Imagine que um internauta está procurando por um site igual ao seu. Seus esforços de SEO valeram a pena – seu site aterrissa no topo dos resultados da pesquisa, e o cliente em potencial clica no link, apenas para ser atendido com um aviso de que há um “Site enganoso à frente” ou que “o site à frente contém malware”

Mas você não está tentando enganar ninguém. Por que o Google mostraria um aviso sobre o seu site?

Embora esta mensagem possa ser alarmante, a boa notícia é que avisos como “site enganoso à frente” podem ser corrigidos. Continue lendo para descobrir o que esses avisos significam e como removê-los do seu site.

Confira nosso guia em vídeo para consertar o aviso de “Site Enganoso à Frente”

O que significa “Site enganoso à frente”?

Descobrir que o seu site tem um aviso é um choque. Sua primeira reação pode ser a de assumir que não há nada de errado com seu site. Afinal de contas, você sabe que não colocou nada de perigoso nele.

Mas alguém mais pode ter.

Aviso de conteúdo enganoso em um site, mostrando o texto "Site enganoso à frente": Atacantes neste domínio podem enganá-lo para fazer algo perigoso como instalar um software ou revelar suas informações pessoais".
Aviso de conteúdo enganoso em um site.

Todos nós já lemos sobre ataques cibernéticos a grandes corporações nas notícias, mas isso também pode acontecer com os pequenos. Na verdade, 46% das quebras de dados acontecem com pequenas empresas.

Tipos comuns de hacks de sites incluem a injeção de URL, que é quando um hacker cria páginas de spam em um site, e a injeção de conteúdo, como adicionar palavras-chave e texto algaraviar.

Se você receber um dos avisos do Google, ele pode indicar que você foi hackeado. Também é possível que você tenha configurado o seu site de uma maneira que o Google não goste.

As razões para as advertências incluem:

Para remover o aviso, você terá que reapresentar seu site ao Google e pedir para que ele não seja sinalizado como perigoso ou enganoso. Felizmente, este é um processo bastante simples.

Não envie seu site para o Google até que você tenha certeza que o problema com seu site foi resolvido (mais sobre isso mais tarde).

Mensagens de aviso do site e o que elas significam

“Site enganoso à frente” não é o único aviso que o Google faz aos sites. Enquanto a correção – reapresentar o seu site ao Google – é a mesma para todos eles, o significado de cada um deles é ligeiramente diferente.

Entender o que significa o aviso é o primeiro passo para corrigir. Então vamos dar uma olhada em alguns dos mais comuns.

Site enganoso

Este aviso se refere especificamente a sites que podem ser sites de phishing. Por exemplo, pode ser uma página projetada para parecer que pertence ao seu site, mas usada para roubar informações pessoais dos usuários.

O site a seguir contém malware

Isto indica que o site pode tentar instalar um software nocivo no computador do visitante do site. O malware pode ser potencialmente embutido no seu site em lugares como imagens, componentes de terceiros ou anúncios.

Site suspeito

Este é um aviso geral de que o Google considerou um site suspeito e potencialmente inseguro.

O site a seguir contém programas prejudiciais

O erro prejudicial dos programas avisa que seu site pode tentar enganar os visitantes na instalação de programas que causam problemas quando eles estão navegando online.

Esta página está tentando carregar scripts de fontes não autenticadas

Boas notícias: se este é o aviso que o Google anexou ao seu site, você provavelmente não foi hackeado. Isso geralmente significa que seu site é HTTPS, mas está tentando carregar scripts de fontes HTTP.

“Você quis dizer [nome do site]?”

O Google mostra esta mensagem aos visitantes do site quando ele pensa que eles podem estar procurando por um site diferente com um nome similar. Os hackers às vezes criam sites que estão apenas a uma letra ou um hífen de um site seguro para atrair os visitantes a desistir de suas informações pessoais.

O processo para pedir ao Google para rever este problema é um pouco diferente dos outros avisos. Se você ou visitantes do seu site estão recebendo um aviso “Você quis dizer [nome do site]?”, o Google pede que você entre em contato com eles sobre isso usando este formulário.

“Aviso de site fraudulento” (Safari)

Com 77,03% do mercado global de desktops, o Google Chrome pode ser o rei indiscutível entre os navegadores, mas não é o único jogo na cidade. O Safari (8,87% de participação de mercado) também mostra avisos no site, embora com palavras ligeiramente diferentes.

