Atualizado em 19/06/2026
Descobrir que o WordPress foi hackeado dá um aperto no estômago — ainda mais quando o site vende, gera contatos ou representa sua marca. A boa notícia: a maioria das invasões pode ser limpa e o site, recuperado e blindado. O que define o resultado é agir com método, não no desespero: preservar evidências, trocar acessos, limpar a fundo e fechar a porta de entrada.
Não entre em pânico e não saia apagando tudo. Antes de qualquer coisa, preserve uma cópia do estado atual (arquivos + banco), mesmo infectado — é por ela que se descobre como o invasor entrou. Em seguida, troque todas as senhas (WordPress, hospedagem, FTP, banco) e coloque o site em manutenção. Apagar primeiro e pensar depois costuma reabrir a mesma brecha.
Sinais de que o WordPress foi invadido
- Redirecionamentos automáticos para sites estranhos, especialmente quando o acesso vem do Google ou do celular.
- Páginas de spam que você não criou — farmácia, apostas, réplicas, conteúdo em outro idioma.
- Aviso "este site pode estar comprometido" ou "site enganoso" do Google nos resultados ou no navegador.
- A hospedagem suspendeu a conta por malware, spam ou uso abusivo do servidor.
- Usuários administradores desconhecidos no painel, ou contas com nomes aleatórios.
- Defacement: a aparência do site mudou, com mensagem do invasor ou imagens estranhas.
- O servidor está enviando spam, e e-mails do seu domínio caem como golpe ou são bloqueados.
- Picos inexplicáveis de tráfego, lentidão súbita ou arquivos novos com nomes esquisitos na hospedagem.
Sinal de invasão → gravidade → primeira ação
Nem todo sinal tem o mesmo peso. A tabela abaixo ajuda a priorizar: alguns casos pedem reação imediata (site no ar espalhando malware), outros exigem investigação antes de agir.
| Sinal observado | Gravidade | Primeira ação |
|---|---|---|
| Hospedagem suspendeu a conta por malware | Crítica | Falar com a hospedagem, preservar a cópia e iniciar a limpeza antes de pedir reativação. |
| Site redireciona para páginas estranhas | Alta | Colocar em manutenção, trocar todas as senhas e procurar o código injetado no .htaccess e no banco. |
| Aviso "site comprometido" no Google | Alta | Limpar a infecção e só então pedir reanálise no Search Console. |
| Usuário administrador desconhecido | Alta | Não apagar de imediato: anotar, revogar acesso, trocar senhas e investigar como foi criado. |
| Páginas de spam (farmácia, apostas) indexadas | Média | Localizar os arquivos/posts injetados e remover; verificar tarefas cron que os recriam. |
| Lentidão súbita / pico de tráfego sem causa | Média | Checar logs de acesso e processos; pode ser bot explorando uma brecha ainda aberta. |
O que fazer imediatamente
- Não entre em pânico. Reaja com calma e método — decisões no susto pioram a situação.
- Preserve o estado atual: faça um backup completo (arquivos + banco) mesmo infectado, para análise forense e segurança.
- Troque todas as senhas: WordPress (todos os admins), painel da hospedagem, FTP/SFTP e usuário do banco de dados. Use senhas fortes e únicas.
- Coloque o site em manutenção: evite que visitantes e o Google continuem vendo conteúdo infectado enquanto você trabalha.
- Rode uma varredura: use um scanner de malware confiável para mapear arquivos e trechos suspeitos antes de limpar.
- Avise a hospedagem: eles podem ter logs do acesso, ajudar a identificar a origem e orientar sobre a conta.
Como eu faço a limpeza
Com o estado preservado e os acessos trocados, a remoção é cirúrgica — o objetivo não é só "sumir com o malware", mas entender e fechar a porta de entrada:
- Identifico o ponto de entrada: plugin/tema vulnerável, senha fraca, versão desatualizada ou arquivo enviado pelo invasor.
- Removo o código malicioso e os arquivos injetados, comparando com versões limpas para não deixar restos.
- Substituo o núcleo e os plugins por versões limpas e oficiais, baixadas direto da fonte (WordPress.org / desenvolvedor).
- Verifico os pontos clássicos de backdoor: a pasta
uploads, o banco de dados, o.htaccess, as tarefas cron e os usuários administradores. - Reinstalo a partir de fonte limpa quando necessário e atualizo tudo — núcleo, tema e plugins — para a versão segura mais recente.
- Confirmo que o site está limpo com nova varredura antes de reabrir ao público.
Verificar integridade e achar arquivos alterados
Antes de remover qualquer coisa, é preciso saber o que foi mexido. Duas ferramentas resolvem 90% do mapeamento. A primeira, o WP-CLI, compara cada arquivo do núcleo com a versão oficial do WordPress.org:
# Compara o nucleo com os checksums oficiais do WordPress.org
wp core verify-checksums
# Tambem para plugins do repositorio oficial
wp plugin verify-checksums --all
Qualquer arquivo listado como modificado ou que "não deveria existir" é candidato a malware. A segunda ferramenta, disponível em qualquer acesso SSH, encontra o que foi alterado recentemente — combine com a data aproximada da invasão:
# Arquivos modificados nos ultimos 7 dias
find . -type f -mtime -7
# So arquivos PHP dentro de uploads (sinal classico de backdoor)
find wp-content/uploads -type f -name "*.php"
Um arquivo .php dentro de wp-content/uploads quase nunca é legítimo — aquela pasta deveria conter só mídia. Da mesma forma, arquivos do núcleo modificados (que o verify-checksums aponta) indicam injeção direta. Esse levantamento orienta o que substituir por cópias limpas e o que apagar. Importante: rode tudo isso depois de preservar o backup do estado infectado, que serve de evidência.
