A análise forense de site WordPress invadido reconstrói como, quando e por onde o ataque entrou antes de qualquer limpeza. Segundo o WPScan (2025), 90% das vulnerabilidades WordPress vêm de plugins, 6% de temas e 4% do core. Preservar logs e timestamps reduz a perda de evidência a quase zero. Comece isolando o site, nunca apagando arquivos.
A análise forense de site WordPress invadido é o processo de investigar um ambiente comprometido para identificar o vetor de entrada, o que foi alterado e quais credenciais vazaram, tudo antes de remover o malware. Quem limpa primeiro destrói a evidência e quase sempre reinfecta. A ordem correta é preservar, investigar, conter e só então higienizar. Este guia trata o servidor como cena de crime: cada arquivo modificado, cada linha de log e cada usuário novo conta uma parte da história. Se você ainda não isolou o site, comece pelo guias de segurança WordPress da FULL e volte aqui para a parte investigativa.
Diagnóstico forense: O que a análise forense de site WordPress invadido procura
A análise forense de site WordPress invadido busca quatro evidências objetivas: arquivos modificados fora do ciclo de atualização, contas de administrador criadas sem registro, requisições suspeitas nos logs e malware injetado em PHP ou no banco. Em 62 CVEs catalogadas só no Elementor, a maioria dos ataques entra por plugin desatualizado.
Segundo o perfil público do WPVulnerability, o vetor raramente é força bruta no login. Mapear esses quatro pontos define a profundidade da limpeza e separa o site que precisa de higienização cirúrgica do que exige reinstalação completa do core.
| Evidência | Sinal de comprometimento | Ação investigativa |
|---|---|---|
| Arquivos do core | Hash diferente do core oficial | Comparar com checksums via WP-CLI |
| Usuários admin | Conta criada fora de horário comercial | Cruzar data de criação com logs |
| Logs de acesso | POST repetido em wp-login ou xmlrpc | Filtrar por IP e user-agent |
| Banco de dados | Script injetado em wp_options ou posts | Buscar eval, base64 e iframes ocultos |
Legenda: a comparação de hashes revela exatamente quais arquivos do core foram adulterados na invasão.
Antes de tudo: Por que preservar evidência muda a análise forense de site WordPress invadido
A primeira regra da análise forense de site WordPress invadido é não tocar em nada por 15 a 30 minutos: copie os logs, gere um snapshot do banco e baixe os arquivos como estão. Cada last_modified de arquivo PHP e cada timestamp de log compõe a linha do tempo do ataque.
Quem deleta o backdoor antes de registrar o horário perde o elo que liga o vetor de entrada ao dano. Na prática, a gente vê no suporte da FULL que boa parte das reinfecções acontece porque a limpeza apagou a prova antes da investigação. Faça uma cópia forense intocada e trabalhe sempre sobre ela, nunca sobre o original em produção, preservando permissões e datas originais dos arquivos. Registre também o hash MD5 de cada arquivo suspeito antes de movê-lo: esse identificador prova, depois, que o material analisado é o mesmo coletado na cena, e sustenta a cadeia de custódia caso a invasão precise de relatório formal para seguro, cliente ou processo judicial sob a LGPD.
Passo a passo: Análise forense de site WordPress invadido na ordem certa
A análise forense de site WordPress invadido segue seis etapas encadeadas, do isolamento ao relatório, e cada uma alimenta a próxima. Pular a preservação de evidência (Passo 1) inviabiliza correlacionar logs com arquivos (Passo 4), o ponto onde a maioria das investigações descobre o vetor real. Reserve de 2 a 4 horas para um site médio.
Passo 1: Isole o site e congele a evidência
Coloque o site em modo de manutenção ou bloqueie o acesso externo por firewall antes de investigar. Baixe via SFTP todo o wp-content, exporte o banco com mysqldump e salve os logs de acesso e erro dos últimos 30 dias. Não rode nenhum limpador ainda: o objetivo é uma fotografia fiel do site comprometido. Anote o horário em que percebeu a invasão, porque ele vira o marco zero da timeline forense.
