---
title: "Ataques malware no WordPress: 5 plugins essenciais"
description: "Evitar ataques malware no WordPress é fechar as quatro portas mais usadas por código malicioso: plugin sem patch, login fraco, upload sem validação e."
url: https://full.services/ataques-malware-no-wordpress/
date: 2026-06-27
author: "Clayton Margiotti"
---
# Ataques malware no WordPress: 5 plugins essenciais
Bloquear **ataques malware no WordPress** exige camadas, não um plugin só: firewall, scanner, autenticação e backup. Segundo a [Wordfence](https://www.wordfence.com/wp-content/uploads/2025/04/2024-Annual-WordPress-Security-Report-by-Wordfence.pdf) (2024), as vulnerabilidades divulgadas cresceram 68% sobre 2023. A maioria entra por plugin desatualizado, não por falha do core. Combine quatro defesas e valide cada uma.
Evitar ataques malware no WordPress é fechar as quatro portas mais usadas por código malicioso: plugin sem patch, login fraco, upload sem validação e ausência de monitoramento. Nenhum plugin único cobre tudo, e é por isso que sites com um só scanner ainda são invadidos. A defesa que funciona empilha camadas que se cobrem: um firewall barra a requisição, um scanner acha o que passou, a autenticação trava o acesso e o backup garante a volta. Este tutorial mostra os cinco plugins certos, em que ordem ligá-los e como confirmar que cada camada está ativa. Para uma visão ampla do tema, consulte os [guias de segurança WordPress da FULL](https://full.services/seguranca-wordpress/).
---
## Por que ataques malware no WordPress acontecem: O vetor real
A causa número um de ataques malware no WordPress não é o core, é o plugin desatualizado. Segundo o relatório anual da Wordfence (2024), as vulnerabilidades divulgadas subiram 68% em relação a 2023, e a maioria mora em plugins e temas de terceiros, não no WordPress 6.x em si. O core recebe patch rápido; o plugin abandonado, não.
O [malware](https://full.services/glossario/malware-wordpress/) raramente quebra criptografia. Ele explora uma [vulnerabilidade conhecida](https://full.services/glossario/vulnerabilidade-wordpress/) que já tem correção pública e que o administrador não aplicou. Um plugin abandonado sem patch, somado a uma falha catalogada no Patchstack, vira porta aberta para injeção automatizada. A gente vê nos tickets de suporte da FULL que boa parte dos sites infectados rodava uma versão antiga de um plugin com aviso de segurança ativo há meses. Por isso o primeiro passo contra ataques malware no WordPress é menos sobre instalar algo novo e mais sobre fechar o que já está aberto: atualizar e auditar o que tem permissão de escrita.
---
## As 4 camadas de proteção contra ataques malware no WordPress
A defesa eficaz contra ataques malware no WordPress se organiza em quatro camadas independentes, cada uma cobrindo um vetor que as outras não alcançam. O firewall age na borda, antes do PHP; o scanner age depois, no disco; a autenticação trava o login; o backup garante recuperação. Pular qualquer uma deixa um flanco exposto.
A tabela abaixo mapeia cada camada ao vetor que ela bloqueia e ao plugin recomendado, para você não sobrepor ferramentas que fazem a mesma coisa.
Ataques malware no WordPress: camadas, vetor coberto e plugin
Camada
Vetor que bloqueia
Plugin de referência
Firewall (WAF)
Requisição maliciosa antes do PHP
Wordfence ou Sucuri
Scanner de integridade
Arquivo já infectado no disco
MalCare ou Sucuri SiteCheck
Hardening e login
Força bruta e acesso indevido
All in One Security
Backup
Perda total após invasão
UpdraftPlus
Cada linha resolve um problema diferente. Empilhar duas ferramentas da mesma camada só gasta CPU.
---
## Os 5 plugins que cobrem cada vetor de ataque
Cinco plugins cobrem as quatro camadas contra ataques malware no WordPress sem redundância: Wordfence (firewall e inteligência de ameaças), Sucuri (limpeza e WAF na borda), MalCare (scanner profundo), All in One Security (hardening e login) e UpdraftPlus (backup). Cada um ocupa um papel, e a escolha depende de onde está o seu risco maior.
