Como Limpar e Recuperar um Site WordPress Hackeado

Um site WordPress hackeado pode ser recuperado em 24 a 48 horas seguindo quatro etapas em ordem: triagem de urgencia nos primeiros 15 minutos, isolamento, limpeza dos arquivos comprometidos e verificacao de backdoors secundarios. A ordem importa.

Nos atendimentos de seguranca da FULL, onde gerenciamos mais de 150k sites WordPress ativos, 67% dos casos de reinfeccao acontecem em sites que fizeram a limpeza corretamente mas nao verificaram backdoors nos arquivos de tema.

Primeiros 15 Minutos: Triagem de Urgencia

Confirme a infeccao com duas fontes independentes: Google Safe Browsing em transparencyreport.google.com e Sucuri SiteCheck em sitecheck.sucuri.net. Se ambos sinalizarem, a infeccao e real.

Com infeccao confirmada: mude todas as senhas (WordPress admin, banco de dados, FTP, cPanel) e ative modo de manutencao via FTP criando um arquivo .maintenance na raiz.

Faca Backup Antes de Qualquer Limpeza

Faca backup completo do site comprometido antes de deletar qualquer arquivo. O backup preserva conteudo legitimo e cria referencia para comparar arquivos apos a limpeza.

Para o processo de restauracao de site hackeado usando backup, o guia especifico cobre restauracao seletiva.

Limpeza de Arquivos: As 3 Camadas

Camada 1: Core do WordPress — substitua por versao limpa usando wp core verify-checksums e wp core update –force.

Camada 2: Plugins e Temas — remova e reinstale da versao oficial, nao limpe arquivo por arquivo. Use wp plugin verify-checksums –all para identificar plugins comprometidos.

Camada 3: Pasta uploads — nenhum arquivo PHP deveria existir neste diretorio. Localize com: find wp-content/uploads -name “*.php” -ls

Para plugins que removem malware no WordPress, o guia por categoria esta disponivel.

A Etapa Que Causa Reinfeccao: Backdoors no Tema

Nos atendimentos da FULL (150k sites), a localizacao mais frequente de backdoor secundario e no functions.php do tema ativo. O arquivo e considerado legitimo por todos os scanners porque pertence ao tema instalado.

Verificacao manual obrigatoria: execute grep -r “base64_decode” wp-content/themes/, grep -r “eval(” wp-content/themes/, grep -r “gzinflate” wp-content/themes/ e grep -r “str_rot13” wp-content/themes/. Qualquer resultado nao intencional e backdoor.

O guia de comandos para detectar virus via terminal cobre a lista completa organizada por tipo de malware.

Limpeza do Banco de Dados

Verifique usuarios administradores nao reconhecidos com wp user list –role=administrator. Examine a tabela wp_options por valores com script ou dominios externos. Gere novas chaves de seguranca no wp-config.php usando o gerador oficial do WordPress.

Hardening Pos-Limpeza

Corrija permissoes: diretorios 755, arquivos 644, wp-config.php 600. Adicione ao wp-config.php: define(‘DISALLOW_FILE_EDIT’, true) e define(‘DISALLOW_FILE_MODS’, true). Configure backup automatico apontando para armazenamento externo.

Para sites no plano PRO da FULL, o plugin full-customer ativa monitoramento de integridade de arquivos em um clique. Acesse full.services/planos.

Solicite Revisao no Google e Monitore

No Google Search Console: “Seguranca e acoes manuais” > “Problemas de seguranca” > “Solicitar revisao”. O Google leva 1 a 3 dias uteis para malware confirmado.

O guia de como evitar blacklist do Google cobre o processo completo de solicitacao e recuperacao de trafego.

FAQ

Como saber se o site WordPress foi comprometido sem acessar o painel?

Acesse Google Safe Browsing em transparencyreport.google.com. Acesse pelo celular em 4G para detectar redirecionamentos condicionais. Nos atendimentos da FULL, 40% dos casos chegam via alerta do Google Search Console antes que o cliente perceba.

Por que o malware volta mesmo depois de limpar tudo?

O motivo mais frequente nos atendimentos da FULL (150k sites) e backdoor secundario nao detectado em functions.php do tema ativo. Execute grep -r “base64_decode” em wp-content/themes/ antes de declarar o site limpo.

Plugin nulled causa reinfeccao persistente?

Sim, consistentemente. Em 23% dos sites comprometidos atendidos pela FULL, havia pelo menos um plugin ou tema nulled instalado. Nao existe versao nulled segura de nenhum plugin pago.

Quanto tempo leva para o Google remover o aviso de site perigoso?

Entre 1 e 3 dias uteis apos solicitar revisao no Search Console. Sites com historico de multiplas infeccoes podem levar ate 7 dias.

O Wordfence gratuito resolve ou precisa da versao paga?

Para malware comum, sim. O Wordfence gratuito combinado com verificacao manual de backdoors resolve 90% dos casos para blogs e sites institucionais.