Um bot malicioso é um programa automatizado que varre, testa e ataca sites WordPress sem intervenção humana. Segundo o Cloudflare Radar (2026), o WAF mitiga 16,4% dos ataques de aplicação no Brasil. A maioria não invade na primeira tentativa: testa milhares de URLs por minuto. Identificar o padrão no log é o primeiro passo defensivo.
Um bot malicioso é qualquer rotina automatizada que acessa seu site WordPress para mapear vulnerabilidades, adivinhar senhas, raspar conteúdo ou injetar spam, sem que uma pessoa esteja por trás de cada requisição. Diferente do Googlebot, que respeita o robots.txt, o bot malicioso ignora regras e mira nos arquivos que expõem o site: wp-login.php, xmlrpc.php e a REST API. Entender os tipos e os sinais é o que separa um bloqueio preventivo de uma limpeza de malware depois do estrago. Este conteúdo faz parte dos guias de segurança WordPress da FULL.
O que é um bot malicioso e como ele difere do tráfego legítimo
Um bot malicioso é um script automatizado que envia requisições em massa contra o WordPress para explorar uma falha. O sinal mais claro está no log de acesso: um humano carrega uma página e para, mas o bot malicioso dispara 300, 500, mil requisições por minuto contra os mesmos endpoints, sempre os arquivos que expõem o site.
Ele não respeita o robots.txt, falsifica o user-agent para parecer Chrome ou Googlebot e ataca sempre os mesmos alvos: o formulário de login, o xmlrpc.php e a REST API. A gente vê no suporte da FULL que a maioria dos picos de CPU inexplicáveis em horário comercial é bot malicioso varrendo o site, não visita real. Ferramentas como Wordfence, All in One Security e o firewall da Cloudflare separam esse tráfego pela assinatura de comportamento, não pelo nome que o bot declara ser.
Os 4 tipos de bot malicioso que mais atacam o WordPress
Quatro categorias de bot malicioso concentram quase todos os ataques automatizados ao WordPress, e cada uma deixa um rastro distinto no log de acesso. São eles: o bot de força bruta, o scanner de vulnerabilidades, o bot de DDoS e o bot de spam. A tabela abaixo resume o alvo de cada tipo.
O bot de força bruta testa milhares de combinações de senha no wp-login.php. O scanner de vulnerabilidades sonda versões de plugins atrás de CVEs conhecidas. O bot de DDoS satura o servidor com requisições até o site cair. O bot de spam injeta links em comentários e formulários abertos.
| Tipo de bot malicioso | Alvo principal | Sinal no log de acesso |
|---|---|---|
| Força bruta | wp-login.php e xmlrpc.php | Centenas de POST por minuto no mesmo IP |
| Scanner de vulnerabilidade | Plugins e temas desatualizados | GET sequencial em /wp-content/plugins/ |
| DDoS | Servidor inteiro (recursos) | Tráfego de milhares de IPs simultâneos |
| Spam | Comentários e formulários | POST repetido em wp-comments-post.php |
Legenda: o padrão de centenas de requisições por minuto no mesmo endpoint denuncia o bot malicioso antes de qualquer invasão.
Como o bot malicioso explora plugins desatualizados com CVE real
O bot malicioso raramente inventa um ataque novo: ele varre o site atrás de plugins com CVEs já catalogadas e exploráveis em escala. Um exemplo real é a CVE-2020-35489 no Contact Form 7, com CVSS 10.0, que permitia upload irrestrito de arquivos em versões anteriores à 5.3.2.
Um bot malicioso que encontrava essa versão subia um shell PHP e assumia o site, sem senha. Outro caso é a CVE-2023-48777 no Elementor, CVSS 9.9, corrigida na 3.18.2. Ambas já estão corrigidas, então o risco atual está em quem não atualizou. Segundo o perfil público do WPVulnerability, o Elementor soma 62 CVEs auditadas ao longo dos anos. A FULL é a única empresa brasileira credenciada como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022, ou seja, quem escreve aqui sobre vulnerabilidade literalmente cataloga CVE. Confira cada falha no registro oficial da NVD e na ficha da CVE-2023-48777.
Por que o xmlrpc.php é o alvo favorito do bot malicioso
O xmlrpc.php é o arquivo mais explorado pelo bot malicioso porque permite amplificar centenas de tentativas de login em uma única requisição via método system.multicall. Em vez de testar uma senha por vez no wp-login.php, o bot empacota mil combinações em um só POST, multiplicando a velocidade da força bruta.
Esse método escapa de limites simples de tentativa. A defesa de referência da OWASP recomenda restringir endpoints de autenticação expostos, princípio detalhado no OWASP Top Ten. Se o site não usa o app móvel do WordPress nem pingbacks, desativar o xmlrpc.php fecha esse vetor de uma vez. Veja o passo a passo em como desativar o xmlrpc no WordPress e reforce o login com limite de tentativas de acesso. Bloquear a enumeração de usuários via REST, como explica proteger a REST API do WordPress, tira do bot malicioso a lista de logins para atacar.
Os 5 sinais de que um bot malicioso já está mirando seu site
Cinco sinais denunciam que um bot malicioso varre seu WordPress agora, e quatro deles aparecem antes de qualquer invasão concreta: pico de CPU sem campanha, enxurrada de logins falhos, salto de comentários de spam e lentidão intermitente fora de horário de público.