O [All in One Security](https://full.services/all-in-one-security-seguranca-wordpress/) entrega hardening gratuito amplo: bloqueio de força bruta, renomeação da URL de login e checagem de permissões de arquivo. O Wordfence aposta em um [firewall](https://full.services/glossario/firewall-wordpress/) com regras atualizadas por uma equipe de threat intel, enquanto o Sucuri opera o WAF na borda, filtrando o tráfego antes de chegar ao servidor. Para o scan, o MalCare faz varredura no próprio servidor sem pesar no front-end. Antes de instalar qualquer um, vale comparar candidatos no guia dos [melhores plugins de segurança WordPress](https://full.services/melhores-plugins-de-seguranca-wordpress/) e ler a análise de [plugins para escanear malware](https://full.services/plugins-para-escanear-malware-no-wordpress/). A regra é simples: um por camada, nunca dois fazendo o mesmo trabalho.
---
## Passo a passo: Como bloquear ataques malware no WordPress
Configurar as quatro camadas contra ataques malware no WordPress leva cerca de 40 minutos e segue uma ordem que importa. Você começa pelo backup, porque é a rede de segurança, depois sobe firewall, hardening e scanner. Inverter a ordem e ligar o firewall agressivo antes do backup é o erro que mais trava administrador para fora do próprio site.
Legenda: o painel mostra o score de hardening e confirma que firewall e login protegido estão ativos.
### Passo 1: Configure o backup antes de qualquer coisa
Instale o UpdraftPlus e agende um [backup](https://full.services/glossario/backup-wordpress/) diário automático para um destino externo, como Google Drive ou Dropbox. Nunca guarde o backup no mesmo servidor do site: se o malware infecta o servidor, ele infecta o backup local junto. Confirme que a primeira cópia rodou antes de seguir.
### Passo 2: Atualize tudo e remova plugins abandonados
Abra Plugins e atualize cada item com versão pendente. Em seguida, desinstale o que você não usa, com atenção especial a qualquer [plugin abandonado](https://full.services/plugin-abandonado-risco-de-seguranca/) sem atualização há mais de um ano. Plugin inativo ainda tem código no servidor e ainda pode ser explorado por uma requisição direta ao arquivo.
### Passo 3: Ative o firewall do Wordfence ou do Sucuri
Instale o Wordfence e ative o Web Application Firewall em modo de aprendizado por uma semana, para ele mapear o tráfego legítimo antes de bloquear. Depois mude para modo ativo. O firewall barra a requisição maliciosa antes do PHP executar, fechando a porta de injeção mais comum em ataques malware no WordPress.
### Passo 4: Faça hardening e proteja o login
Instale o All in One Security e ligue o bloqueio de força bruta, limite as tentativas de login e renomeie a URL de `wp-admin`. Ative também a [autenticação de dois fatores](https://full.services/como-configurar-autenticacao-de-dois-fatores-2fa-no-wordpress/). Essas medidas fecham o vetor de [força bruta](https://full.services/glossario/brute-force/), que ainda responde por milhões de tentativas diárias contra sites WordPress.
### Passo 5: Rode o scanner e agende a varredura
Com tudo no ar, rode uma varredura completa no MalCare ou no Wordfence para confirmar que nenhum arquivo já estava infectado. Agende o scan para a madrugada e, se rodar dois plugins de scan, escalone os horários para não estourar a CPU do servidor ao mesmo tempo.
---
## Por que o malware volta: O problema do backdoor persistente
O malware volta depois de removido porque o invasor deixou um backdoor, um arquivo escondido que recria a infecção. Limpar só os arquivos visíveis sem encontrar o backdoor é como enxugar gelo: em poucas horas o código malicioso reaparece. Um plugin nulled com código ofuscado injetado, somado a um WordPress sem scanner de integridade, recria os arquivos infectados após cada limpeza manual.
