Escola de Internet

Escola de Internet Amen.pt

Segurança

Site Hackeado: E agora? Saiba o que fazer!

Sandra Vale

Escrever sobre segurança da web nunca é demasiado, muito pelo contrário! Este artigo pretende ser um guia básico sobre o que fazer se um hacker se infiltrar no seu site.

Apesar de todos os esforços de segurança, a dura realidade é que os hackers, estão sempre a melhorar a eficácia dos seus ataques. É por isso que muitos peritos em cibersegurança recomendam que trabalhe sempre com a premissa de que se tiver um site, em algum momento, o seu sistema será comprometido.

Se isto lhe acontecer, não entre em pânico. Em muitos casos, é possível recuperar o seu site sem danos de maior. Mas para localizar e reparar a falha de segurança, é necessário manter a calma.

 

A reparação de um site hackeado pode ser muito difícil e demorada. Os hackers escondem frequentemente trechos de código (scripts) que lhes permitem contornar a autenticação normal e aceder ao servidor sem serem detetados. Se estes “backdoors” não forem devidamente removidos, podem voltar a entrar no site depois de o ter (aparentemente) limpo.

Portanto, o nosso primeiro conselho seria o de delegar este trabalho a um profissional. Mas, para os mais determinados ou mais engenhosos, compilámos algumas das ações para implementar um “plano de crise” básico para a recuperação de um site pirateado.

1. Coloque o seu site em quarentena

Escrutine o seu site até saber o que o desinfetou. Se optar limitar o acesso ao seu site, irá manter os potenciais visitantes a salvo de ataques. Se não puder fazê-lo, o Google recomenda que devolva um código 503 para evitar que seja indexado ou que utilize a ferramenta de pedido de remoção de URL para webmasters para evitar que seja exibido aos utilizadores.

Entretanto, prepare um relatório do incidente tomando nota de quaisquer detalhes que possam ajudar a resolver o problema, por exemplo:

  • O que o fez pensar que foi atacado: a sua página está a redireconar para outro website, contém links ilegítimos, o Google assinalou-o como inseguro….
  • Quando descobriu o problema?
  • Consegue ou não aceder ao painel de controlo do seu sítio web?
  • Quem é o seu fornecedor de alojamento e de rede?
  • Fez alguma alteração recente ao seu site (por exemplo, adicionando um plugin)?
  • Se o seu site for construído com WordPress: que tema e plugins utiliza atualmente?

Inclua o máximo de informação possível e anote as ações que tomar enquanto procura e resolve o problema. Isto pode ser muito útil se decidir pedir ajuda: compreender a natureza do ataque, permitindo-lhe encontrar uma solução mais rapidamente.

 

Da mesma forma, guarde quaisquer provas que encontre, tais como e-ails enviados em seu nome ou compras feitas com o seu endereço de e-mail. Isto será essencial se tiver de apresentar uma queixa em caso de burla ou dano financeiro.

 

2. Altere as suas palavras-passe

Como não sabe como o hacker se infiltrou no site, a primeira coisa a fazer é redefinir a password de todas as contas que têm acesso ao site para evitar que ele volte a entrar.

Se não conseguir aceder à sua conta porque a sua palavra-passe foi alterada, verifique se consegue iniciar sessão respondendo às perguntas de segurança na função “Recuperar password”, caso o seu site tenha esta possibilidade.

Os hackers normalmente não mudam as palavras-passe, a menos que se trate de um ataque intencional…

Uma vez dentro do painel de administração, force o logout de qualquer utilizador que esteja logado.

No WordPress, se alguém tiver roubado a sua palavra-passe e não tiver efetuado o logout, permanecerá ligado porque os seus cookies são válidos. Para desativar esses cookies, deve gerar uma nova chave de segurança e adicioná-la ao seu ficheiro wp-config.php.

Qualquer pessoa com conta criada no site deve atualizar a palavra-passe tanto para o seu computador de trabalho como para as suas contas pessoais, pois não sabe ao que é que o hacker acedeu.