“Potencial risco de segurança à frente” (Firefox)

Firefox, o terceiro navegador mais popular com 7,69% de participação de mercado, tem seu próprio conjunto de avisos.

Embora o Safari e o Firefox possam formular seus avisos no site de forma diferente do Google, as causas – e as correções – são as mesmas.

Como corrigir as mensagens de advertência do site

Antes de enviar novamente o seu site para o Google para revisão, você precisa ter certeza de ter resolvido qualquer problema de segurança.

O Google Search Console (anteriormente conhecido como Webmaster Tools) é o seu melhor amigo neste processo. Através do Console de Busca, o Google torna fácil para você descobrir o que está acontecendo com o seu site – mesmo que você não tenha muita experiência técnica.

Se você ainda não configurou o Google Search Console para o seu site, agora é um ótimo momento. É completamente gratuito e o ajudará a monitorar, gerenciar e melhorar seu site muito depois que o aviso de segurança for liberado.

1. Veja seu relatório de problemas de segurança no Google Search Console

Entre no Google Search Console. Se o Google encontrou problemas de segurança, haverá um link para o seu Relatório de Problemas de Segurança na página de visão geral.

Console de Busca do Google mostrando 5 problemas de segurança detectados.
Google Search Console mostrando problemas de segurança detectados. (Fonte de imagem: Search Engine Journal)

Você também pode acessar o relatório indo em Security & Manual Actions e depois em Security Issues in the sidebar.

Há várias questões de segurança possíveis que você pode ver em seu relatório. O Google categoriza os problemas em três grupos: conteúdo hackeado, engenharia social, e malware ou software indesejado. Vamos dar uma rápida olhada em cada um deles.

Conteúdo hackeado

Conteúdo hackeado é qualquer conteúdo adicionado ao seu site sem sua permissão devido a vulnerabilidades de segurança no site. Por exemplo, um hacker pode adicionar links de spam às suas páginas web.

Se você tiver sido invadido, seu Relatório de Questões de Segurança mostrará questões como:

  • Hackeado: Malware
  • Hackeado: Injeção de código
  • Hackeado: Injeção de conteúdo
  • Hackeado: Injeção URL

Engenharia social

Engenharia social significa que o conteúdo do seu site está tentando enganar as pessoas para que façam algo perigoso. Por exemplo, o site pode ter formulários enganosos para convencer os usuários a revelar informações confidenciais.

Questões de conteúdo de engenharia social em seu relatório poderiam incluir:

  • Páginas enganosas
  • Recursos embutidos enganosos

Malware e software indesejado

Esta edição significa que você tem aplicativos ou softwares para download em seu site que podem prejudicar o usuário. O proprietário do site ou um hacker pode tê-los instalado.

Espere ver questões como:

  • Downloads prejudiciais
  • Links para downloads prejudiciais

Não importa qual assunto você veja em seu relatório, você pode clicar nele para obter mais informações.

O Google aconselha sobre como resolver o problema, mas ele pode ficar bastante técnico. Para muitos dos problemas, existem maneiras mais simples, amigáveis ao WordPress, de corrigir o seu site e remover o aviso.

2. Encontre e remova código malicioso em seu site

Na Kinsta, temos uma promessa de segurança contra malware. Isso significa que se o seu site estiver hospedado aqui, entre em contato conosco e nós o faremos:

  • Realize uma verificação profunda dos arquivos do seu site para identificar malware
  • Corrigir o núcleo do WordPress instalando uma cópia limpa dos arquivos do núcleo
  • Identificar e remover plugins e temas infectados

Se o seu site WordPress estiver hospedado em outro lugar, no entanto, você pode tentar restaurar uma versão anterior e limpa do seu site a partir de um backup recente. Basta lembrar que você vai perder qualquer mudança que tenha feito desde que fez o backup do site.

Se você não tem um backup ou não quer perder seu novo conteúdo, há vários plugins e serviços que podem ajudar.

3. Certifique-se de que o certificado SSL está corretamente instalado

SSL significa Secure Sockets Layer. É um protocolo de segurança web que criptografa e autentica os dados enquanto são enviados entre dois aplicativos, como um navegador e um servidor web.