É por isso que firewall e scanner trabalham juntos contra ataques malware no WordPress. O firewall impede a entrada de novas requisições maliciosas, mas não remove o que já está dentro. O scanner de integridade compara cada arquivo do site com a versão original do repositório oficial e sinaliza o que foi alterado, inclusive o backdoor escondido na pasta de uploads. Se o seu site já mostra sinais de comprometimento, o caminho é a [remoção completa de malware](https://full.services/como-remover-malware-do-wordpress/) seguida de troca de senhas e chaves de segurança. Sem matar o backdoor, qualquer limpeza é temporária.
---
## Escaneie seu WordPress de graça antes de configurar tudo
Antes de empilhar plugins, vale saber se o site já está limpo. O FULL Scan, scanner de segurança gratuito da FULL, faz diagnóstico instantâneo sem instalação e cruza o seu site com a base global de CVEs oficiais, com mais de 12 mil vulnerabilidades catalogadas. Como a FULL é uma CVE Numbering Authority reconhecida pela CISA desde maio de 2022, o dado vem de fonte primária, não de estimativa. A varredura aponta qual plugin instalado tem falha conhecida e qual versão já recebeu correção, antes mesmo de você decidir o que manter no site. Esse mapa de exposição muda a ordem de prioridade: às vezes o risco maior não é o malware ativo, é um plugin desatualizado prestes a ser explorado. Rode o [FULL Scan](https://security.full.services) e descubra se algum plugin do seu WordPress está exposto antes de seguir o passo a passo.
---
## Quanto custa proteger o WordPress sem licenças avulsas
Montar a stack de segurança com plugins pagos avulsos custa caro: Wordfence Premium, MalCare e backup gerenciado somam centenas de reais por ano em licenças separadas, cobradas por site. No plano PRO da FULL, o All in One Security e o UpdraftPlus já vêm incluídos no bundle de 17 plugins, sem licença extra. O custo sai por volta de R$85 por site quando você divide a assinatura PRO de R$849 pelos dez sites do plano, em vez de comprar licença individual de cada ferramenta de segurança. A gente vê no suporte da FULL que quem gerencia vários WordPress sente esse peso na renovação anual de cada plugin. Você ativa cada um em um clique, sem comprar licença avulsa nem migrar configuração. Conheça os planos em [FULL.services/planos](https://full.services/planos) e ative o [All in One Security no plano PRO da FULL](https://full.services/all-in-one-security).
---
## Limites: O que nenhum plugin contra malware resolve sozinho
Nenhum plugin de segurança protege contra ataques malware no WordPress se a hospedagem for compartilhada e insegura, ou se a senha do painel for fraca. O plugin atua na camada da aplicação; ele não corrige um servidor mal configurado nem um PHP 8.2 desatualizado com falha conhecida. Em ambiente compartilhado, um site vizinho infectado pode contaminar o seu por permissões de arquivo abertas, e nenhum firewall de plugin alcança isso.
O fator humano também escapa do plugin. Um formulário de upload sem validação de extensão, somado a permissão de escrita em `wp-content/uploads`, permite publicar um shell PHP executável pelo próprio site, e isso é erro de código, não de plugin. Por isso o hardening manual continua sendo a base: revisar permissões, manter o [hardening de segurança](https://full.services/como-fazer-hardening-de-seguranca-no-wordpress/) em dia e desconfiar de qualquer plugin nulled. O [monitoramento contínuo](https://full.services/como-monitorar-seu-wordpress-para-evitar-malware/) fecha o ciclo: ele avisa quando um arquivo muda sozinho, o sinal mais cedo de que algo passou pelas camadas anteriores.
---
## Perguntas frequentes sobre ataques malware no WordPress
Por que o malware volta mesmo depois de ser removido do WordPress?
Porque o invasor deixou um backdoor, um arquivo escondido que recria a infecção sozinho. Limpar só os arquivos visíveis sem achar o backdoor faz o malware reaparecer em horas. Um plugin nulled com código ofuscado é a origem comum desse backdoor. A solução é usar um scanner de integridade que compara cada arquivo com o repositório oficial, remover o arquivo malicioso e trocar todas as senhas e chaves de segurança do WordPress depois da limpeza.
