WordPress hackeado? Saiba rapidamente como recuperar

Você abriu o site e algo está errado. Pode ser um redirecionamento estranho, um aviso do Google, um layout quebrado ou simplesmente o painel que não responde. Quando o WordPress é comprometido, cada minuto conta, tanto para o negócio quanto para o ranqueamento.

Neste guia, você vai entender como recuperar um site invadido, o que acontece por baixo dos panos durante um ataque e, principalmente, como fechar as portas antes que isso volte a acontecer.

Como recuperar o WordPress hackeado?

A primeira reação costuma ser o pânico. Mas recuperar um site comprometido segue uma lógica clara: identificar o problema, limpar o ambiente e restabelecer a integridade dos arquivos.

Antes de qualquer coisa, coloque o site em modo de manutenção se ainda tiver acesso ao painel. Isso evita que visitantes sejam afetados enquanto você trabalha na limpeza.

Se você tem um backup recente e verificado, restaurar pode ser o caminho mais rápido, desde que o backup seja anterior à invasão. Restaurar um backup já comprometido só reinicia o problema.

Plugins para recuperar site WordPress invadido

Plugins de segurança com scanner de malware fazem a varredura dos arquivos do servidor em busca de código malicioso, comparando com assinaturas conhecidas de vírus e com os arquivos originais do núcleo do WordPress.

Os principais para essa finalidade:

• Wordfence Security: um dos mais usados no WordPress. O scanner gratuito identifica arquivos modificados, injections conhecidas e malware. A versão premium adiciona verificação em tempo real e firewall gerenciado.
• Sucuri Security: além do scanner, oferece verificação de blacklist em múltiplos serviços (Google, Norton, McAfee). O painel de auditoria mostra exatamente quais arquivos foram alterados e quando.
• All-In-One Security (AIOS): funciona bem para detecção de alterações em arquivos críticos e monitoramento de integridade do sistema.
• MalCare: tem scanner baseado em nuvem, o que significa que a análise não sobrecarrega o servidor do site durante a verificação.
• iThemes Security: inclui verificação de arquivos e monitoramento de atividade suspeita no banco de dados.

Rode o scanner, anote todos os arquivos sinalizados e não apague nada imediatamente sem entender o que está sendo removido. Alguns alertas são falsos positivos.

Recuperar com inspeção manual

Quando o scanner não resolve tudo, ou quando você prefere entender o que aconteceu de verdade, a inspeção manual é o próximo passo.

Os arquivos mais visados em ataques WordPress são:

• wp-config.php: contém credenciais do banco de dados. Backdoors inseridos aqui comprometem todo o ambiente.
• functions.php do tema ativo: ponto de entrada comum para injeção de código por ser carregado em todas as páginas.
• .htaccess: usado para redirecionamentos maliciosos, especialmente em ataques de spam de SEO japonês ou casino.
• Arquivos dentro de /wp-includes/ e /wp-admin/: hackers costumam disfarçar scripts maliciosos com nomes parecidos com os arquivos legítimos do núcleo.
• Pastas de upload (/wp-content/uploads/): arquivos PHP não deveriam existir aqui. Qualquer .php nessa pasta é um sinal vermelho.

Tipos de código malicioso mais comuns:

O padrão mais recorrente é o uso de eval(base64_decode(...)), que executa código ofuscado sem que o conteúdo seja legível à primeira vista. Outro sinal claro é a presença de @include ou @require apontando para caminhos externos ou para arquivos fora da estrutura padrão do WordPress.

Backdoors costumam ser inseridos como funções PHP aparentemente inofensivas, frequentemente nomeadas para parecer parte do núcleo, como wp_check_update() ou get_theme_mods_ext().

Para comparar seus arquivos com os originais, você pode baixar a versão exata do WordPress que está instalada diretamente do repositório oficial e comparar arquivo por arquivo usando ferramentas de diff ou via terminal com diff -rq.

Como ocorrem as invasões em sites WordPress?

