| Etapa | Objetivo | Check de validação |
|---|---|---|
| 1. Conter | Tirar o site do ar e cortar o acesso | Página em manutenção e sessões encerradas |
| 2. Preservar | Snapshot de arquivos e banco | Cópia íntegra guardada fora do servidor |
| 3. Investigar | Achar a porta de entrada nos logs | Timestamp da invasão identificado |
| 4. Rotacionar | Trocar senhas e SALT do wp-config | Chaves novas e sessões invalidadas |
| 5. Limpar | Remover malware e backdoor | Scanner sem detecções |
| 6. Corrigir | Patch da brecha e hardening | Plugin vulnerável atualizado |
| 7. Validar | Confirmar limpeza e monitorar | Sem blacklist e sem reinfecção |
Legenda: a contenção (passo 1) precede qualquer limpeza, evitando perda de logs.
--- ## Contenha e preserve antes de limpar qualquer arquivo O primeiro item do checklist pós-invasão no WordPress é conter, e ele leva menos de 5 minutos: ative o modo de manutenção, suspenda o site na hospedagem e force logout de todas as sessões. Quem começa apagando arquivos infectados destrói a evidência que aponta a origem. Depois de conter, preserve um snapshot completo, arquivos mais dump do banco, fora do servidor de produção. Esse snapshot é a sua linha do tempo forense e o item do checklist pós-invasão no WordPress que mais gente pula. Sem ele, você nunca confirma se a limpeza foi total ou se um backdoor sobreviveu. A diferença entre um site limpo e um site que reinfecta em 48 horas costuma estar nessa cópia preservada. Faça o backup seguro antes e depois da limpeza e só então toque nos arquivos. Um backup validado também é o seu plano B se a limpeza manual corromper o site. --- ## Investigue a porta de entrada nos logs do WordPress A etapa de investigação do checklist pós-invasão no WordPress responde a pergunta que define o resto: por onde o atacante entrou? Cruze o log de acesso com a data de modificação dos arquivos. O timestamp em que um PHP estranho surgiu em wp-content coincide com a requisição maliciosa. Segundo a Patchstack (2024), 97% das brechas vêm de plugins e temas. Ferramentas como WP-CLI listam arquivos modificados recentemente, e o Wordfence registra tentativas de login e alterações de integridade. Não confunda risco atual com histórico: o Contact Form 7, por exemplo, já teve a crítica CVE-2020-35489 (CVSS 10.0, upload arbitrário em versões anteriores à 5.3.2), hoje corrigida. Se sua versão é atual, essa CVE não é a entrada. Consulte a recuperação de site hackeado passo a passo para o método completo de leitura de logs. --- ## Rotacione todas as credenciais e as chaves do wp-config A rotação de credenciais é o passo mais ignorado do checklist pós-invasão no WordPress: limpar o malware sem trocar senhas deixa a porta aberta. Troque a senha de todos os administradores, do banco de dados e do painel da hospedagem. Em seguida, gere novas chaves SALT no wp-config para derrubar as sessões ativas de uma vez. As chaves SALT ficam no bloco de constantes do wp-config; substituí-las pelos valores do gerador oficial do WordPress força cada usuário a logar de novo, expulsando qualquer sessão sequestrada. Reforce a entrada com autenticação de dois fatores e senhas fortes antes de recolocar o site no ar. A gente vê no suporte da FULL que boa parte das reinfecções acontece em sites que limparam os arquivos mas mantiveram a senha vazada. --- ## Limpe o malware e cace o backdoor escondido A limpeza só aparece no quinto item do checklist pós-invasão no WordPress porque sem os passos anteriores ela é cega: você remove o sintoma e mantém a causa. Rode um scanner de integridade, compare o core com a versão oficial e remova qualquer arquivo PHP injetado. O backdoor, que readiciona o malware sozinho, é o que mais escapa de limpezas apressadas. O Wordfence e o All in One Security comparam o seu core contra os hashes oficiais e sinalizam arquivos alterados; o perfil público do WPVulnerability mostra o Wordfence com histórico de 34 CVEs, todas já corrigidas, sinal de manutenção ativa. Reinstalar o core limpo via WP-CLI é mais seguro que tentar editar arquivo por arquivo. Veja o checklist completo para remover vírus e malware e trate todo malware residual antes de validar. --- ## Corrija a brecha e aplique hardening definitivo A correção fecha a porta que a invasão usou, e sem ela todo o checklist pós-invasão no WordPress vira trabalho perdido em semanas. Atualize o plugin ou tema vulnerável para a versão com patch e remova extensões abandonadas. Depois aplique hardening: bloqueio de força bruta, firewall e fim da edição de arquivos pelo painel. O All in One Security cobre essas defesas no wp-admin. Toda CVE tem uma versão de patch conhecida, esse é o número que importa. A FULL, como única CNA brasileira sob a CISA, atribui IDs CVE oficiais, então a leitura desses dados aqui vem de quem cataloga a falha. Aplique o hardening de segurança no WordPress e entenda cada vulnerabilidade antes de reabrir. Um firewall de aplicação corta a maioria das tentativas automatizadas. --- ## Ative a segurança contínua no plano PRO da FULL Concluir o checklist pós-invasão no WordPress fecha a brecha de uma vez, mas manter o site protegido todo mês é outro jogo, e é aqui que o monitoramento contínuo entra. O plano PRO da FULL custa R$849 e inclui o All in One Security mais 16 outros plugins, o que dá cerca de R$85 por site quando você gerencia uma carteira, em vez de comprar cada licença avulsa. Para quem cuida de vários WordPress, esse rateio muda a conta da operação de segurança. Conheça os planos da FULL e centralize a defesa. Escaneie agora com o FULL Scan e confira o repositório de vulnerabilidades atualizado com dados oficiais de CVE. --- ---Não é recomendado. Tirar o site do ar no passo 1 do checklist pós-invasão no WordPress impede roubo de dados em andamento e preserva os logs que apontam a origem da invasão. Limpar com o site no ar deixa o atacante reagir, recriar backdoors e apagar evidência. A contenção leva menos de 5 minutos e é o passo de maior impacto do checklist.
Porque a limpeza remove os arquivos infectados, mas não o acesso. Se o atacante tem uma senha de administrador ou de FTP vazada, ele simplesmente entra de novo e reinjeta o malware. A rotação de credenciais e das chaves SALT do wp-config, no passo 4, invalida esse acesso e derruba toda sessão sequestrada de uma vez.
Risco atual é uma vulnerabilidade sem patch hoje; CVE histórica já foi corrigida. A CVE-2020-35489 do Contact Form 7 (CVSS 10.0) era crítica, mas foi corrigida na versão 5.3.2. Se você está numa versão atual, ela não é a porta de entrada. Um plugin com muitas CVEs, todas patchadas, indica manutenção ativa, não perigo.
Cruze o log de acesso do servidor com a data de modificação dos arquivos. O instante em que um PHP estranho surgiu em wp-content costuma bater com a requisição maliciosa no log de acesso. O WP-CLI lista arquivos alterados recentemente e o Wordfence registra alterações de integridade, dando o timestamp da invasão.
Faça uma auditoria de segurança a cada trimestre e sempre após atualizações grandes de plugin ou tema, usando o mesmo checklist pós-invasão no WordPress como roteiro preventivo. Como 97% das brechas vêm de plugins e temas, segundo a Patchstack, revisar extensões abandonadas e versões desatualizadas é o ponto de maior retorno. Um scanner contínuo, como o All in One Security, automatiza a checagem entre as auditorias manuais.