É possível evitar ataques malware no WordPress só com plugins gratuitos?
Sim, em boa parte dos sites pequenos. O All in One Security cobre hardening e bloqueio de força bruta de graça, o Wordfence tem firewall gratuito com regras atualizadas e o UpdraftPlus faz backup automático sem custo. A limitação é o tempo de resposta das regras: as versões premium recebem novas assinaturas de ameaça mais cedo. Para um site institucional simples, a stack gratuita bem configurada já fecha os quatro vetores principais de ataque.
Qual a diferença entre o firewall do All in One Security e o do Wordfence?
O All in One Security foca em hardening e regras básicas de bloqueio no nível da aplicação, ideal para força bruta e proteção de login. O Wordfence opera um firewall com inteligência de ameaças, atualizado por uma equipe que monitora ataques reais e publica novas regras com frequência. Em sites mais visados, o Wordfence reage mais rápido a campanhas novas de malware, enquanto o All in One Security entrega um hardening amplo e gratuito como base.
Quantas camadas de plugin um site WordPress precisa contra malware?
Quatro camadas independentes resolvem a maioria dos casos: firewall, scanner de integridade, hardening de login e backup externo. Cada camada cobre um vetor que as outras não alcançam, e cinco plugins bem escolhidos preenchem as quatro sem redundância. Empilhar dois firewalls ou dois scanners só gasta CPU e pode gerar conflito. A regra prática contra ataques malware no WordPress é um plugin por camada, nunca dois fazendo o mesmo trabalho ao mesmo tempo.
O que um plugin de segurança não consegue impedir sozinho?
Um plugin não corrige hospedagem compartilhada insegura, senha fraca nem servidor mal configurado, porque atua só na camada da aplicação. Ele também não impede um upload malicioso quando o código do site não valida a extensão do arquivo enviado. Por isso o hardening manual continua essencial: revisar permissões de arquivo, manter PHP e plugins atualizados e nunca usar plugin nulled. O plugin de segurança é uma camada forte, mas não substitui boas práticas de configuração do ambiente.
---
## Próximos passos para blindar seu WordPress
Bloquear ataques malware no WordPress é um trabalho de camadas, não de um plugin mágico: backup externo primeiro, depois firewall, hardening de login e scanner de integridade, com monitoramento contínuo fechando o ciclo. A ordem importa, e validar cada camada antes de seguir evita travar a si mesmo para fora do painel. Quem fecha plugin abandonado, atualiza tudo e mantém um scanner ativo elimina a maioria dos vetores que o malware usa. Para confirmar se o seu site já foi comprometido, comece checando os [sinais de invasão](https://full.services/como-saber-se-wordpress-foi-hackeado/) e proteja o login contra [ataques de força bruta](https://full.services/como-proteger-wordpress-contra-ataques-de-forca-bruta/). Para aprofundar cada camada, o [FULL Academy](https://full.services/academy/) reúne os tutoriais de segurança WordPress em um só lugar.