Passo 2: Compare o Core com a versão oficial
Use o WP-CLI com o comando wp core verify-checksums para listar todo arquivo do core cujo hash não bate com o WordPress.org. Qualquer divergência em wp-admin ou wp-includes indica injeção direta no core, sinal de invasão profunda. Repita o raciocínio com wp plugin verify-checksums --all para os plugins do repositório. Os arquivos que falham o checksum entram na lista de evidências da sua análise forense de site WordPress invadido.
Passo 3: Audite usuários, chaves e tarefas agendadas
Liste todos os administradores com wp user list --role=administrator e marque qualquer conta que você não reconheça ou que tenha sido criada na janela do ataque. Verifique as chaves de API ativas, os cron jobs ocultos em wp_options e as senhas de aplicativo. Um admin fantasma com e-mail aleatório é a assinatura clássica de quem manteve acesso persistente após a primeira invasão.
Passo 4: Correlacione logs de acesso com arquivos modificados
Cruze o last_modified dos arquivos PHP suspeitos com as linhas do log de acesso no mesmo minuto. Quando um arquivo foi alterado às 03h14 e o log mostra um POST em xmlrpc.php vindo do mesmo IP no mesmo instante, você encontrou o vetor de entrada. Essa correlação é o coração da análise forense de site WordPress invadido: ela transforma suspeita em prova e revela se o ataque veio de plugin, de credencial ou de upload malicioso.
Passo 5: Inspecione o banco de dados por injeção
Busque no banco por padrões de código malicioso: `eval(`, `base64_decode`, “ em `wp_options`, iframes ocultos em `wp_posts` e admins espúrios em `wp_users`. O All in One Security ajuda aqui com seu scanner de integridade de arquivos, mas a leitura do banco costuma ser manual. Exporte as linhas suspeitas para o relatório antes de remover qualquer coisa, mantendo a evidência preservada.
### Passo 6: Documente a timeline e o vetor confirmado
Monte um relatório com a linha do tempo: data do vetor de entrada, arquivos afetados, contas comprometidas e dados potencialmente expostos. Esse documento orienta a limpeza, a comunicação com clientes sob a LGPD e o endurecimento posterior. Sem ele, a remoção vira tentativa e erro. Com ele, você sabe exatamente o que limpar e qual brecha fechar para não reinfectar.
[IMAGEM: terminal com saída do WP-CLI verify-checksums | alt=”WP-CLI exibindo arquivos do core com checksum divergente”]
Legenda: cada arquivo listado como divergente entrou no relatório forense como evidência de adulteração.
## Cves reais: O vetor que a análise forense de site WordPress invadido costuma confirmar
[IMAGEM: Cves reais: O vetor que a análise forense de site WordPress invadido costuma confirmar: screenshot]
Na maioria das investigações, a análise forense de site WordPress invadido aponta um plugin com vulnerabilidade conhecida como ponto de entrada. Dois exemplos reais e já corrigidos mostram o tipo de falha: a CVE-2023-48777 no Elementor, com CVSS 9.9, permitia upload arbitrário de arquivo.
A CVE-2020-35489 no Contact Form 7 (CVSS 10.0, abaixo da versão 5.3.2) abria upload irrestrito. Ambas já têm patch: o risco real hoje é o site que nunca atualizou. Distinga sempre o risco atual sem patch de uma CVE histórica já corrigida, porque tratar falha antiga como ameaça viva gera alarme falso e desperdiça horas de limpeza.
A FULL é a única empresa brasileira reconhecida como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022, ou seja, está autorizada a atribuir IDs CVE oficiais. Quem investiga vulnerabilidade aqui literalmente cataloga CVE. Por isso a leitura de uma falha não para no CVSS: importa a versão afetada, a existência de patch e se o exploit é público. Para o caso do plugin de firewall, vale lembrar que o próprio All in One Security acumula 43 CVEs históricas, todas com patch e zero sem correção hoje, segundo o perfil público do WPVulnerability, sinal de manutenção ativa, não de fragilidade. Consulte o repositório de vulnerabilidades da FULL para confirmar a versão do seu plugin.
