Usuário Elementor Pro? Você Precisa Ler Isso!

O WordPress tem impulsionado meus negócios online nos últimos sete anos e é sem dúvida a ferramenta mais essencial no arsenal de qualquer SEO.

Com um número estimado de instalações chegando a 455.000.000, 35% dos proprietários de sites aparentemente concordam.

Inúmeros plugins e combinações de temas tornam a plataforma perfeita para os menos “experts em tecnologia” dar vida às suas ideias e colocá-las na frente de um público online.

Infelizmente, isso também torna o WordPress um alvo para profissionais de marketing “chapéu preto” inescrupulosos que invadem seu site para fazê-lo fazer algo que não deveria – um feito que eles conseguiram recentemente em grande escala.

Como usuário do Elementor Pro, há uma chance de você já ter sido mordido…

E você provavelmente não é o mais sábio.

Vulnerabilidade do Elementor Pro

Em 6 de maio, o Wordfence publicou este artigo explicando como 1 milhão de sites podem estar em risco de um ataque ativo.

Os invasores estavam usando uma fraqueza na segurança do Elementor Pro para redirecionar maliciosamente seus visitantes para seus próprios sites ou até mesmo assumir o controle de seu site por completo.

A equipe da Elementor foi rápida em corrigir a falha e os usuários foram incentivados a atualizar para a versão mais recente o mais rápido possível.

A atualização trouxe tranquilidade para muitos — inclusive eu — até que descobri que o invasor já havia obtido acesso a um grande número de sites que gerencio e que a atualização não faria a menor diferença.

Se o seu site já foi comprometido, a atualização NÃO o corrigirá.

O que um hacker poderia fazer com meu site?

Quando executado com sucesso, este ataque em particular instala um webshell chamado “wp-xmlrpc.php” (é chamado desta forma para se misturar com seus arquivos de sistema)

Um webshell dá ao invasor acesso total ao seu site e, muitas vezes, ao seu servidor, o que significa que eles podem:

• Adicionar, alterar ou remover conteúdo
• Insira links para valor de SEO
• Redirecione seu tráfego para o próprio site deles
• Apague tudo!
• … Praticamente qualquer outra coisa que você possa pensar

Sem mencionar que, se você estiver usando o WooCommerce, o invasor poderá ter acesso a alguns dados de seus clientes.

Como saber se fui hackeado?

Você não precisa ser um assistente técnico para descobrir se seu site foi afetado.

Basta seguir estes passos:

1. Verifique os usuários do WordPress

Um novo usuário em seu site geralmente é o primeiro sinal de que alguém tentou explorar a vulnerabilidade do Elementor Pro.

Uma doação inoperante é se você recebeu um e-mail do seu site WordPress informando que um novo usuário foi criado por volta da primeira semana ou duas de maio.

Em primeiro lugar, faça login na sua área de administração do WordPress usando sua conta de administrador e navegue até “Usuários”.

Verifique se há nomes de usuário suspeitos ou desconhecidos.

A segurança WebARX publicou uma lista de todos os nomes de usuário conhecidos usados ​​no ataque até agora.

Se você vir um dos nomes de usuário em seu painel — vá direto para Se você foi hackeado.

Importante : Só porque não há um nome de usuário suspeito não significa que seu site seja seguro.

2. Verifique seus arquivos

Você pode examinar seus arquivos do WordPress usando FTP / SFTP / Gerenciador de Arquivos.

Na pasta raiz do WordPress (geralmente a primeira pasta que você vê ao fazer login), procure um arquivo chamado wp-xmlrpc.php.

Se esse arquivo existir, o invasor conseguiu obter acesso. Apenas excluir o arquivo neste momento provavelmente não será útil.

Você também deve verificar /wp-content/uploads/elementor/custom-icons/

Todos os arquivos aqui que você não reconhece como algo que você carregou provavelmente foram plantados lá por um invasor.

Especificamente, procure:

• wpstaff.php
• demo.html
• Leia Mw.txt
• config.json
• icons-reference.html
• seleção.json
• fonts.php

3. Execute uma verificação de segurança

Se você usar um host WordPress gerenciado, como WPEngine, WPX Hosting, SiteGround, etc., eles geralmente poderão fazer isso para você.