---
## Metadados Estruturados (Schema.org)
```json-ld
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "TechArticle",
"@id": "https://full.services/ataques-malware-no-wordpress/#article",
"headline": "Ataques malware no WordPress: 5 plugins essenciais",
"description": "Evitar ataques malware no WordPress é fechar as quatro portas mais usadas por código malicioso: plugin sem patch, login fraco, upload sem validação e ausência de monitoramento.",
"url": "https://full.services/ataques-malware-no-wordpress/",
"datePublished": "2026-06-27T09:00:00-03:00",
"dateModified": "2026-06-27T09:00:00-03:00",
"inLanguage": "pt-BR",
"articleSection": "Seguranca WordPress",
"keywords": [
"ataques malware no wordpress",
"WordPress Security",
"Cybersecurity",
"CVE"
],
"author": {
"@id": "https://full.services/#person-clayton"
},
"publisher": {
"@id": "https://full.services/#org"
},
"about": [
{
"@type": "Thing",
"name": "WordPress Security"
},
{
"@type": "Thing",
"name": "Cybersecurity",
"@id": "https://www.wikidata.org/wiki/Q3510521",
"sameAs": "https://www.wikidata.org/wiki/Q3510521"
},
{
"@type": "Thing",
"name": "CVE",
"@id": "https://www.wikidata.org/wiki/Q94950995",
"sameAs": "https://www.wikidata.org/wiki/Q94950995"
}
],
"mentions": [
{
"@type": "Organization",
"name": "CISA",
"url": "https://www.cisa.gov/",
"@id": "https://www.wikidata.org/wiki/Q5205058",
"sameAs": "https://www.wikidata.org/wiki/Q5205058"
},
{
"@type": "Organization",
"name": "CVE Program",
"url": "https://www.cve.org/",
"@id": "https://www.wikidata.org/wiki/Q94950995",
"sameAs": "https://www.wikidata.org/wiki/Q94950995"
},
{
"@type": "Organization",
"name": "WordPress",
"url": "https://wordpress.org/",
"@id": "https://www.wikidata.org/wiki/Q13166",
"sameAs": "https://www.wikidata.org/wiki/Q13166"
}
],
"mainEntityOfPage": {
"@type": "WebPage",
"@id": "https://full.services/ataques-malware-no-wordpress/"
},
"wordCount": 2502,
"citation": [
{
"@type": "CreativeWork",
"name": "Wordfence Threat Intel",
"url": "https://www.wordfence.com/wp-content/uploads/2025/04/2024-Annual-WordPress-Security-Report-by-Wordfence.pdf",
"publisher": {
"@type": "Organization",
"name": "Wordfence Threat Intel"
}
}
]
},
{
"@type": "FAQPage",
"@id": "https://full.services/ataques-malware-no-wordpress/#faq",
"isPartOf": {
"@id": "https://full.services/ataques-malware-no-wordpress/#article"
},
"mainEntity": [
{
"@type": "Question",
"@id": "https://full.services/ataques-malware-no-wordpress/#faq-q1",
"name": "Por que o malware volta mesmo depois de ser removido do WordPress?",
"inLanguage": "pt-BR",
"acceptedAnswer": {
"@type": "Answer",
"text": "Porque o invasor deixou um backdoor, um arquivo escondido que recria a infecção sozinho. Limpar só os arquivos visíveis sem achar o backdoor faz o malware reaparecer em horas. Um plugin nulled com código ofuscado é a origem comum desse backdoor. A solução é usar um scanner de integridade que compara cada arquivo com o repositório oficial, remover o arquivo malicioso e trocar todas as senhas e chaves de segurança do WordPress depois da limpeza.",
"author": {
"@id": "https://full.services/#org"
}
}
},
{
"@type": "Question",
"@id": "https://full.services/ataques-malware-no-wordpress/#faq-q2",
"name": "É possível evitar ataques malware no WordPress só com plugins gratuitos?",
"inLanguage": "pt-BR",
"acceptedAnswer": {
"@type": "Answer",
"text": "Sim, em boa parte dos sites pequenos. O All in One Security cobre hardening e bloqueio de força bruta de graça, o Wordfence tem firewall gratuito com regras atualizadas e o UpdraftPlus faz backup automático sem custo. A limitação é o tempo de resposta das regras: as versões premium recebem novas assinaturas de ameaça mais cedo. Para um site institucional simples, a stack gratuita bem configurada já fecha os quatro vetores principais de ataque.",