Entender a porta de entrada é tão importante quanto limpar o dano. A maioria dos ataques não explora falhas sofisticadas: eles aproveitam descuidos que se acumulam com o tempo.

Plugins e temas desatualizados são o vetor número um. O banco de vulnerabilidades WPScan registra centenas de CVEs novos por mês relacionados a plugins populares. Uma versão desatualizada de um plugin de formulário ou slider pode abrir caminho para injeção de código remoto.

Credenciais fracas ainda são um problema real. Ataques de força bruta automatizados testam combinações comuns contra o /wp-login.php o tempo todo. Senhas como admin123 ou o próprio nome do domínio são descobertas em segundos.

Temas nulled, aqueles distribuídos gratuitamente em sites não oficiais, normalmente já vêm com backdoors embutidos. Quem instala um tema pirata está essencialmente entregando as chaves do site para quem distribuiu o arquivo.

Permissões de arquivo incorretas também facilitam. Quando pastas como wp-content têm permissão 777, qualquer script pode gravar arquivos nelas, incluindo malware.

Hospedagem compartilhada sem isolamento adequado representa outro risco: se outro site no mesmo servidor for comprometido, o ataque pode se propagar lateralmente.

Quais são os principais tipos de vírus no WordPress?

Cada tipo de ataque tem um objetivo diferente, e reconhecer os padrões ajuda a entender o que está sendo feito no seu site.

Redirecionamento malicioso (hack de spam japonês e casino)

Este é um dos mais visíveis. O site começa a redirecionar visitantes, especialmente os vindos do Google, para páginas de cassino online, farmácias ilegais ou sites em japonês cheios de links de spam.

O código costuma ser inserido no .htaccess ou no functions.php e se ativa apenas para tráfego vindo de mecanismos de busca, o que dificulta a detecção pelo próprio dono do site, que acessa diretamente e não vê nada errado.

Injeção de conteúdo oculto (SEO spam injection)

Aqui o objetivo não é redirecionar, mas inserir links e conteúdo invisível ao usuário no HTML das páginas. O visitante não vê nada, mas o Googlebot rastreia centenas de links para sites de spam.

Com o tempo, o domínio começa a ser associado a conteúdo de baixa qualidade e perde autoridade nos resultados de busca. Este tipo de ataque pode ficar ativo por meses sem ser percebido.

Backdoor e acesso persistente

Este é o mais perigoso a longo prazo. Mesmo depois de uma limpeza superficial, um backdoor garante que o invasor consiga voltar ao site sem precisar repetir o ataque inicial.

Backdoors costumam ser arquivos PHP disfarçados, funções injetadas em plugins legítimos ou entradas no banco de dados que recriam o acesso automaticamente. Limpar apenas os sintomas visíveis sem encontrar o backdoor significa que o site será comprometido novamente em dias.

Cryptojacking e uso de recursos do servidor

Neste caso, o objetivo do ataque não é o site em si, mas o servidor. Scripts são injetados para minerar criptomoedas usando o processamento da hospedagem, o que resulta em lentidão drástica, consumo elevado de CPU e, em hospedagens compartilhadas, suspensão da conta por uso abusivo de recursos.

Como uma invasão no WordPress afeta o SEO?

Um site comprometido não perde apenas segurança: perde visibilidade orgânica, e a recuperação raramente é imediata.

O Google pode sinalizar o domínio como perigoso no próprio Chrome, com o aviso “Este site pode prejudicar seu computador”. Quando isso acontece, a taxa de clique cai para próximo de zero, mesmo para quem ainda aparece nos resultados.

Sites com malware detectado também podem ser removidos temporariamente do índice enquanto o Google aguarda a limpeza e uma solicitação de revisão manual. Esse processo pode levar de uma a quatro semanas.

O SEO spam injection, mencionado acima, associa o domínio a perfis de link que violam as diretrizes do Google. Mesmo após a limpeza, o histórico de links pode gerar uma desvalorização algorítmica que não é revertida automaticamente.

