Suporte » Ajustando o WordPress » Remover bot japanese keyword hack

Visualizando 11 respostas - 1 até 11 (de um total de 11)
  • Moderador Felipe Santos

    (@felipeloureirosantos)

    Olá, tudo bem?

    Então, nunca aconteceu comigo. Mas já escutei relatos desse mesmo problema anteriormente.

    Pode ser que essa infecção tenha criado outros arquivos em outros diretórios ou talvez tenha criados arquivos ocultos que não estejam aparecendo para você. Pode ser também que este problema esteja afetando o servidor do site de forma geral.

    Eu faria isso que você fez, acho que neste caso o melhor caminho é entrar em contato com o local que o mesmo se encontra hospedado.

    Obrigado pelo feedback @felipeloureirosantos!

    Essa é a pior praga que estou lidando até o momento, a questão é o site está reestruturado e o dano é visível somente pelo google.

    A opção do servidor é a que me restou, já abri chamado, encontrando a solução, posto aqui para registrarmos.

    Moderador Felipe Santos

    (@felipeloureirosantos)

    Oi @theandersonn, por nada! 🙂

    Qualquer coisa, é só chamar.

    Moderador Felipe Santos

    (@felipeloureirosantos)

    Oi @theandersonn, tudo bem?

    Gostaria de saber se conseguiu resolver o seu problema?

    Se puder, compartilhe como fez para resolver o seu problema. 🙂

    theandersonn

    (@theandersonn)

    Opa @felipeloureirosantos!

    Ainda não consegui solucionar.

    Desde o dia que postei aqui… mudamos o site de servidor e por um breve período mantivemos o diretório com um simples html para isolar o problema do WordPress, para a nossa surpresa o resultados continuaram aparecendo no Google.

    Para essa semana, já estamos com a estrutura montada no novo servidor, geramos novo sitemap e estarei pesquisando outros que tiveram essa dificuldade e de que forma esse bot insere essas urls utilizando o dominio do cliente.

    Tendo novidades eu posto aqui.

    Moderador Felipe Santos

    (@felipeloureirosantos)

    Entendi, mencionei no Slack para ver se algum desenvolvedor teria algo para acrescentar, mas não foi o caso.

    Se você mudou de servidor e ainda está com problema, deve ser algo referente a cache (talvez de indexação do Google) ou de problema com algum CDN (como Cloudflare).

    Qualquer coisa, é só falar.

    theandersonn

    (@theandersonn)

    Obrigado!

    Aceito sugestões.

    Já gostei aqui, da questão das CDNs, vou pesquisar.
    Estou batendo todas as possibilidades.

    Estou tbm pesquisando pessoas que tiveram esse mesmo problema e como foi o processo de limpeza.

    Deu certo? Vocês conseguiram remover todas as URLS?
    No meu site cada dia aparecem 4 ou 5 novas

    Diminuiu 99%… diariamente era indexado umas 10 a 20 urls esquisitas em japonês, na limpeza e tratamento que fiz ainda é indexado, mas muito pouco.

    Outro problema é que essas urls, mais código infectado no core fez com que o google bloqueasse o ‘ads’, depois da limpeza ele desbloqueou… e tive que cuidar de outras demandas.

    Olá,

    Se vcs ainda estão vendo novos URLs indexados no site, eu sugiro uma regra de firewall no Cloudflare que pode ajudar a conter o problema e também a investigar sua origem.

    Basicamente eu criei uma regra baseada em URLs que apresenta um Captcha para qualquer visitante (inclusive o Googlebot) que tentar uma das URLs que não estejam no sitemap do site, ou não seja um arquivo de imagem ou css/js etc.

    No caso do site do @ferschiavinato, vi que é um site pequeno, portanto será fácil e possível implementar. Se o site for muito grande, tiver muitas URLs, pode não ser possível, já que cada regra de firewall no Cloudflare é limitada em tamanho a no máximo 4kb. Tem que testar.

    Num site de testes com somente 2 posts, Post A e Post B, e duas categorias, também A e B, além do inescapável Hello, World!, teríamos uma regra de firewall assim:

    https://snipboard.io/6MVD3i.jpg

    As primeiras regras listam as extensões de arquivos CSS, JS, de imagem etc. No plano gratuito do CF não dá para usar uma expressão regular, por isso tem que listar uma por uma.

    Depois uma regra que lista os URLs (na verdade, somente o “path”, para a regra ficar mais curta) que não devem ser bloqueados, como os dos posts e categorias, a “/” para representar a página inicial, e alguns arquivos especiais como ads.txt, robots.txt, sitemap.xml etc. Não é necessário excluir arquivos solicitados fora do domínio, como fontes do Google, etc, pois o firewall não atinge essas solicitações.

    E por fim a ação Challenge (Captcha), que apresenta um bloqueio com erro 503 para os bots e uma página de captcha para os visitantes.

    Ao implementar essa solução, visite seu site com a ferramenta do desenvolvedor aberta (F12 no Chrome) e repare se tem alguma coisa sendo bloqueada, ajustando a regra conforme o exemplo acima. Ou rastreie o site usando uma ferramenta do tipo Screaming Frog para ver se tem algo que está sendo barrado e não devia.

    A partir daí, o Googlebot irá ser barrado toda vez que requisitar os URLs que não foram excluídos pela regra do firewall, inclusive os 404 que não têm nada a ver com o hack japonês. Em vez de aparecerem na lista de 404 no Google Search Console, esses URLs vão ser listados como erros de rastreamento (crawl anomaly). É importante monitorar diariamente o GSC, mas esse tipo de erro não gera penalidade quando os URLs não foram enviados ao GSC via sitemap.

    Caso o GSC acuse que esses URLs bloqueados foram submetidos a ele, então há uma grande chance de (1) os hackers terem acesso a sua conta no Google (nesse caso, troque as senhas, implemente 2FA etc), ou (2) os hackers estarem gerando um sitemap invisível que só é gerado quando o próprio Googlebot navega no site, o que daria uma ótima pista para investigar na sua instalação do WordPress que tipo de plugin poderia estar sendo utilizado para tanto.

    Essa regra não tem o propósito (nem o poder mágico) de eliminar o problema em si (a infecção do site por malware), mas sim de impedir que o hack funcione, barrando o Googlebot de rastrear os URLs, e consequentemente de indexá-los. Em vez de tentar enxugar gelo bloqueando pelo robots.txt os URLs só depois que eles já estão indexados pelo Google (e outros buscadores), essa regra impede que o Google sequer acesse os URLs.

    Para eliminar o hack, tem que seguir os passos listados em https://codex.wordpress.org/pt-br:Site_Invadido, com especial atenção para a troca de senhas, troca dos “sais” do WP, e adoção do 2FA. (Imagino que já tenham feito isso, mas não custa lembrar!)

    theandersonn

    (@theandersonn)

    @cbrandt Obrigado por esse feedback rico!

    Vou olhar, alguma coisa relacionada com o Cloudflare, pela extensão do site não creio que seja possível, aqui tenho muitas urls.

    Não sei como explicar e não entendi exatamente a causa, mas nos meus esforços de resolver identifiquei esse detalhe que a intervenção desse bot é externa, de alguma forma ele captura essa url e insere as variações em japonês.

    Estou com vulnerabilidade pendente aqui para buscar outras formas de soluções.

    Chegando a novas conclusões, posto aqui.

Visualizando 11 respostas - 1 até 11 (de um total de 11)
  • Você deve estar conectado para responder a este tópico.