Por que substituir, e não só "limpar": invasores escondem backdoors em vários arquivos para garantir o retorno. Trocar núcleo e plugins por cópias oficiais limpas é mais seguro e rápido do que tentar caçar cada linha alterada — e reduz muito a chance de reinfecção.
Como pedir a reanálise ao Google
Se o site recebeu o rótulo de "comprometido" ou "enganoso", limpar é só metade do caminho — é preciso tirar o aviso. Com a infecção removida e confirmada, acesso o Google Search Console, vou até a seção de Problemas de Segurança e solicito a reanálise. O Google revisa o site e, confirmando que está limpo, remove o alerta dos resultados e do navegador. Pedir reanálise antes de limpar de fato só atrasa — e pode estender o tempo de bloqueio.
Como evitar que aconteça de novo
Limpar sem blindar é meio caminho para a próxima invasão. O hardening que aplico inclui:
- Atualizações em dia: núcleo, tema e plugins sempre na versão mais recente — software desatualizado é a porta nº 1. Manter isso em rotina é o foco da manutenção mensal.
- Senhas fortes + autenticação em duas etapas (2FA) nos acessos críticos, sobretudo nos administradores.
- Menor privilégio: cada usuário com o papel mínimo necessário; nada de admin para todo mundo.
- Plugin de segurança com firewall e monitoramento, configurado de forma adequada.
- Hardening do WordPress: permissões corretas de arquivos, bloqueio de edição de arquivos pelo painel e proteção de áreas sensíveis.
- Backups automáticos e externos, para recuperar rápido caso o pior aconteça — veja backup de WordPress.
Dica que muda o jogo: site invadido quase sempre é site sem manutenção. Atualizações em dia, segurança configurada e backups automáticos transformam invasão em incidente raro e de recuperação rápida — é o que entrego nos planos de manutenção.
Perguntas frequentes
Como sei se meu WordPress foi realmente hackeado?
Os sinais mais claros são: o site redireciona para páginas estranhas, surgem páginas de spam (farmácia, apostas, produtos falsos), o Google mostra o aviso "este site pode estar comprometido", a hospedagem suspende a conta ou aparecem usuários administradores que você não criou. Qualquer um desses já justifica tratar como invasão.
Devo apagar o site na hora para "parar" o ataque?
Não apague nada às pressas. Antes de limpar, preserve uma cópia do estado atual (arquivos e banco), mesmo infectado — ela serve para descobrir como o invasor entrou. Apagar tudo de imediato remove as pistas e pode levar você a reabrir a mesma porta depois.
Trocar a senha resolve a invasão?
Trocar senhas é essencial, mas sozinho não basta. Se o invasor deixou arquivos maliciosos, backdoors ou usuários ocultos, ele volta mesmo com a senha nova. É preciso trocar todas as senhas (WordPress, hospedagem, FTP, banco) e remover o código malicioso e fechar o ponto de entrada.
Vou perder meu conteúdo na limpeza?
Na grande maioria dos casos, não. Posts, páginas e imagens legítimas são preservados — o que se remove é o código injetado e os arquivos do invasor. Por isso a limpeza começa com um backup do estado atual: garante que nada legítimo se perca no processo.
O Google marcou meu site como perigoso. Como tiro esse aviso?
Depois de limpar a infecção, você solicita uma reanálise pelo Google Search Console, na seção de Problemas de Segurança. O Google revisa o site e, confirmando que está limpo, remove o aviso — o que costuma levar de algumas horas a alguns dias. Pedir reanálise com o site ainda infectado só atrasa o processo.
Em quanto tempo o site fica limpo e protegido?
Depende da extensão da infecção, mas boa parte dos casos é resolvida em poucas horas até um dia, incluindo o hardening para não repetir. Me chame no WhatsApp (43) 99932-9697 que eu avalio a gravidade e te digo o caminho com segurança.
Como descubro quais arquivos do WordPress foram alterados pelo invasor?
Dois caminhos rápidos. Com o WP-CLI, wp core verify-checksums compara cada arquivo do núcleo com a cópia oficial do WordPress.org e lista o que foi modificado ou adicionado indevidamente. Sem WP-CLI, pelo SSH, find . -type f -mtime -7 lista os arquivos alterados nos últimos 7 dias — útil quando você sabe a data aproximada da invasão. Arquivos PHP recém-modificados dentro de wp-content/uploads são quase sempre maliciosos.
Posso simplesmente restaurar um backup antigo e pronto?
Restaurar um backup anterior à invasão resolve a parte visível, mas só funciona de verdade se você também fechar a porta de entrada — senão o site é reinfectado em dias. Atualize núcleo, tema e plugins, troque todas as senhas e aplique o hardening. E confirme que o backup é realmente limpo: se a invasão é antiga, a cópia pode já conter o backdoor. Ter backups automáticos e versionados é o que torna essa opção segura.