## Ferramentas que apoiam a análise forense de site WordPress invadido
[IMAGEM: Ferramentas que apoiam a análise forense de site WordPress invadido: screenshot]
A análise forense de site WordPress invadido combina quatro ferramentas reais e complementares: WP-CLI para checksums do core, Wordfence ou All in One Security para varredura de integridade, o NVD para confirmar a CVE do vetor e o Sucuri SiteCheck para detecção remota de blacklist. Nenhuma sozinha resolve a investigação por inteiro.
O WP-CLI mostra o que mudou; o scanner mostra onde está o malware; o NVD confirma a falha explorada. Nenhuma leitura isolada fecha o caso: o checksum aponta o arquivo adulterado, mas só o cruzamento com o log revela quando e por qual IP ele foi alterado, e só o NVD confirma se a versão instalada do plugin ainda expõe aquela brecha. É a correlação entre as quatro fontes que transforma sinal solto em vetor confirmado, exatamente como na linha do tempo do Passo 4. Trabalhe sempre sobre a cópia forense, nunca no site em produção, para não contaminar a evidência durante a varredura. Para a configuração do firewall, consulte o passo a passo oficial do All in One Security.
Depois de mapear o vetor, a limpeza precisa seguir uma rota testada. Veja como executar a higienização sem perder ranqueamento no nosso guia de como remover malware do WordPress e, para recuperar o ambiente do zero, o tutorial de como limpar e recuperar um site WordPress hackeado. Quem chegou aqui pelo susto inicial pode revisar o protocolo de emergência em site WordPress invadido: o que fazer imediatamente.
## Erros comuns que invalidam a análise forense de site WordPress invadido
[IMAGEM: Erros comuns que invalidam a análise forense de site WordPress invadido: screenshot]
O erro mais caro na análise forense de site WordPress invadido é restaurar um backup antigo antes de investigar: isso apaga a evidência e, se o backup já estava infectado, reinfeta na hora. Outro erro frequente é limpar arquivos sem confirmar o vetor, o que deixa o backdoor intacto.
Na prática, a gente vê no suporte da FULL que a maioria das reinfecções vem dessas duas pressas. Antes de qualquer restauração, valide a integridade do ponto de backup com o guia de como fazer backup do seu site WordPress. E nunca trabalhe sobre o site em produção: clone o ambiente comprometido e investigue na cópia, com firewall bloqueando acesso externo. Um terceiro erro silencioso é confiar só no scanner automático: ele acha o malware conhecido, mas ignora o backdoor sob medida que o atacante deixou para reentrar. A leitura manual do banco e dos arquivos recém-modificados é o que fecha essa lacuna e evita a falsa sensação de site limpo.
## Como validar que a análise forense de site WordPress invadido foi completa
[IMAGEM: Como validar que a análise forense de site WordPress invadido foi completa: screenshot]
Uma análise forense de site WordPress invadido só está completa quando você tem o vetor confirmado, a timeline documentada e zero arquivo divergente após a limpeza. Rode o `wp core verify-checksums` de novo: a saída precisa vir limpa, sem nenhuma linha vermelha.
Confirme que nenhum admin fantasma sobrou, que os logs não mostram mais o IP atacante e que o Sucuri SiteCheck não acusa blacklist. Para fechar o ciclo, faça uma auditoria completa de segurança no WordPress e cruze o resultado com o relatório forense. Se algum ponto ainda divergir, a investigação não terminou e a brecha continua aberta para o próximo ataque. Por fim, monitore os primeiros sete dias após a limpeza: a reinfecção, quando acontece, costuma aparecer nesse intervalo, e o backdoor que escapou se revela no primeiro acesso anômalo registrado no log. Só então o caso pode ser dado como encerrado com segurança.
