Alerta de Malware Doloton em sites e lojas virtuais WordPress

Este artigo serve como um Alerta de Malware Doloton em sites e lojas virtuais WordPress.

Sabemos que a estrutura do WordPress é muito segura e que se usarmos seus recursos da forma correta, nossos site sempre estarão seguros, o problema ocorre quando usuários sem conhecimento, começam a instalar plugin e temas que, em muitos casos não são da base do WordPress e quando pagos não são diretamente baixados dos seus respectivos autores.

Tenho alguns clientes com site em WordPress e lojas com WooCommerce  e esta semana me deparei com um problema que foi bem complicado solucionar.

Alerta de Malware Doloton em sites e lojas virtuais WordPress

Trata-se de um Malware que gera redirecionamentos dentro dos sites e são acionados ao clicar em qualquer link no sites ou loja virtual.

Esse Malware é conhecido como deloton.com e cria varias listas de links redirecionando acessos para os mesmos ou para sites de terceiros.

Normalmente esses Malwares são incluídos em códigos escondidos dentro de plugin ou temas, por isso é recomendado sempre instalar plugins e temas da base do WordPress ou que sejam pagos diretamente do site dos seus autores.

No caso em que me deparei com esse problema, o código do Malware estava dentro do arquivo functions.php do tema Child. Os códigos maliciosos ficam na pasta Child propositalmente para que as atualizações do tema não os sobreponham.

Alerta de Malware Doloton em sites e lojas virtuais WordPress
Exemplo de código incluído no arquivo functions.php na pasta Child do tema

Esse código cria arquivos na pasta wp-includes que geram as listas de redirecionamentos para outros site.

Ainda dentro do código são inclusos linhas de comando que fazem com que um Admim do site não consiga ver esses redirecionamentos, pois o código consegue pegar o IP de acesso do Admim do site que entra em um tipo de lista de IPs que não podem ver os redirecionamentos.

Desta forma, os administradores do site dificilmente vão notar esses redirecionamentos por acharem que nada de errado tem o seu site, pois os IPs de onde são feitos os acessos ao admin não visualizam os redirecionamentos.

Nos site em que vi esses códigos, arquivos dentro da pasta wp-includes foram gerados com os seguintes nomes:

  • wp-vcd.php
  • wp-tmp.php
  • wp-feed.php

Até mesmo os nomes desses arquivos foram bem pensados por incluírem a sigla “wp” o que nos confundem na hora de buscar por arquivos maliciosos.

Então aqui vai um Alerta de Malware Doloton em sites e lojas virtuais WordPress a todos que usam o WordPres.

Vejam em seus sites primeiramente, se no arquivo functions.php da pasta Child do seu tema, se o código esta exatamente como o original (lembrando que pode haver códigos que você mesmo tenha incluído) em seguida entre na pasta wp-includes do WordPress e confira se existem arquivos que não fazem parte da estrutura original do WordPress.

Alerta de Malware Doloton em sites e lojas virtuais WordPress

Acesse nossa Página no Facebook