concordo. A segurança do WordPress é fundamental. Ao mesmo tempo, não importa o quanto você tente, os bandidos sempre parecem saber exatamente onde atacar e invadir seu site fortificado. Digo isso porque estava usando plugins de segurança de primeira classe em meus sites, mas ainda assim fui hackeado.
Seja você um neófito do WordPress ou um webmaster experiente, você deve sempre procurar reforçar sua segurança do WordPress em vez de tentar recuperar seu site quando ele já estiver em pedaços. Antes de discutirmos como você pode restaurar seu site WordPress hackeado, vamos ver o que está disponível em termos de medidas preventivas. Como você pode melhorar suas chances de permanecer inabalável mesmo se/quando os hackers jogarem tudo o que conseguiram em seu negócio online baseado em WP? Aqui está o suco.
Invista em um ótimo host
O que faz um ótimo host WordPress? Já discutimos como escolher o melhor host WordPress no passado, então não entrarei em detalhes. No entanto, vamos mencionar algumas considerações importantes a serem lembradas ao selecionar o host perfeito.
Preço vs. Valor
Em primeiro lugar, você não deve olhar para “ganhar centavos” com sua solução de hospedagem. O baixo custo de hospedagem é principalmente o motivo pelo qual escolhi e fiquei com o Bluehost. Eu não tinha ideia de que isso iria virar e me morder na bunda.
Tenho uma pergunta simples para você, mi amigo. Você prefere pagar US$ 4 por mês e correr o risco de ser hackeado (+ serviço ruim) ou US$ 29 por mês e obter um serviço estelar e personalizado sob medida para o seu negócio? Quanto vale a sua paz de espírito?
No passado recente, eu tinha tanta certeza de que estava economizando dinheiro pagando US $ 4 por mês para hospedagem. Agora eu sei melhor e estou pensando em mudar para a hospedagem gerenciada do WordPress . A menos, é claro, que a Bluehost esteja disposta a massagear meu ego com um enorme bolo de aniversário ou algo assim. Estou brincando, é claro, mas eles deveriam olhar para o atendimento ao cliente. Você também deve considerar a hospedagem gerenciada do WordPress, se não quiser perder seus negócios mais tarde.
O problema com os planos de hospedagem compartilhada de US$ 4 por mês é que seu site convive com um milhão de outros sites no mesmo servidor, o que significa que, se um dos outros sites for comprometido, você terá sorte de escapar do ataque. Se você coleta/armazena dados de clientes em seu site, não quer que esse tipo de informação caia em mãos erradas. Se você investiu tempo e dinheiro na criação de um ótimo conteúdo, não precisa de um hacker para reduzir tudo a uma homepage de venda de Viagra, ou pior, nada.
Precisamos realocar as pessoas de hospedagem gerenciadas do WordPress. Muitos dos hosts mais acessíveis já estão oferecendo planos de hospedagem gerenciada e, se aumentarmos a demanda, talvez os preços caiam como resultado. Parece um plano, certo? Se movendo…
Suporte de qualidade
Precisamos falar sobre por que seu host deve fornecer um ótimo suporte? Estar disponível a qualquer momento é ótimo, mas tive que esperar mais de 20 minutos para ter uma sessão de bate-papo ao vivo com um representante de suporte da Bluehost. E quando eles aparecem, eles dizem que estão em vários chats ao mesmo tempo, como se você devesse compensar a falta de pessoal. Não é legal caras, não é legal.
Assim você acaba perdendo ainda mais tempo com trivialidades, já que estão carregando questões de outros chats. Poderia ser esta a razão pela qual eles têm atitudes terríveis às vezes? Mas em vez de apontar o dedo, estou esperando muito de $ 4 por mês? Talvez eu esteja. Escolha seu host com cuidado, ou você pode pagar com a perda de tráfego (ou potencialmente seu negócio).
Além disso, eles têm servidores seguros? Que outras medidas de segurança eles têm? Você será capaz de restaurar seu site WordPress caso seja hackeado, ou eles dirão que seus backups também estão corrompidos? Eles perceberão a invasão muito antes que o invasor cause sérios danos ou encerrarão seu site e notificarão você quando já for tarde demais?
