Neste post vou ensinar a como remover virus e malwares de seu wordpress.
Caso seu wordpress, não esteja abrindo devido a contaminação de virus e nem a sessão /admin, a solução abaixo pode ser aplicado para qualquer caso:
Faça um backup antes do seu servidor ou da sua aplicação via FTP ou Snap em sua hospedagem:
1 – Abra seu FTP e faça o download de 1 site, pegando apenas o diretório /wp-content e o arquivo config.ini.php
Quando começar o download, fique de olho nos avisos que você vai receber de arquivos maliciosos, desta forma você vai identificar os arquivos que fazem parte da estrutura do virus o malware que foram instalados.
Eu vou colocar os passos abaixo para o ataque aonde são gerados estes três arquivos:
- config.bak.php
- config_bak.php
- log.txt
Caso não sejam estes arquivos, apenas faça os passos abaixo para os arquivos que você será alertado quando estiver fazendo o download. Siga firme que vai dar certo!
2 – Abra o Termina SSH, acesse seu diretório /var/www/html ou /var/www/ e de o seguinte comando:
sudo find -iname *bak.php
Será disponibilizado uma lista com todos os arquivos que constam no seu servidor.
3 – Copie todos, cole no notepad e de um replace ./ para sudo rm ./:
./seusite/config.bak.php deve ficar assim: rm ./seusite/config.bak.php
Cole novamente no terminal e de um Enter para fazer a exclusão
4 – Repita o passo 3, agora dando replace em config.bak.php para log.txt
5 – Repita o passo 3 no notepad, agora dando replace em log.txt para config_bak.php
Caso tenha mais arquivos identificados, continue repetindo o passo 3 de dar o replace e executar no terminal.
Feito isto, você removeu os arquivos referente a este tipo de ataque, caso, nao encontre os arquivos citados, fique firme e continue os passos abaixo
6 – Agora remova todos os arquivos do seusite, Menos o diretório wp-content e config.ini.php do seu wordpress
7 -Faça download do wordpress: https://br.wordpress.org/latest-pt_BR.zip
8 – Depois de baixar, descompactar o arquivos do wordpress baixado REMOVA o diretório wp-content e config.ini.php
9 – Feito isto, acesse seu FTP novamente e suba os novos arquivos no diretório da seusite normalmente.
10 – Depois de subir, acesse seu /admin via browser que o site vai abrir normalmente
11 – Acesse sua sessão de plugins e veja se possui plugins renomeados com CMS, caso isto ocorra, você vai efetuar a Remoção de todos
12 – Feito a remoção, abra seu site e veja se o mesmo esta inteiro, caso esteja com problemas, você vai precisar baixar os plugins que estão faltando, por exemplo o SMART SLIDER. Quando você instalar, seu site volta a funcionar a sessão que usava este plugin.
13 – Faça o passo 12 para todos os plugins que estiverem faltando.
14 – Feito isto, seu site já esta livre do vírus ou malware
15 – Caso tenha uma vps aonde todos os sites foram atacados, você precisa repetir todos os passos acima em todos seus sites.
16 – Feito isto, configure seu firewall URGENTE., dando os seguintes passos:
1 – sudo apt install ufw
2 -sudo ufw default deny incoming
3 – sudo ufw default allow outgoing
4 – sudo ufw allow ssh
5 – sudo ufw allow 2222
6 – sudo ufw allow 80
7 – sudo ufw allow https
8 – sudo ufw enable
Maiores informações sobre a configuração:
https://hostadvice.com/how-to/how-to-configure-firewall-with-ufw-on-ubuntu-18/
Faça os passos de acordo com sua versão do linux em seu servidor.
Provavelmente você se livrou do ataque e seu site já esta no ar, porém de agora em diante, evite plugin que não possuam licença, pois eles deixam seu site vulnerável para novos ataques.
Boa sorte e qualquer dúvida, entre em contato que podemos te auxiliar