📸 “É só uma imagem”… será mesmo?
Muitos administradores de sites WordPress ignoram arquivos que parecem simples imagens ou documentos. Mas o que você diria de um arquivo chamado:
pythonCopiarEditarlogo.jpg.php
avatar.php.jpeg
plugin.zip.php
Esses são exemplos clássicos de extensões duplas — uma técnica muito usada por hackers para esconder scripts maliciosos sob a aparência de arquivos inocentes.
🐚 Por que isso é tão perigoso?
Arquivos com extensões como .php.jpeg ou .txt.php são armadilhas disfarçadas. Eles podem:
- Ser executados como código PHP no servidor, mesmo parecendo imagens
- Passar por filtros mal configurados de upload (como de formulários de contato)
- Ser utilizados para instalar backdoors, iniciar ataques ou capturar dados
💥 Como esse tipo de malware chega no seu WordPress?
Hackers usam falhas em:
| Vetor de Ataque | Como o arquivo malicioso entra |
|---|---|
| Formulários de upload sem validação | O atacante envia um “avatar” com .php.jpeg |
| Plugins desatualizados com brechas de upload | Injetam arquivos PHP no servidor |
| Temas piratas com funções inseguras | Executam código sem restrições |
| FTP comprometido | Backdoors são colocados manualmente |
🔍 Como identificar arquivos com extensões duplas?
Você pode usar as seguintes estratégias:
1. Varredura com plugins de segurança
Ferramentas como GOTMLS.NET, Wordfence e MalCare detectam padrões de arquivos incomuns ou com extensões perigosas.
2. Verificação manual via FTP/cPanel
Procure por:
- Arquivos
.php.jpeg,.php.jpg,.php.zip,.php.txt - Arquivos com nomes randômicos como
a8s7d6f.php.jpeg - Localizações incomuns, como:
/wp-content/uploads//wp-content/themes/nome-do-tema/images/
3. Comando SSH (avançado)
bashCopiarEditarfind . -type f -name "*.php*" | grep -E "\.jpg|\.jpeg|\.png|\.txt|\.zip"
🧼 Como remover e prevenir arquivos maliciosos com extensões duplas?
✅ Etapas de remoção:
- Faça backup de tudo primeiro
- Incluindo banco de dados e arquivos
- Apague arquivos suspeitos identificados na varredura
- Verifique o conteúdo antes de excluir
- Se contiver
base64_decode,eval(), oushell_exec(), é malware
- Rode nova varredura com plugin de segurança
- Para garantir que não existam variantes escondidas
🔐 Boas práticas para prevenção:
| Medida | Detalhe |
|---|---|
| Restringir tipos de arquivo permitidos no upload | Use plugins como Disable Uploads |
Bloquear execução de PHP em /uploads/ | Adicione ao .htaccess: |
apacheCopiarEditar<FilesMatch "\.php$">
Deny from all
</FilesMatch>
``` |
| Monitorar novas alterações no FTP | Ative logs e alertas com plugin de segurança |
| Atualizar sempre plugins e temas | Corrige falhas conhecidas de upload |
---
## 💡 Caso real: backdoor escondido em “foto de perfil”
Em um cliente da Server Express, identificamos que o invasor fez upload de um arquivo chamado `foto-perfil.php.jpeg` por um formulário de contato. O arquivo estava no diretório `/uploads/`, mas executava comandos de sistema remotamente. Resultado? O site foi usado para enviar spam em massa e caiu em listas negras do Google e do Gmail. Removemos o script, bloqueamos execuções em uploads e reforçamos a segurança com WAF e autenticação em 2 etapas.
---
## ✅ Conclusão
Arquivos com nomes estranhos ou **extensões duplas não são inofensivos** — são um dos truques favoritos de hackers para **enganar administradores e servidores mal configurados**.
Se você encontrou algo parecido no seu WordPress, **não ignore**. Isso pode ser o início de uma infecção mais grave. E se precisar de ajuda, a **equipe Server Express** está pronta para limpar, proteger e blindar seu site contra ameaças futuras.
---
---