Você realmente precisa ficar nesse pacote de hospedagem compartilhada? Seu host é seguro ou deixa você vulnerável a todos os tipos de ataques? A única maneira de encontrar as respostas para essas perguntas e quaisquer outras que você possa ter é ler comentários (e este post conta como um) e fazer a pesquisa necessária . Quero dizer, apenas faça, e você ficará surpreso com o quanto você pode aprender sobre uma empresa na grande WWW.
Obtenha temas e plugins limpos do WordPress
O campo de jogo, temas e plugins favoritos do hacker (especialmente tipos mal codificados) fornecem acesso fácil ao administrador do seu site. Neste minuto, algum hacker provavelmente está tentando obter acesso ao seu site/blog WordPress usando um tema ou plugin mal codificado. Se um hacker usa um hack backdoor (escondido em um tema ou plugin) para acessar a área de administração, você é um ganso assado. Eles podem destruir o caos como quiserem.
Como tal, é importante baixar temas e plugins de sites confiáveis. Você está procurando um tema limpo? Recomendamos temas profissionais WPExplorer , Elegant Themes , Genesis e Themeforest . Precisa de plugins limpos? Confira o WordPress Repo e CodeCanyon . Conhece algum outro site confiável onde podemos obter temas e plugins? Por favor, compartilhe nos comentários.
Atualizar temas + plugins + WordPress
Às vezes, um ótimo tema ou plugin pode vir com uma falha de segurança. Normalmente, os desenvolvedores lançam atualizações para selar essas brechas de segurança. No entanto, se você não atualizar seu tema ou plugins, você se tornará um alvo fácil para hackers que – na maioria dos casos – estão cientes da falha de segurança. Afinal, as informações sobre a falha de segurança estão disponíveis em domínio público, então sim, aperte o botão de atualização já.
Mantenha-os temas e plugins atualizados. Lembre-se de atualizar sua instalação do WordPress também, ou você vai chorar quando o inferno começar.
Faça backup do seu site WordPress
Não seja o único a reconstruir seu(s) site(s) WordPress do zero como o seu. Com backups completos e regulares , você pode restaurar seu site WordPress com facilidade, mesmo se o hacker o arrancou das dobradiças e o jogou por todo o Oceano Atlântico.
E, por favor, não cometa o erro de presumir que seu host mantém backups seguros do seu site, mesmo que eles proclamem isso com orgulho em seus folhetos de marketing. A única (e melhor) maneira de se proteger é investir em uma solução de backup profissional e respeitável, como o VaultPress . Outras opções incluem BackWPup , blogVault , Sucuri.net e muitos hosts gerenciados como o WPEngine até oferecem suas próprias opções de backup com vários planos.
Se você conhece o seu servidor web, pode até criar backups manuais em intervalos regulares (e para maior segurança, recomendamos fazer seus próprios backups manuais, além de um dos plugins mencionados acima). Bi-semanal é uma ótima programação para começar. Basta compactar seu site WordPress e baixá-lo em sua máquina local. Baixe também o banco de dados do WordPress e salve ambos em uma pasta segura em seu computador. Certifique-se de que seu computador esteja limpo.
Existem muitos plugins de backup do WordPress também para fazer seus lances, então não se preocupe se você não conseguir encontrar o caminho em um servidor da web. Você pode ler mais sobre como proteger seu site WordPress e compartilhar suas dicas também. Vamos seguir em frente e ver como podemos recuperar seu site WordPress hackeado.
Quer saber mais sobre como você pode melhorar sua segurança do WordPress? Confira o Guia de Segurança do Sucuri WordPress que cobre as etapas essenciais que você deve seguir para manter seu site seguro.
Como recuperar um site WordPress hackeado
Você acabou de acordar e seu site não está lá. Poof, foi com o vento assim. Você provavelmente acabou de receber um e-mail ou mensagem de texto informandoo dia chuvoso proverbial está aquivocê perdeu as rédeas do controle para algum vira-lata mascarado por aí. O que fazer?
Sua primeira reação seria pânico, o que é bom, pois significa que você ainda está vivo e pode fazer algo sobre o hack – ou se você tiver muita sorte – o hacker. Mas você não deve se preocupar ao ponto de colapso mental, ainda precisamos de você. Afinal, o dano geralmente é recuperável em pouco tempo.
Você ainda pode fazer login
Com alguns hacks, você ainda pode ter acesso à sua área de administração do WordPress . Se for você, poderá recuperar seu site facilmente eliminando os arquivos danificados e selando o ponto de entrada. Normalmente, o Google e seu host informam quando você é invadido. Eles podem até mostrar os arquivos e URLs invadidos.