O quinto, e mais grave, é o aparecimento de arquivos PHP estranhos em /wp-content/uploads/. Os relatórios do Wordfence e do All in One Security já mostram as tentativas de login automatizadas em tempo real. Quando esse padrão se repete por dias, segundo o Cloudflare Radar a distribuição de mitigação no Brasil mostra que o WAF intercepta 16,4% dos ataques de aplicação, parcela que justifica manter um firewall sempre ativo. Para entender por que sites WordPress entram na mira, vale ler as razões pelas quais sites WordPress são hackeados.
Como bloquear o bot malicioso com WordPress: 3 camadas de defesa
Bloquear um bot malicioso exige três camadas, porque nenhuma sozinha cobre os quatro tipos de ataque. São elas: o firewall de borda (WAF), o plugin de segurança na aplicação e a atualização contínua como higiene. A tabela abaixo mostra qual tipo de bot cada camada barra.
A camada de borda é o firewall de aplicação, que filtra o tráfego antes de chegar ao PHP e barra força bruta e DDoS pela assinatura. A camada de aplicação é o plugin de segurança, como o All in One Security, que aplica limite de tentativas, captcha no login e bloqueio de IP reincidente. A camada de higiene é a atualização: plugin sem patch é convite aberto para o scanner.
| Camada | Função | Tipo de bot que barra |
|---|---|---|
| Firewall (WAF) | Filtra tráfego na borda | Força bruta e DDoS |
| Plugin de segurança | Limite de login e captcha | Força bruta e spam |
| Atualização contínua | Fecha CVE conhecida | Scanner de vulnerabilidade |
Para aprofundar a configuração das três camadas, o guia de segurança para WordPress reúne o passo a passo completo, e a página do All in One Security detalha como o plugin aplica cada regra.
Proteja todos os seus sites com a FULL
Manter firewall, plugin de segurança atualizado e monitoramento em vários sites WordPress um a um sai caro e abre brechas por esquecimento. A gente vê no suporte da FULL que a maioria dos sites invadidos por bot malicioso estava com um plugin desatualizado havia meses. O plano PRO da FULL custa R$849,90 e cobre até 10 sites com o All in One Security, atualização gerenciada e o bundle completo, o que dá cerca de R$85 por site por mês com a camada de segurança inclusa. Conheça os planos da FULL e centralize a proteção de toda a sua operação. Para um diagnóstico imediato, o FULL Scan verifica se algum plugin do seu site está vulnerável agora, e o repositório de vulnerabilidades lista as CVEs catalogadas com dados oficiais.
Perguntas frequentes sobre bot malicioso no WordPress
É possível bloquear um bot malicioso sem instalar plugin no WordPress?
Sim, dá para bloquear parte dos bots por arquivo, sem plugin. Regras no .htaccess negam acesso a user-agents conhecidos e ao xmlrpc.php, e o WAF da Cloudflare filtra força bruta na borda antes de chegar ao PHP. Ainda assim, um plugin como o All in One Security adiciona limite de tentativas e captcha que o .htaccess sozinho não cobre, fechando o login contra ataque automatizado.
Por que o bot malicioso volta a atacar mesmo depois de eu bloquear o IP?
O bloqueio de IP isolado falha porque o bot malicioso opera em botnets com milhares de endereços rotativos. Bloquear um IP só desvia o ataque para o próximo da fila. A defesa eficaz mira o comportamento, não o endereço: limite de tentativas, captcha e bloqueio por assinatura de requisição, como Wordfence e All in One Security aplicam, barram o padrão independentemente de qual IP dispara.
Qual a diferença entre um bot malicioso e o Googlebot no log de acesso?
O Googlebot respeita o robots.txt, identifica-se com IP verificável do Google e rastreia em ritmo moderado. O bot malicioso ignora o robots.txt, falsifica o user-agent e dispara centenas de requisições por minuto contra wp-login.php ou xmlrpc.php. A verificação de DNS reverso confirma se o IP que se diz Googlebot realmente pertence ao Google, separando o crawler legítimo do impostor automatizado.
Como o bot malicioso descobre que um plugin do meu site está vulnerável?
O bot malicioso lê a versão do plugin no código-fonte da página ou no caminho /wp-content/plugins/ e cruza com bancos públicos de CVE, como a NVD. Ao encontrar uma versão afetada por falha conhecida, como a CVE-2020-35489 no Contact Form 7, dispara o exploit correspondente. Manter plugins atualizados remove a versão vulnerável do alcance do scanner e fecha o ataque na origem.
Um bot malicioso pode derrubar um site WordPress sem invadir nada?
Sim. O bot de DDoS não precisa invadir: ele satura o servidor com requisições simultâneas de milhares de IPs até o site esgotar CPU e memória e ficar fora do ar. Por isso o firewall de aplicação na borda é a primeira camada de defesa, filtrando o volume antes que ele consuma os recursos do WordPress e cause indisponibilidade.
Identificar o bot malicioso cedo, no log e nos relatórios de segurança, evita a limpeza cara depois da invasão. Para continuar aprendendo WordPress, o FULL Academy reúne todos os tutoriais, guias e reviews em um só lugar.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