Às vezes uma instalação imprópria do certificado SSL pode causar uma mensagem de aviso no navegador. Você pode verificar sua instalação com ferramentas como o SSL Checker.

Se o seu site está hospedado na Kinsta, ele é automaticamente protegido pela nossa integração Cloudflare, incluindo certificados SSL gratuitos com suporte wildcard.

Janela de diálogo de instalação de certificados SSL através do MyKinsta.
Instalação do certificado SSL através do MyKinsta

4. Redirecione o site de HTTP para HTTPS

Seu certificado SSL habilita o HTTPS. Todos deveriam estar usando HTTPS – é mais seguro, melhor para o SEO, e fornece dados de referência mais precisos.

Infelizmente, o processo de migração de HTTP para HTTPS pode causar problemas.

É importante redirecionar todo o seu tráfego HTTP para HTTPS permanentemente. Se você tem um site HTTPS, mas algum conteúdo é carregado sobre uma conexão HTTP menos segura, o Google pode anexar uma mensagem de aviso ao seu site.

Os clientes Kinsta podem usar nossa ferramenta Force HTTPS para redirecionar o tráfego HTTP para HTTPS com apenas alguns cliques. Para outros hosts, a correção dependerá do software do servidor que estiver sendo usado.

Há uma solução simples que usa um plugin WordPress para configurar seu site para rodar sobre HTTPS. Depois de instalar o SSL, obtenha o plugin Really Simple SSL.

Dito isto, nós não recomendamos que você use o método plugin permanentemente.

Embora eles possam ser tentadores como uma solução rápida, os plugins de terceiros introduzem uma camada extra de risco. Você sempre pode usá-lo como um stopgap enquanto você trabalha para resolver o problema de outra forma.

Como reenviar seu site para o Google

Você encontrou o problema de segurança do seu site e limpou o site. E agora?

Para reapresentar seu site ao Google, você usará – sim, você adivinhou – o Google Search Console. Veja como:

Passo 1: Prepare o seu site para submissão

Verifique novamente se você removeu o conteúdo prejudicial do seu site. Se você usou um scanner de segurança para encontrar o malware, reexecute-o.

Submeter o seu site sem corrigir o problema causará atrasos adicionais.

Para rever o seu site, o Google tem que ser capaz de rastejá-lo. Certifique-se de que você não bloqueou o Googlebot através das tags noindex ou qualquer outro método.

Finalmente, isto pode parecer óbvio, mas é um erro cometido antes: se você trouxe seu site para fora do ar para lidar com o hack, certifique-se de que ele esteja ao vivo novamente para que o Google possa verificá-lo.

Passo 2: Solicite uma revisão

Volte para o seu Google Search Console. Em seu Relatório de Questões de Segurança, clique no botão Request Review (Solicitar Revisão).

Isto o levará a um formulário que lhe pede para descrever o que você fez para corrigir o problema. Escreva uma frase para cada um dos problemas de segurança detectados.

Por exemplo, se você recebeu os erros “Hacked”, Injection” e “Harmful Downloads”, você poderia escrever:

Para a injeção de conteúdo, eu removi o conteúdo de spammy e corrigi a vulnerabilidade atualizando meus plugins do WordPress. Para downloads prejudiciais, eu substituí o código de terceiros que estava distribuindo downloads de malware no meu site.

Se o seu site foi sinalizado especificamente para phishing, você pode enviá-lo para revisão através do Google Search Console como descrito.

Se você ver a mensagem “Você quis dizer [nome do site]?”, envie seu site através deste link, e não através do Google Search Console.

Passo 3: Espere

O tempo que leva para o Google rever seu site depende do tipo de problema de segurança.

  • Hackeado com spam: Várias semanas
  • Malwares: Alguns dias
  • Phishing: Cerca de um dia

Se o Google descobrir que seu site está limpo, o aviso deve ser removido dentro de 72 horas.

E se o seu site não passar na revisão?

Se o Google determinar que você não resolveu o problema, o aviso enganoso do site permanecerá no lugar. Seu Relatório de Questões de Segurança pode começar a exibir mais amostras de URLs infectadas para ajudá-lo a rastrear o conteúdo malicioso.

E os avisos em outros navegadores?

Se o seu site também estiver mostrando avisos no Safari ou Firefox, não se preocupe. Você não tem que passar por um processo de revisão separado para cada navegador.