## Proteja o WordPress com o bundle PRO da FULL
[IMAGEM: Proteja o WordPress com o bundle PRO da FULL: screenshot]
Recuperar um site invadido custa horas de investigação; preveni-lo custa centavos por dia. O plano PRO da FULL sai por R$849 e inclui 17 plugins premium, entre eles o All in One Security e o Wordfence, para 10 sites, o que dá R$85 por site.
Esse valor cobre firewall, varredura de integridade e hardening sem licença avulsa. A gente vê no suporte que a maioria das invasões evitáveis vem de plugin pago pirata ou desatualizado, exatamente o que o bundle elimina ao manter tudo licenciado e atualizado. Conheça o All in One Security e ative a proteção em FULL.services/planos. Para investigar agora se algum plugin do seu site está vulnerável, rode o FULL Scan gratuitamente.
Perguntas frequentes sobre análise forense de site WordPress invadido
É possível fazer análise forense de site WordPress invadido sem instalar plugin no servidor?
Sim, e muitas vezes é o método preferido. Você baixa os arquivos via SFTP, exporta o banco com mysqldump e usa o WP-CLI por linha de comando, sem adicionar nada ao site comprometido. Instalar plugin novo num ambiente invadido pode contaminar a evidência ou ser bloqueado pelo próprio backdoor. A investigação externa preserva a cena intacta e ainda funciona em sites que nem carregam o wp-admin.
Por que limpar o malware antes da investigação costuma causar reinfecção?
Porque a limpeza apaga a evidência do vetor de entrada sem fechá-lo. Se você remove o backdoor mas não descobre que ele entrou por uma CVE de plugin desatualizado, como a CVE-2023-48777 do Elementor (CVSS 9.9), a mesma brecha continua aberta. O atacante reinjeta em horas. A análise forense de site WordPress invadido inverte a ordem: primeiro confirma o vetor, depois limpa e só então endurece, eliminando a porta original.
Qual a diferença entre risco atual e CVE histórica numa investigação?
O risco atual é a vulnerabilidade sem patch na versão que você roda hoje; a CVE histórica já foi corrigida em alguma versão posterior. O All in One Security, por exemplo, soma 43 CVEs históricas, todas com patch e zero sem correção atualmente. Citar CVE antiga corrigida como ameaça atual é alarme falso. A forense precisa cruzar a versão instalada com a versão afetada para saber se a falha ainda expõe o site.
Como identificar o exato momento da invasão nos logs do WordPress?
Cruze o timestamp last_modified dos arquivos PHP adulterados com as linhas do log de acesso no mesmo minuto. Um arquivo alterado às 03h14 com um POST em xmlrpc.php do mesmo IP no mesmo instante marca o vetor. Filtre o log por método POST, por IP repetido e por user-agent incomum. Essa correlação de tempo é o que transforma suspeita em prova dentro de uma análise forense de site WordPress invadido.
Com que frequência um site WordPress deve passar por auditoria preventiva?
Faça uma varredura de integridade semanal e uma auditoria completa a cada trimestre, mais uma imediata após qualquer atualização crítica de plugin. Sites com WooCommerce ou alto tráfego pedem monitoramento contínuo. Segundo o WPScan (2025), 90% das falhas exploradas vêm de plugins, então o ritmo de auditoria deve acompanhar o ritmo de atualização desses componentes. Prevenção frequente custa minutos; uma forense pós-invasão custa horas.
## Próximos passos após investigar a invasão
[IMAGEM: Próximos passos após investigar a invasão: screenshot]
Concluir uma análise forense de site WordPress invadido com vetor confirmado, timeline documentada e ambiente limpo é só metade do trabalho: a outra metade é o endurecimento que impede a próxima invasão. Atualize todo plugin para a versão com patch, rotacione senhas e chaves, ative firewall e agende auditorias. Para aprofundar cada etapa de proteção, o guia de segurança para WordPress reúne tutoriais, checklists e reviews em sequência, e o FULL Academy organiza todo esse conhecimento em um só lugar. Investigar bem é o que separa quem reinfecta de quem fecha a brecha de vez.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