Tudo o que você precisa fazer é fazer login no seu site WordPress, remover os arquivos afetados ou alterar seus detalhes de login e atualizar toda a instalação do WordPress. Basta reinstalar o WordPress da sua área de administração. Você também pode precisar substituir temas e plugins infectados por novas cópias.
Uh-oh, você está bloqueado
Outras vezes, um hacker pode bloqueá-lo completamente ou bloqueá-lo do(s) seu(s) site(s) WordPress. Isso aconteceu no meu caso – não consegui fazer login em nenhum dos meus sites. Como recuperei meu site? Eu adoraria dizer que é fácil, mas eu estaria mentindo até os dentes.
Primeiro, entre em contato com seu host e, mesmo que ele não forneça as informações, pressione-o para fornecer detalhes do hack, incluindo uma lista dos arquivos infectados. Se os caras do suporte ao vivo lhe incomodarem, ligue para eles e, se isso não for suficiente, apenas leve a batalha para eles nas mídias sociais. Muitas empresas, não apenas empresas de hospedagem na web, pensarão duas vezes antes de manchar a reputação da marca nas mídias sociais por conta de um cliente insatisfeito. Seja educado no entanto; não vá lançando palavrões não imprimíveis. Foi o que fiz e, com certeza, Matthew salvou um arquivo malware.txt no meu servidor.
Com esse arquivo instalado, limpar e, eventualmente, recuperar seu site WordPress é uma questão de eliminar e substituir os arquivos afetados . No entanto, pode ser um processo longo, especialmente se o dano for extenso, pois você precisa encontrar cada arquivo afetado um por um.
No entanto, com um arquivo mostrando onde estão os arquivos infectados, tudo o que você precisa fazer é fazer login no seu cPanel -> Gerenciador de Arquivos e excluir/substituir os arquivos vitimados. Observe que isso pode forçá-lo a excluir plugins inteiros e até temas. Se você não usar um tema filho e seu tema pai estiver infectado, você perderá seu design personalizado, mas ei, pelo menos seu site está ativo! Você sempre pode substituir plugins, então isso não deve ser um problema.
A exclusão dos arquivos principais do WordPress incapacitará seu site de maneiras que você definitivamente não deseja. A melhor ação a ser tomada se for esse o caso é substituir os arquivos afetados por novos. Apenas certifique-se de que os arquivos de substituição sejam da mesma versão do WordPress que você está usando. Caso contrário, você quebrará seu site. Veja por que é importante manter sua instalação do WordPress atualizada o tempo todo?
Se você tiver uma solução de backup confiável, suas chances de recuperar seu site WordPress hackeado aumentam dez vezes. Tudo o que você precisa é reverter para uma versão anterior do site e relaxar.
Observe que, depois de recuperar seu site, ele pode precisar de alguma reconstrução. Depois de restabelecer seu site WordPress (o que significa que você pode fazer login na área de administração), verifique se todas as funções principais estão funcionando . Coisas para procurar incluem widgets, formulários de contato, plugins de mídia social e qualquer outra coisa ligada a qualquer plugin ou tema afetado.
Por exemplo, depois de restaurar meu site, nenhum dos meus formulários estava funcionando, pois tive que excluir o Contact Form 7, o plug-in que aciona todos os meus formulários. Eu tive que excluir o Jetpack também, então perdi o compartilhamento social, comentários e feeds RSS, entre outros recursos. Eu também deletei o All in One Favicon e perdi meu favicon personalizado. Recuperei todos esses recursos simplesmente reinstalando os plugins afetados.
Observe que os plugins em si não eram o problema, mas como o hacker tinha acesso ao meu servidor e acesso de administrador aos meus sites WordPress, eles poderiam adicionar código malicioso onde quisessem. Eu também deletei o WordPress SEO do Yoast, o que significa que meus esforços de SEO foram prejudicados. Eu levei o golpe como um homem deve fazer , e ainda estou me recuperando.
Felizmente o hacker não pareceu incomodado com o meu conteúdo. Eles/ela/ele/ela não adicionaram fluff e links para alguns sites falsos como aconteceu no passado. Ainda estou reconstruindo meu site e considerando uma reformulação do site/conteúdo. Ver? Ser hackeado não era tão ruim assim. Isso abriu meus olhos para as coisas que eu estava fazendo de errado e me deu o ímpeto de que precisava para agir para melhor. Na verdade, se os representantes de suporte da Bluehost não tivessem desperdiçado tanto do meu tempo, eu teria restaurado meu site em pouco tempo e os poupado dessa revisão detalhada.