"author": {
"@id": "https://full.services/#org"
}
}
},
{
"@type": "Question",
"@id": "https://full.services/ataques-malware-no-wordpress/#faq-q3",
"name": "Qual a diferença entre o firewall do All in One Security e o do Wordfence?",
"inLanguage": "pt-BR",
"acceptedAnswer": {
"@type": "Answer",
"text": "O All in One Security foca em hardening e regras básicas de bloqueio no nível da aplicação, ideal para força bruta e proteção de login. O Wordfence opera um firewall com inteligência de ameaças, atualizado por uma equipe que monitora ataques reais e publica novas regras com frequência. Em sites mais visados, o Wordfence reage mais rápido a campanhas novas de malware, enquanto o All in One Security entrega um hardening amplo e gratuito como base.",
"author": {
"@id": "https://full.services/#org"
}
}
},
{
"@type": "Question",
"@id": "https://full.services/ataques-malware-no-wordpress/#faq-q4",
"name": "Quantas camadas de plugin um site WordPress precisa contra malware?",
"inLanguage": "pt-BR",
"acceptedAnswer": {
"@type": "Answer",
"text": "Quatro camadas independentes resolvem a maioria dos casos: firewall, scanner de integridade, hardening de login e backup externo. Cada camada cobre um vetor que as outras não alcançam, e cinco plugins bem escolhidos preenchem as quatro sem redundância. Empilhar dois firewalls ou dois scanners só gasta CPU e pode gerar conflito. A regra prática contra ataques malware no WordPress é um plugin por camada, nunca dois fazendo o mesmo trabalho ao mesmo tempo.",
"author": {
"@id": "https://full.services/#org"
}
}
},
{
"@type": "Question",
"@id": "https://full.services/ataques-malware-no-wordpress/#faq-q5",
"name": "O que um plugin de segurança não consegue impedir sozinho?",
"inLanguage": "pt-BR",
"acceptedAnswer": {
"@type": "Answer",
"text": "Um plugin não corrige hospedagem compartilhada insegura, senha fraca nem servidor mal configurado, porque atua só na camada da aplicação. Ele também não impede um upload malicioso quando o código do site não valida a extensão do arquivo enviado. Por isso o hardening manual continua essencial: revisar permissões de arquivo, manter PHP e plugins atualizados e nunca usar plugin nulled. O plugin de segurança é uma camada forte, mas não substitui boas práticas de configuração do ambiente.",
"author": {
"@id": "https://full.services/#org"
}
}
}
]
},
{
"@type": "BreadcrumbList",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Home",
"item": "https://full.services/"
},
{
"@type": "ListItem",
"position": 2,
"name": "Seguranca WordPress",
"item": "https://full.services/seguranca-wordpress/"
},
{
"@type": "ListItem",
"position": 3,
"name": "Ataques malware no WordPress: 5 plugins essenciais",
"item": "https://full.services/ataques-malware-no-wordpress/"
}
]
},
{
"@type": "Organization",
"@id": "https://full.services/#org",
"name": "FULL Services",
"url": "https://full.services",
"logo": {
"@type": "ImageObject",
"url": "https://full.services/wp-content/uploads/full-services-logo.png",
"width": 200,
"height": 60
},
"sameAs": [
"https://www.instagram.com/fullservicesbr",
"https://www.facebook.com/fullservices.br",
"https://www.linkedin.com/company/fullservicesbr/"
],
"knowsAbout": [
"WordPress",
"WordPress Hosting",
"Web Development",
"Performance Optimization",
"WordPress Security",
"SEO para WordPress"
],
"award": [
"Gold Medal - The WP Weekly Awards 2023 (https://thewpweekly.com/awards-2023/)",
"Gold Medal - The WP Weekly Awards 2024 (https://thewpweekly.com/awards-2024/)"
],
"hasCredential": {
"@type": "EducationalOccupationalCredential",
"credentialCategory": "certification",
"name": "CVE Numbering Authority (CNA)",
"description": "Autoridade de numeração de vulnerabilidades (CVE) para o ecossistema WordPress, autorizada a atribuir IDs CVE. Certificação válida desde 2022-05-03, com abrangência global.",
