DesenvolvedorWordPress WhatsApp

WordPress hackeado: como identificar, limpar e proteger

Site redirecionando para páginas estranhas, cheio de spam ou com aviso de malware no Google? Aqui você aprende a reconhecer os sinais de invasão, o que fazer imediatamente e como limpar e blindar o WordPress de verdade.

Resolver agora no WhatsApp

Atualizado em 19/06/2026

Descobrir que o WordPress foi hackeado dá um aperto no estômago — ainda mais quando o site vende, gera contatos ou representa sua marca. A boa notícia: a maioria das invasões pode ser limpa e o site, recuperado e blindado. O que define o resultado é agir com método, não no desespero: preservar evidências, trocar acessos, limpar a fundo e fechar a porta de entrada.

Não entre em pânico e não saia apagando tudo. Antes de qualquer coisa, preserve uma cópia do estado atual (arquivos + banco), mesmo infectado — é por ela que se descobre como o invasor entrou. Em seguida, troque todas as senhas (WordPress, hospedagem, FTP, banco) e coloque o site em manutenção. Apagar primeiro e pensar depois costuma reabrir a mesma brecha.

Sinais de que o WordPress foi invadido

Sinal de invasão → gravidade → primeira ação

Nem todo sinal tem o mesmo peso. A tabela abaixo ajuda a priorizar: alguns casos pedem reação imediata (site no ar espalhando malware), outros exigem investigação antes de agir.

Sinal observadoGravidadePrimeira ação
Hospedagem suspendeu a conta por malwareCríticaFalar com a hospedagem, preservar a cópia e iniciar a limpeza antes de pedir reativação.
Site redireciona para páginas estranhasAltaColocar em manutenção, trocar todas as senhas e procurar o código injetado no .htaccess e no banco.
Aviso "site comprometido" no GoogleAltaLimpar a infecção e só então pedir reanálise no Search Console.
Usuário administrador desconhecidoAltaNão apagar de imediato: anotar, revogar acesso, trocar senhas e investigar como foi criado.
Páginas de spam (farmácia, apostas) indexadasMédiaLocalizar os arquivos/posts injetados e remover; verificar tarefas cron que os recriam.
Lentidão súbita / pico de tráfego sem causaMédiaChecar logs de acesso e processos; pode ser bot explorando uma brecha ainda aberta.

O que fazer imediatamente

  1. Não entre em pânico. Reaja com calma e método — decisões no susto pioram a situação.
  2. Preserve o estado atual: faça um backup completo (arquivos + banco) mesmo infectado, para análise forense e segurança.
  3. Troque todas as senhas: WordPress (todos os admins), painel da hospedagem, FTP/SFTP e usuário do banco de dados. Use senhas fortes e únicas.
  4. Coloque o site em manutenção: evite que visitantes e o Google continuem vendo conteúdo infectado enquanto você trabalha.
  5. Rode uma varredura: use um scanner de malware confiável para mapear arquivos e trechos suspeitos antes de limpar.
  6. Avise a hospedagem: eles podem ter logs do acesso, ajudar a identificar a origem e orientar sobre a conta.

Como eu faço a limpeza

Com o estado preservado e os acessos trocados, a remoção é cirúrgica — o objetivo não é só "sumir com o malware", mas entender e fechar a porta de entrada:

Verificar integridade e achar arquivos alterados

Antes de remover qualquer coisa, é preciso saber o que foi mexido. Duas ferramentas resolvem 90% do mapeamento. A primeira, o WP-CLI, compara cada arquivo do núcleo com a versão oficial do WordPress.org:

# Compara o nucleo com os checksums oficiais do WordPress.org
wp core verify-checksums

# Tambem para plugins do repositorio oficial
wp plugin verify-checksums --all

Qualquer arquivo listado como modificado ou que "não deveria existir" é candidato a malware. A segunda ferramenta, disponível em qualquer acesso SSH, encontra o que foi alterado recentemente — combine com a data aproximada da invasão:

# Arquivos modificados nos ultimos 7 dias
find . -type f -mtime -7

# So arquivos PHP dentro de uploads (sinal classico de backdoor)
find wp-content/uploads -type f -name "*.php"

Um arquivo .php dentro de wp-content/uploads quase nunca é legítimo — aquela pasta deveria conter só mídia. Da mesma forma, arquivos do núcleo modificados (que o verify-checksums aponta) indicam injeção direta. Esse levantamento orienta o que substituir por cópias limpas e o que apagar. Importante: rode tudo isso depois de preservar o backup do estado infectado, que serve de evidência.