Isso geralmente é preferível a executar sua própria verificação usando Wordfence ou Sucuri, pois seu host pode ter acesso para verificar arquivos do sistema que esses plugins perderiam.

Os plug-ins de segurança gratuitos populares do WordPress geralmente são capazes de detectar uma alteração nos arquivos principais do WordPress, mas não interpretam um resultado de verificação limpa como uma garantia de que seu site é seguro.

Um Firewall geralmente protege os assinantes pagos de tais ferramentas, e há uma chance maior de o ataque falhar.

5. Visite seu Site

Você visitou seu próprio site recentemente e foi redirecionado para outro?

Exatamente como esse redirecionamento malicioso funciona permanece desconhecido.

Visite seu site usando estes métodos:

• Use outros navegadores no modo Privado/Anônimo
• Visite seu site usando um proxy
• Clique no seu site a partir do Google ou das redes sociais

Se algum deles resultar em um redirecionamento para qualquer coisa que não seja seu próprio site, você provavelmente foi invadido.

Se você foi hackeado ou não tem certeza

Reverter para uma versão anterior

Muitos hosts da web oferecem backups de 14 a 30 dias. Esperamos que este artigo o encontre a tempo se você foi afetado, permitindo que você reverta seu site para uma data anterior ao ataque.

Nota : se seus backups estiverem armazenados em seu servidor usando algo como o Updraft, há uma chance de que eles também sejam infectados.

Descobrir quando você foi atacado

Por padrão, o WordPress não mostrará as datas e horários de registro do usuário.

Instale um plugin chamado Admin Columns.

Nas configurações do plugin, ative a coluna 'Registro' para 'Usuários'.

Agora, quando você navegar para a página 'Usuários' do WordPress, uma nova coluna exibirá a data em que o usuário malicioso foi criado.

Alternativamente, se você tiver seus logs de acesso ao servidor, você pode procurar a entrada por “wpstaff.php”.

Reverta seu site para um backup criado antes da data e hora do ataque.

Depois que o backup for restaurado, atualize seus plugins o mais rápido possível para evitar outro ataque.

Em seguida, verifique novamente o usuário e os arquivos maliciosos.

Suporte de hospedagem gerenciada

Se você tiver um host gerenciado como os listados acima, converse com o suporte sobre as medidas de segurança e se eles oferecem limpeza de malware.

Hosts como WPX Hosting e WPEngine incluem isso gratuitamente em todos os pacotes.

Serviço de limpeza

Muitos serviços de remoção de malware “feito para você” já relataram o recente problema do Elementor Pro.

Alguns estão listados aqui, por favor, faça sua própria pesquisa, pois não os testei pessoalmente, nem sou afiliado:

• https://www.wordfence.com/wordfence-site-cleanings/
• https://www.getastra.com/website-cleanup-malware-removal
• https://sucuri.net/website-security-platform/help-now/

Reconstruir

Parece uma medida drástica, mas se você estava pensando em reconstruir seu site de qualquer maneira, agora é uma oportunidade perfeita para começar do zero.

Dessa forma, você tem certeza de que não tem nenhum arquivo malicioso escondido em segundo plano.

Apenas certifique-se de usar uma conta de instalação ou hospedagem diferente.

Evitando um Hack

É difícil evitar um hack quando você não sabe de antemão quais plugins contêm vulnerabilidades.

Algumas dicas básicas para prevenir futuros hacks:

• Use um host WordPress gerenciado – eles normalmente têm varredura e remoção de malware e protegem suas instalações WP por padrão (impedindo a execução de arquivos PHP em pastas de uploads)
• Mantenha Plugins, Temas e WordPress Core atualizados
• Use um plug-in de segurança. No mínimo, habilite o Firewall e a proteção do WordPress.WordFence Premium, Sucuri e WebARX são todas boas soluções
• Execute o WPScan ou verifique o WPVulnDB para plugins e temas vulneráveis ​​que você possa estar usando.

Seu site WordPress foi hackeado?

Como você abordou o problema?

Deixe-nos saber nos comentários.