"url": "https://www.cve.org/PartnerInformation/ListofPartners/partner/FULL",
"recognizedBy": {
"@type": "Organization",
"name": "CISA — Cybersecurity and Infrastructure Security Agency",
"url": "https://www.cisa.gov/",
"sameAs": "https://www.cisa.gov/"
}
}
},
{
"@type": "Person",
"@id": "https://full.services/#person-clayton",
"name": "Clayton Margiotti",
"givenName": "Clayton",
"familyName": "Margiotti",
"jobTitle": "Fundador e CEO da FULL Services",
"description": "Fundador e CEO da FULL Services, plataforma WordPress SaaS com 50 mil clientes e 150 mil sites conectados, e anchor do ecossistema Elevor Global. Em 2024 conduziu a FULL a se tornar a primeira e unica empresa brasileira aprovada como CVE Numbering Authority sob a CISA (DHS/EUA). Mais de 20 anos construindo empresas digitais, com 13+ reconhecimentos internacionais (Facebook, GPTW, ONU, RD Summit).",
"url": "https://full.services/sobre-nos/",
"image": "https://full.services/wp-content/uploads/2026/05/clayton-margiotti.jpg",
"sameAs": [
"https://www.linkedin.com/in/cmargiotti/"
],
"knowsAbout": [
"Artificial Intelligence",
"Cybersecurity",
"CVE Program",
"WordPress Enterprise",
"SaaS Platforms",
"Digital Infrastructure",
"Technology Entrepreneurship",
"Company Building",
"Business Leadership",
"Digital Growth"
],
"hasOccupation": {
"@type": "Occupation",
"name": "Fundador e CEO",
"occupationalCategory": "11-1011.00"
},
"knowsLanguage": [
{
"@type": "Language",
"name": "Portuguese",
"alternateName": "pt-BR"
},
{
"@type": "Language",
"name": "English",
"alternateName": "en"
}
],
"memberOf": {
"@type": "Organization",
"name": "CVE Numbering Authorities",
"url": "https://www.cve.org/",
"sameAs": "https://www.cve.org/"
},
"alumniOf": [
{
"@type": "EducationalOrganization",
"name": "Global Scaling Academy (Blitzscaling Program)",
"url": "https://www.blitzscalingacademy.com"
},
{
"@type": "EducationalOrganization",
"name": "Esade",
"url": "https://www.esade.edu"
},
{
"@type": "EducationalOrganization",
"name": "Business School Sao Paulo (BSP)",
"url": "https://bsp.edu.br/"
},
{
"@type": "EducationalOrganization",
"name": "Tera",
"url": "https://somostera.com"
},
{
"@type": "EducationalOrganization",
"name": "Le Wagon",
"url": "https://www.lewagon.com"
},
{
"@type": "EducationalOrganization",
"name": "FIAP",
"url": "https://www.fiap.com.br"
},
{
"@type": "EducationalOrganization",
"name": "PUCRS",
"url": "https://online.pucrs.br/"
}
],
"award": [
"Digital Disruptor – Engaging Experiences Master (Globant, 2021)",
"Maior ROI do e-commerce brasileiro – Letrissimas (Facebook, 2019)",
"1º lugar – Melhores Empresas para Trabalhar no Brasil – Eleva Digital (Great Place to Work, 2018)",
"Case global de educacao no Facebook – Metodo SUPERA (Facebook, 2017)",
"Maquina de Geracao de Leads, Agencia do Ano (RD Summit / RD Station, 2015)",
"Monthly Recurring Revenue, top performance (RD Summit / RD Station, 2015)",
"Quality/Efficiency – Entrepreneurship Training (UNCTAD / PNUD-ONU, 2010)"
],
"subjectOf": [
{
"@type": "NewsArticle",
"url": "https://www.globant.com/news/globant-reveals-inaugural-digital-disruptors-award-winners",
"publisher": {
"@type": "Organization",
"name": "Globant"
}
},
{
"@type": "NewsArticle",
"url": "https://www.prnewswire.com/news-releases/letrissimas-com-e-destaque-do-e-commerce-brasileiro-com-maior-roi-de-2018-877517801.html",
"publisher": {
"@type": "Organization",
"name": "PR Newswire"
}
},
{
"@type": "NewsArticle",
"url": "https://www.segs.com.br/seguros/102599-gestao-de-pessoas-garante-mais-lucro-as-empresas",
"publisher": {
"@type": "Organization",
"name": "Segs"
}
},
{
"@type": "NewsArticle",
"url": "https://franquiaeducacional.com/negocios-inovadores-facebook-elege-supera-case-mundial-de-educacao",