Por que substituir, e não só "limpar": invasores escondem backdoors em vários arquivos para garantir o retorno. Trocar núcleo e plugins por cópias oficiais limpas é mais seguro e rápido do que tentar caçar cada linha alterada — e reduz muito a chance de reinfecção.

Como pedir a reanálise ao Google

Se o site recebeu o rótulo de "comprometido" ou "enganoso", limpar é só metade do caminho — é preciso tirar o aviso. Com a infecção removida e confirmada, acesso o Google Search Console, vou até a seção de Problemas de Segurança e solicito a reanálise. O Google revisa o site e, confirmando que está limpo, remove o alerta dos resultados e do navegador. Pedir reanálise antes de limpar de fato só atrasa — e pode estender o tempo de bloqueio.

Como evitar que aconteça de novo

Limpar sem blindar é meio caminho para a próxima invasão. O hardening que aplico inclui:

Dica que muda o jogo: site invadido quase sempre é site sem manutenção. Atualizações em dia, segurança configurada e backups automáticos transformam invasão em incidente raro e de recuperação rápida — é o que entrego nos planos de manutenção.

Seu WordPress foi hackeado?

Me mande no WhatsApp o que está acontecendo (redirecionamento, spam, aviso do Google, conta suspensa). Preservo o estado, limpo a fundo e blindo o site.

WhatsApp: (43) 99932-9697

ou e-mail: [email protected]

Perguntas frequentes

Como sei se meu WordPress foi realmente hackeado?

Os sinais mais claros são: o site redireciona para páginas estranhas, surgem páginas de spam (farmácia, apostas, produtos falsos), o Google mostra o aviso "este site pode estar comprometido", a hospedagem suspende a conta ou aparecem usuários administradores que você não criou. Qualquer um desses já justifica tratar como invasão.

Devo apagar o site na hora para "parar" o ataque?

Não apague nada às pressas. Antes de limpar, preserve uma cópia do estado atual (arquivos e banco), mesmo infectado — ela serve para descobrir como o invasor entrou. Apagar tudo de imediato remove as pistas e pode levar você a reabrir a mesma porta depois.

Trocar a senha resolve a invasão?

Trocar senhas é essencial, mas sozinho não basta. Se o invasor deixou arquivos maliciosos, backdoors ou usuários ocultos, ele volta mesmo com a senha nova. É preciso trocar todas as senhas (WordPress, hospedagem, FTP, banco) e remover o código malicioso e fechar o ponto de entrada.

Vou perder meu conteúdo na limpeza?

Na grande maioria dos casos, não. Posts, páginas e imagens legítimas são preservados — o que se remove é o código injetado e os arquivos do invasor. Por isso a limpeza começa com um backup do estado atual: garante que nada legítimo se perca no processo.

O Google marcou meu site como perigoso. Como tiro esse aviso?

Depois de limpar a infecção, você solicita uma reanálise pelo Google Search Console, na seção de Problemas de Segurança. O Google revisa o site e, confirmando que está limpo, remove o aviso — o que costuma levar de algumas horas a alguns dias. Pedir reanálise com o site ainda infectado só atrasa o processo.

Em quanto tempo o site fica limpo e protegido?

Depende da extensão da infecção, mas boa parte dos casos é resolvida em poucas horas até um dia, incluindo o hardening para não repetir. Me chame no WhatsApp (43) 99932-9697 que eu avalio a gravidade e te digo o caminho com segurança.

Como descubro quais arquivos do WordPress foram alterados pelo invasor?

Dois caminhos rápidos. Com o WP-CLI, wp core verify-checksums compara cada arquivo do núcleo com a cópia oficial do WordPress.org e lista o que foi modificado ou adicionado indevidamente. Sem WP-CLI, pelo SSH, find . -type f -mtime -7 lista os arquivos alterados nos últimos 7 dias — útil quando você sabe a data aproximada da invasão. Arquivos PHP recém-modificados dentro de wp-content/uploads são quase sempre maliciosos.

Posso simplesmente restaurar um backup antigo e pronto?

Restaurar um backup anterior à invasão resolve a parte visível, mas só funciona de verdade se você também fechar a porta de entrada — senão o site é reinfectado em dias. Atualize núcleo, tema e plugins, troque todas as senhas e aplique o hardening. E confirme que o backup é realmente limpo: se a invasão é antiga, a cópia pode já conter o backdoor. Ter backups automáticos e versionados é o que torna essa opção segura.

Referências

  1. WordPress.org — FAQ: My Site Was Hacked
  2. WordPress.org — Hardening WordPress
  3. WordPress.org — Security (Advanced Administration)
  4. Google Search Central — Malware e sites hackeados
Tem alguma dúvida? Ficarei feliz em ajudar. Clique Aqui