De volta ao hacking, depois de limpar seu site, entre em contato com seu host para removê-lo da lista negra . Ao mesmo tempo, recuperar seu site WordPress hackeado não significará nada se você for hackeado pela segunda vez. Se as brechas de segurança não forem seladas, todo o seu trabalho de recuperação será em vão. Entre em contato com seu host e deixe que eles o aconselhem sobre como selar a violação . Às vezes, o problema pode ser outro site em seu plano de hospedagem compartilhada. Embora isso possa lhe dar alguma tranquilidade, você deve atualizar para um plano mais seguro ou investir nas opções de segurança mencionadas acima.
A coisa mais fundamental a fazer depois de restaurar seu site é alterar todas as credenciais de login , incluindo o e-mail do administrador. Isso garantirá que o hacker não recupere o acesso ao seu site ou mesmo às suas outras contas online. Uma palavra de cautela: mesmo que você altere seus detalhes de login, o hacker ainda pode estar conectado ao seu site, o que anula todo o propósito de obter novos detalhes de login. O que fazer? Em primeiro lugar, se você tiver vários usuários em seu site, certifique-se de que nenhum seja o ponto de entrada. Você pode criar novos para seus vários usuários; escritores, web designers, editor etc.
Em segundo lugar, você precisa alterar as chaves de segurança em seu arquivo wp-config.php para desconectar automaticamente todos os usuários não autorizados, incluindo o hacker. Gerar novas chaves de segurança é um trabalho fácil. Basta ir em criar novas chaves de segurança , gerar novas chaves, fazer login no seu servidor e atualizar o wp-config.php com os novos detalhes. O processo é bastante simples, não esperamos que você tenha problemas.
Recapitulando
O que mais estou esquecendo? Deixe-me ver; em poucas palavras, como se proteger e recuperar seu site WordPress caso o impensável aconteça:
- Primeiro, obtenha um host melhor, de preferência hospedagem WordPress gerenciada, por exemplo , WPEngine
- Invista em soluções de segurança do WordPress – Firewalls, backups – as obras. Recomendamos Sucuri.net , VaultPress , blogVault etc
- Crie detalhes de login fortes e mantenha-os privados
- Limpe seu computador e mantenha o software nele atualizado
- Atualize o WordPress, temas e plugins
- Obtenha temas e plugins de fontes confiáveis
E se o pior acontecer:
- Não perca a cabeça, sempre há uma solução. Reconstruir do zero também é uma oportunidade para melhorar
- Entre em contato com seu host e deixe-os loucos
- Corrija o problema ou contrate um profissional (eles estão prontamente disponíveis)
- Levante-se das cinzas e voe no céu mais uma vez
- Seja incrível e talvez documente sua experiência para ajudar outro
Recursos
Talvez eu tenha deixado de fora algumas áreas inocentemente, ou você simplesmente não conseguiu recuperar seu site com as dicas compartilhadas aqui. Talvez você só queira aprender mais. Quem sou eu para ficar no seu caminho? Afinal, nós realmente queremos que você recupere seu site WordPress hackeado. Então, aqui está uma ótima lista de recursos para facilitar seu trabalho:
- Oh Sh*#! O que fazer quando seu site WordPress foi hackeado
- Como corrigir um site WordPress hackeado
- FAQ Meu site foi hackeado
No fim do dia…
Ser hackeado nunca é uma experiência agradável, e o mundo definitivamente seria um lugar melhor sem hackers antiéticos que tiram prazer da malícia. Não tenho nenhum problema com hackers éticos, que fazem seu trabalho para nos proteger.
Mesmo assim, você não deve entrar em pânico ou sofrer ataques de ansiedade quando algum idiota ingrato enfia uma barra de ferro no coração do seu site WordPress. Com a preparação certa e tomando as medidas certas, você pode recuperar um site WordPress invadido rapidamente.
Você já ouviu um desentendimento desagradável com a escória da internet? Como você se recuperou? Compartilhe conosco e nos ajude a nos livrar da ameaça que são os hackers, um comentário de cada vez.