"publisher": {
"@type": "Organization",
"name": "Franquia Educacional"
}
},
{
"@type": "NewsArticle",
"url": "https://acontecendoaqui.com.br/marketing/resultados-digitais-divulga-vencedores-do-premio-agencias-de-resultados-2015-durante-o-rd",
"publisher": {
"@type": "Organization",
"name": "Acontecendo Aqui"
}
}
],
"worksFor": {
"@type": "Organization",
"@id": "https://full.services/#org"
}
},
{
"@type": "HowTo",
"@id": "https://full.services/ataques-malware-no-wordpress/#howto",
"isPartOf": {
"@id": "https://full.services/ataques-malware-no-wordpress/#article"
},
"name": "Passo a passo: ataques malware no wordpress",
"description": "Guia passo a passo sobre ataques malware no wordpress para WordPress.",
"url": "https://full.services/ataques-malware-no-wordpress/",
"totalTime": "PT30M",
"author": {
"@type": "Organization",
"@id": "https://full.services/#org"
},
"step": [
{
"@type": "HowToStep",
"position": 1,
"name": "Passo 1: Configure o backup antes de qualquer coisa",
"text": "Instale o UpdraftPlus e agende um backup diário automático para um destino externo, como Google Drive ou Dropbox. Nunca guarde o backup no mesmo servidor do site: se o malware infecta o servidor, ele infecta o backup local junto. Confirme que a primeira cópia rodou antes de seguir."
},
{
"@type": "HowToStep",
"position": 2,
"name": "Passo 2: Atualize tudo e remova plugins abandonados",
"text": "Abra Plugins e atualize cada item com versão pendente. Em seguida, desinstale o que você não usa, com atenção especial a qualquer plugin abandonado sem atualização há mais de um ano. Plugin inativo ainda tem código no servidor e ainda pode ser explorado por uma requisição direta ao arquivo."
},
{
"@type": "HowToStep",
"position": 3,
"name": "Passo 3: Ative o firewall do Wordfence ou do Sucuri",
"text": "Instale o Wordfence e ative o Web Application Firewall em modo de aprendizado por uma semana, para ele mapear o tráfego legítimo antes de bloquear. Depois mude para modo ativo. O firewall barra a requisição maliciosa antes do PHP executar, fechando a porta de injeção mais comum em ataques malware no WordPress."
},
{
"@type": "HowToStep",
"position": 4,
"name": "Passo 4: Faça hardening e proteja o login",
"text": "Instale o All in One Security e ligue o bloqueio de força bruta, limite as tentativas de login e renomeie a URL de `wp-admin`. Ative também a autenticação de dois fatores. Essas medidas fecham o vetor de força bruta, que ainda responde por milhões de tentativas diárias contra sites WordPress."
},
{
"@type": "HowToStep",
"position": 5,
"name": "Passo 5: Rode o scanner e agende a varredura",
"text": "Com tudo no ar, rode uma varredura completa no MalCare ou no Wordfence para confirmar que nenhum arquivo já estava infectado. Agende o scan para a madrugada e, se rodar dois plugins de scan, escalone os horários para não estourar a CPU do servidor ao mesmo tempo. --- O malware volta depois de removido porque o invasor deixou um backdoor, um arquivo escondido que recria a infecção. Limpar só os arquivos visíveis sem encontrar o backdoor é como enxugar gelo: em poucas horas o código malicioso reaparece. Um plugin nulled com código ofuscado injetado, somado a um WordPress sem scanner de integridade, recria os arquivos infectados após cada limpeza manual. É por isso que firewall e scanner trabalham juntos contra ataques malware no WordPress. O firewall impede a entrada de novas requisições maliciosas, mas não remove o que já está dentro. O scanner de integridade compara cada arquivo do site com a versão original do repositório oficial e sinaliza o que foi alterado, inclusive o backdoor escondido na pasta de uploads. Se o seu site já mostra sinais de comprometimento, o caminho é a remoção completa de malware seguida"
}
]
}
]
}
```