Como Remover Malware do WordPress: Guia Passo a Passo

Remover malware do WordPress requer quatro etapas em ordem: diagnostico para confirmar a infeccao, isolamento do site, limpeza dos arquivos comprometidos e verificacao de backdoors secundarios. Pular qualquer etapa resulta em reinfeccao em 24 a 48 horas na maioria dos casos.

Nos atendimentos de seguranca da FULL, onde gerenciamos mais de 150k sites WordPress ativos, 67% dos casos de reinfeccao ocorrem em sites que limparam sem verificar backdoors secundarios nos arquivos de tema.

Passo 1: Confirme Que e Malware Antes de Limpar

Falsos positivos existem: plugins de seguranca mal configurados e algumas integracoes de terceiros disparam alertas sem infeccao real. Confirme com duas fontes independentes: Google Safe Browsing em transparencyreport.google.com e Sucuri SiteCheck em sitecheck.sucuri.net. Se ambos sinalizarem, a infeccao e real.

Para o guia de plugins para escanear o WordPress para malware e como interpretar cada tipo de alerta, o comparativo por categoria esta disponivel.

Passo 2: Isole o Site e Faca Backup Imediato

Com infeccao confirmada, ative modo de manutencao via FTP — nao pelo painel WordPress, que pode estar comprometido. Crie um arquivo .maintenance na raiz do site. Faca backup completo antes de qualquer modificacao e armazene fora do servidor (Google Drive, Dropbox ou S3).

Mude todas as senhas: WordPress admin, banco de dados no wp-config.php, FTP/SFTP e cPanel. Para o processo de restauracao de site hackeado usando backup, o guia cobre cada cenario de restauracao seletiva.

Passo 3: Escaneie e Remova Arquivos Comprometidos

Use wp core verify-checksums para comparar arquivos do core com checksums oficiais do WordPress.org. Arquivos modificados retornam como falha — esses sao os candidatos primarios a infeccao. Use wp plugin verify-checksums –all para verificar plugins.

Após deletar arquivos maliciosos, force o PHP a recompilar limpando o OPcache com wp cache flush. O processo completo de limpeza de virus no WordPress com checklist por tipo de infeccao esta disponivel.

Passo 4: Verifique Backdoors Secundarios (A Etapa Que Todo Mundo Pula)

A gente ve no suporte da FULL que a localizacao mais comum de backdoor secundario e no functions.php do tema ativo. O arquivo e considerado “legitimo” por todos os scanners porque pertence ao tema instalado. O atacante insere codigo base64 entre funcoes reais do tema.

Verificacao manual obrigatoria: execute grep -r “base64_decode” wp-content/themes/, grep -r “eval(” wp-content/themes/, grep -r “str_rot13” wp-content/themes/ e grep -r “gzinflate” wp-content/themes/. Qualquer resultado nao intencional e backdoor.

Outros locais frequentes: /wp-content/uploads/ com arquivos .php (nenhum arquivo PHP legitimo deveria estar em uploads), e arquivos que imitam nomes do core como wp-login2.php e wp-include.php. Localize com: find wp-content/uploads -name “*.php” -ls

O guia de comandos para detectar virus via terminal cobre a lista completa organizada por tipo de malware.

Passo 5: Hardening Pos-Limpeza

Corrija permissoes de arquivo: diretorios 755, arquivos 644, wp-config.php 600 e .htaccess 440. Adicione ao wp-config.php: define(‘DISALLOW_FILE_EDIT’, true) e define(‘DISALLOW_FILE_MODS’, true) para bloquear edicao de arquivos pelo painel WordPress — vetor comum de persistencia de malware.

Configure backup automatico com UpdraftPlus apontando para Google Drive ou S3. Para sites no plano PRO da FULL, o plugin full-customer ativa monitoramento de integridade de arquivos em um clique, com alertas automaticos quando qualquer arquivo do core for modificado. Acesse full.services/planos.

Passo 6: Solicite Revisao do Google e Monitore

A limpeza tecnica nao remove automaticamente o aviso do Chrome ou as penalizacoes no Search Console. No Google Search Console: “Seguranca e acoes manuais” > “Problemas de seguranca” > “Solicitar revisao”. O Google leva 1 a 3 dias uteis para malware confirmado. Sites com historico de multiplas infeccoes podem levar ate 7 dias.

O guia de como evitar blacklist do Google cobre o processo completo de solicitacao de revisao e recuperacao de trafego organico.

FAQ

Como saber se o site WordPress foi comprometido sem acessar o painel?

Verifique no Google Safe Browsing em transparencyreport.google.com. Acesse pelo celular em rede 4G para detectar redirecionamentos condicionais que so aparecem para visitantes externos. Veja o codigo-fonte da homepage e procure iframes ocultos, scripts de dominios desconhecidos ou links de spam no body.

Por que o malware volta mesmo depois de limpar tudo?

O motivo mais frequente nos atendimentos da FULL e backdoor secundario nao detectado em functions.php do tema ativo. O scanner confirma “limpo” porque o arquivo e considerado legitimo. Execute grep -r “base64_decode” em wp-content/themes/ antes de declarar o site limpo.

Plugin nulled abre backdoor no WordPress?

Sim, consistentemente. Em 23% dos sites comprometidos atendidos pela FULL, havia plugin ou tema nulled instalado. Versoes crackeadas sao distribuidas com codigo malicioso ja embutido. Nao existe versao nulled segura de nenhum plugin pago.

Quanto tempo leva para o Google remover o aviso?

Entre 1 e 3 dias uteis apos solicitar revisao no Search Console. Sites com historico de multiplas infeccoes podem levar ate 7 dias. O trafego organico comeca a se recuperar nos 7 a 14 dias seguintes.

O Wordfence gratuito e suficiente para remover malware?

Para malware comum — injeccao PHP, spam SEO, redirecionamentos — sim. O Wordfence gratuito cobre scan completo e remocao guiada. Para blogs e sites institucionais, o gratuito combinado com a verificacao manual de backdoors descrita neste guia resolve 90% dos casos.