Firefox mensagem de aviso de risco de segurança com o texto "Aviso: Risco potencial de segurança à frente".
Mensagem de aviso de risco de segurança Firefox

Firefox e Safari, assim como muitos outros navegadores, obtêm suas informações das listas do Google Safe Browsing, um conjunto de listas frequentemente atualizadas de recursos web inseguros. (A exceção é para usuários na China Continental, onde o Safari pode usar listas da Tencent em vez do Google)

Se você tiver seu site limpo com o Google, os avisos também serão removidos de outros navegadores.

Como previnir avisos como “Site Enganoso à Frente”

Nenhum site é 100% seguro. Hackers desenvolvem novos truques o tempo todo, e se você é dono de um site, há sempre uma chance de você ser a próxima vítima.

Dito isto, a maioria dos ataques cibernéticos pode ser evitada seguindo algumas das melhores práticas.

Aqui estão nossas principais dicas para manter aquela página de aviso vermelha brilhante de saudação aos visitantes de seu site.

Fique por dentro

É essencial que qualquer software em seu site, seja seu programa principal de CMS, plugins ou tema, esteja atualizado.

Os desenvolvedores atualizam o software em resposta a novas ameaças de segurança, mas seu site ainda está vulnerável se você estiver rodando uma versão antiga.

Atualizações pendentes do site WordPress.
Atualizações pendentes do site WordPress

Um estudo descobriu que 49% dos sites WordPress hackeados estavam rodando versões desatualizadas do CMS na época da infecção.

E não se esqueça dos seus plugins. Plugins são uma grande característica do WordPress, mas é fácil adicionar um monte e nunca mais pensar neles novamente.

Cada plugin é um gateway para um hacker ter acesso ao seu site. Para ser o mais seguro possível, atualize-os todos regularmente e evite o uso de plugins nulos.

Use um plugin de segurança WordPress

Não há falta de plugins projetados para aumentar a segurança do site WordPress.

O problema é que muitos deles causam problemas de desempenho do site. É por isso que nós banimos alguns deles dos sites da Kinsta.

Se você está hospedado na Kinsta, nossas correções de hack grátis e os recursos de segurança embutidos no painel MyKinsta significam que você não precisa de ferramentas de segurança de terceiros.

Mas para proprietários de sites que usam outros serviços de hospedagem que podem querer usar um plugin WordPress, nós recomendamos dois em particular: Sucuri ou Wordfence.

Monitore o Google Search Console

Os proprietários de sites usando o Google Search Console devem receber avisos por e-mail sobre problemas de segurança, mas não custa nada fazer o check in de tempos em tempos.

Além disso, o Google Search Console tem muitos outros recursos que ajudam no desempenho do seu site e na otimização dos mecanismos de pesuisa. Ficar de olho nessa ferramenta só pode melhorar o seu site.

Acesso restrito

Um número surpreendente de hackers ganha acesso ao seu site de uma maneira simples: Eles usam a sua senha.

Tenha cuidado com quem tem credenciais de login para o seu site. Certifique-se de que todos em sua equipe estejam seguindo as melhores práticas, como usar um gerenciador de senhas, e que eles entendam como evitar golpes como e-mails de phishing.

Escolha um host seguro

Como proprietário de um site, você só pode fazer muito para garantir que seu site esteja seguro. Para segurança em nível de servidor, você precisa encontrar um host no qual você possa confiar.

Algumas coisas que seu host pode fazer para manter esses avisos fora do seu site são:

Resumo

É alarmante perceber que o Google colocou um aviso em seu site, mas não é difícil de corrigir. Ver a mensagem de aviso pode até mesmo ser um alerta útil de que algo está errado com o seu site.

A melhor maneira de manter um olho no seu site é configurar o Google Search Console e monitorá-lo regularmente. Lide com qualquer problema assim que ele ocorrer.

Melhor ainda, evite problemas de segurança em primeiro lugar. Seguindo as melhores práticas de segurança do WordPress acima, você irá percorrer um longo caminho para manter seu site seguro e seu tráfego de entrada fluindo.

Tudo começa com uma hospedagem de aplicativo, hospedagem de banco de dados e uma hospedagem gerenciada WordPress focado na segurança. Clique para saber mais sobre como a Kinsta facilita o gerenciamento de seus projetos.

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.