Leia o artigo “Como criar passwords seguras

3. Determine o alcance do ataque

Agora é tempo de começar a desinfetar o seu site. Quer o faça você mesmo, quer contrate um profissional, é sempre uma boa prática contactar o seu fornecedor de alojamento web.

Os Hosting Providers, como é o caso da Amen.pt, são frequentemente muito úteis nestas situações, uma vez que têm suporte especializado que lida com este tipo de problemas a toda a hora e conhece o ambiente do servidor. Especialmente se utilizar o alojamento partilhado, é possível que o hacker possa ter afetado mais sites, e neste caso, o seu fornecedor pode, eventualmente, fornecer informações chave para o ajudar a resolver.

Para avaliar os danos, é essencial scannear todo o sistema, incluindo o computador a partir do qual se acede ao site, para determinar o tipo de ataque e o que precisa de ser reparado. Se várias pessoas tiverem acesso ao seu site, peça-lhes para executarem o antivírus também nos seus dispositivos.

O objetivo final é remover os ficheiros ou códigos maliciosos que os atacantes introduziram e restaurar o que está em falta:

  • Procure quaisquer ficheiros que tenham sido carregados ou modificados no seu servidor web.
  • Procure sinais de atividade suspeita nos registos do seu servidor: tentativas de login falhadas, histórico de comandos (especialmente root), utilizadores desconhecidos, etc.

Para analisar o seu site, se utilizar o WordPress pode instalar o plugin Wordfence que fará um scan completo do seu site e lhe mostrará quais os ficheiros a desinfetar. Também remove temas e plugins não utilizados (muitas vezes, é aqui que os scripts são escondidos).

Se integrou o seu site com outras plataformas – por exemplo, as redes sociais ou um blog WordPress – verifique se as mesmas se foram afetadas. Por prevenção, altere as palavras-passe.

4. Verifique se precisa de notificar as autoridades e os seus clientes

Em alguns casos, pode ser necessário notificar as autoridades e até mesmo os seus clientes do ataque. Com o advento do Regulamento Geral de Proteção de Dados, certas violações de dados devem ser notificadas à respetiva autoridade de controlo, sob pena de sanções financeiras. Leia mais sobre como lidar com a situação aqui.

5. Restaure um backup do seu site

Nestes casos, o melhor a fazer para ter paz de espírito é reinstalar todo o sistema operativo a partir de uma fonte de confiança. O passo seguinte é restaurar uma cópia de segurança anterior incidente.

Se estiver a utilizar WordPress, verifique se o seu tema e plugins são de facto seguros, e reinstale-os.

Leia também “10 passos para tornar o seu WordPress mais seguro”

Tenha cuidado aqui: se tiver um blog com conteúdo diário, arrisca-se a perder mensagens e novos comentários. Nesse caso, deve pesar os prós e os contras. Se não tiver um backup ou não quiser perder o seu conteúdo, terá de fazer todas as alterações manualmente.

Mesmo que já tenha alterado todas as suas palavras-passe, é possível que o hacker tenha tido acesso às mesmas enquanto o problema estava a ser resolvido (por exemplo, se ele tivesse instalado um keylogger). Portanto, quando tiver terminado a limpeza e reinstalação do site, troque-as todas novamente.

6. Volte à normalidade

Verifique se o Google adicionou o seu site à sua lista negra. Pode usar ferramentas como o Sucuri para descobrir. Se, uma vez resolvido o problema e republicado o seu site, pode solicitar uma revisão do Google através do Google Search Console para remover o aviso.

7. Prepare o futuro

Anime-se! Pode acontecer a qualquer pessoa. Para proteger melhor o seu site para o futuro, siga as melhores práticas que temos vindo a recomendar:

  • Instale um sistema de defesa com firewalls e monitorização do website.
  • Implemente um sistema para fazer backups diários.
  • Escolha um alojamento com segurança reforçada, tal como o que a Amen.pt oferece com o Hosting WordPress Gerido.
  • Utilize sempre a última versão de todo o software de modo a não ser suscetível a qualquer vulnerabilidade conhecida.

Artigos relacionados

Digite acima o seu termo de pesquisa e prima Enter para pesquisar. Prima ESC para cancelar.

Voltar ao topo