Além disso, a velocidade de carregamento, um dos sinais do Core Web Vitals, cai quando scripts maliciosos consomem recursos do servidor ou adicionam requisições externas em todas as páginas.

Reverter esse cenário exige, além da limpeza técnica, uma revisão completa do SEO Técnico do site: verificação de cobertura de índice no Search Console, análise de links adquiridos durante o período do ataque e, em casos mais graves, um pedido formal de revisão para remover penalizações manuais.

Trabalhar com um especialista nessa etapa reduz significativamente o tempo de recuperação e evita que erros na limpeza criem novos problemas de rastreamento.

Como evitar invasões WordPress e manter o site limpo?

Segurança no WordPress não é uma configuração única. É um conjunto de práticas que precisam ser mantidas ativamente.

Mantenha tudo atualizado

O núcleo do WordPress, temas e plugins devem estar sempre na versão mais recente estável. Atualizações de segurança são lançadas justamente para fechar as portas que os ataques usam. Se você usa um plugin que parou de ser mantido pelo desenvolvedor, considere substituí-lo.

Configure headers HTTP de segurança

Headers como Content-Security-Policy, X-Frame-Options, X-Content-Type-Options e Strict-Transport-Security reduzem a superfície de ataque ao controlar o que o navegador aceita carregar nas páginas. Eles podem ser configurados via .htaccess, nginx.conf ou por alguns plugins de SEO para WordPress.

Ative autenticação de dois fatores

Mesmo que uma senha seja descoberta, a autenticação de dois fatores impede o acesso não autorizado ao painel. Plugins como Wordfence, WP 2FA ou Google Authenticator for WordPress fazem essa configuração em minutos.

Aplique o princípio do menor privilégio

Cada usuário no painel deve ter apenas as permissões que realmente precisa. Um redator não precisa de acesso de administrador. Um cliente que precisa visualizar relatórios não precisa editar plugins. Revisar os papéis de usuário periodicamente é uma das tarefas mais negligenciadas na manutenção WordPress.

Bloqueie o acesso ao wp-login.php

Limitar tentativas de login, bloquear IPs após múltiplas falhas e considerar a mudança da URL de acesso ao painel reduzem drasticamente a eficácia de ataques de força bruta. Isso pode ser feito via plugin de segurança ou diretamente no .htaccess.

Use hospedagem com isolamento de conta

Em hospedagens compartilhadas de qualidade, cada conta fica isolada das demais. Se você está em um plano onde um site comprometido pode afetar o seu, vale considerar a migração para um ambiente com melhor isolamento.

Monitore a integridade dos arquivos

Plugins como Wordfence e Sucuri notificam quando arquivos do núcleo são modificados. Receber um alerta imediato de que o wp-config.php foi alterado às 3h da manhã é muito diferente de descobrir o problema semanas depois.

Faça backups externos e verificados

Um backup que vive no mesmo servidor que o site não é um backup real: se o servidor for comprometido, o backup vai junto. Armazene cópias em locais externos e teste a restauração periodicamente.

Fale com um especialista para ter segurança para o seu site e SEO

Site hackeado tem solução. Mas a parte que a maioria ignora não é a limpeza em si: é entender por que a invasão aconteceu e o que ela fez com o seu ranqueamento enquanto ninguém estava olhando.

Seu site tem problemas técnicos de SEO?

Responda estas 10 perguntas para descobrir a gravidade dos problemas técnicos do seu site

Meu site demora mais de 3 segundos para carregar

Páginas importantes não aparecem no Google mesmo publicadas há meses

Tráfego orgânico está estagnado ou caindo nos últimos 3 meses

Google Search Console mostra centenas de erros ou avisos

Não sei se meu sitemap.xml está configurado corretamente

Core Web Vitals aparecem em vermelho ou laranja no PageSpeed Insights

Tenho URLs duplicadas (www e não-www, http e https)

Não uso HTTPS em todo o site ou o certificado SSL tem problemas

Não sei o que são robots.txt, canonical tags ou dados estruturados

Site teve queda de tráfego após migração de plataforma ou domínio

Ver meu resultado