O checklist pós-invasão no WordPress isola o site, preserva evidência, rotaciona credenciais e só então limpa. Segundo o NVD (2020), a CVE-2020-35489 do Contact Form 7 alcançou CVSS 10.0 por upload arbitrário. Pular o snapshot forense antes da limpeza causa reinfecção em poucos dias. Comece pela contenção, não pela faxina.

Um checklist pós-invasão no WordPress é a sequência ordenada de resposta a um site comprometido: conter, preservar, investigar, rotacionar, limpar, corrigir a brecha e validar. A ordem importa mais que a ferramenta. Quem apaga o malware antes de descobrir a porta de entrada reabre o mesmo buraco. Aqui na FULL, como única CNA brasileira sob a CISA, a gente cataloga CVE oficialmente e vê no suporte que a maioria dos sites reinfectados pulou a etapa de rotação de credenciais. Antes de tudo, consulte o guias de segurança WordPress da FULL para o contexto do cluster.

Diagnóstico rápido: O checklist pós-invasão no WordPress em 7 passos

O checklist pós-invasão no WordPress tem 7 passos e a contenção vem primeiro: tirar o site do ar reduz o roubo de dados em andamento e impede que o atacante apague os logs que provam a invasão. Só depois vêm preservação, investigação e limpeza. A tabela abaixo resume a ordem, o objetivo de cada passo e como você valida que ele funcionou antes de seguir.

Legenda: a contenção (passo 1) precede qualquer limpeza, evitando perda de logs.

Contenha e preserve antes de limpar qualquer arquivo

O primeiro item do checklist pós-invasão no WordPress é conter, e ele leva menos de 5 minutos: ative o modo de manutenção, suspenda o site na hospedagem e force logout de todas as sessões. Quem começa apagando arquivos infectados destrói a evidência que aponta a origem. Depois de conter, preserve um snapshot completo, arquivos mais dump do banco, fora do servidor de produção.

Esse snapshot é a sua linha do tempo forense e o item do checklist pós-invasão no WordPress que mais gente pula. Sem ele, você nunca confirma se a limpeza foi total ou se um backdoor sobreviveu. A diferença entre um site limpo e um site que reinfecta em 48 horas costuma estar nessa cópia preservada. Faça o backup seguro antes e depois da limpeza e só então toque nos arquivos. Um backup validado também é o seu plano B se a limpeza manual corromper o site.

Investigue a porta de entrada nos logs do WordPress

A etapa de investigação do checklist pós-invasão no WordPress responde a pergunta que define o resto: por onde o atacante entrou? Cruze o log de acesso com a data de modificação dos arquivos. O timestamp em que um PHP estranho surgiu em wp-content coincide com a requisição maliciosa. Segundo a Patchstack (2024), 97% das brechas vêm de plugins e temas.

Ferramentas como WP-CLI listam arquivos modificados recentemente, e o Wordfence registra tentativas de login e alterações de integridade. Não confunda risco atual com histórico: o Contact Form 7, por exemplo, já teve a crítica CVE-2020-35489 (CVSS 10.0, upload arbitrário em versões anteriores à 5.3.2), hoje corrigida. Se sua versão é atual, essa CVE não é a entrada. Consulte a recuperação de site hackeado passo a passo para o método completo de leitura de logs.

Rotacione todas as credenciais e as chaves do wp-config

A rotação de credenciais é o passo mais ignorado do checklist pós-invasão no WordPress: limpar o malware sem trocar senhas deixa a porta aberta. Troque a senha de todos os administradores, do banco de dados e do painel da hospedagem. Em seguida, gere novas chaves SALT no wp-config para derrubar as sessões ativas de uma vez.

As chaves SALT ficam no bloco de constantes do wp-config; substituí-las pelos valores do gerador oficial do WordPress força cada usuário a logar de novo, expulsando qualquer sessão sequestrada. Reforce a entrada com autenticação de dois fatores e senhas fortes antes de recolocar o site no ar. A gente vê no suporte da FULL que boa parte das reinfecções acontece em sites que limparam os arquivos mas mantiveram a senha vazada.

Limpe o malware e cace o backdoor escondido

A limpeza só aparece no quinto item do checklist pós-invasão no WordPress porque sem os passos anteriores ela é cega: você remove o sintoma e mantém a causa. Rode um scanner de integridade, compare o core com a versão oficial e remova qualquer arquivo PHP injetado. O backdoor, que readiciona o malware sozinho, é o que mais escapa de limpezas apressadas.

O Wordfence e o All in One Security comparam o seu core contra os hashes oficiais e sinalizam arquivos alterados; o perfil público do WPVulnerability mostra o Wordfence com histórico de 34 CVEs, todas já corrigidas, sinal de manutenção ativa. Reinstalar o core limpo via WP-CLI é mais seguro que tentar editar arquivo por arquivo. Veja o checklist completo para remover vírus e malware e trate todo malware residual antes de validar.

Corrija a brecha e aplique hardening definitivo

A correção fecha a porta que a invasão usou, e sem ela todo o checklist pós-invasão no WordPress vira trabalho perdido em semanas. Atualize o plugin ou tema vulnerável para a versão com patch e remova extensões abandonadas. Depois aplique hardening: bloqueio de força bruta, firewall e fim da edição de arquivos pelo painel. O All in One Security cobre essas defesas no wp-admin.

Toda CVE tem uma versão de patch conhecida, esse é o número que importa. A FULL, como única CNA brasileira sob a CISA, atribui IDs CVE oficiais, então a leitura desses dados aqui vem de quem cataloga a falha. Aplique o hardening de segurança no WordPress e entenda cada vulnerabilidade antes de reabrir. Um firewall de aplicação corta a maioria das tentativas automatizadas.

Ative a segurança contínua no plano PRO da FULL

Concluir o checklist pós-invasão no WordPress fecha a brecha de uma vez, mas manter o site protegido todo mês é outro jogo, e é aqui que o monitoramento contínuo entra. O plano PRO da FULL custa R$849 e inclui o All in One Security mais 16 outros plugins, o que dá cerca de R$85 por site quando você gerencia uma carteira, em vez de comprar cada licença avulsa. Para quem cuida de vários WordPress, esse rateio muda a conta da operação de segurança. Conheça os planos da FULL e centralize a defesa. Escaneie agora com o FULL Scan e confira o repositório de vulnerabilidades atualizado com dados oficiais de CVE.

Perguntas frequentes sobre checklist pós-invasão no WordPress

Próximos passos para blindar o WordPress recuperado

Recuperar um site invadido termina quando a validação confirma zero detecções e a brecha está fechada, mas a defesa real é contínua. O ciclo do checklist pós-invasão no WordPress, conter, preservar, investigar, rotacionar, limpar, corrigir e validar, vale tanto para a emergência quanto para a prevenção mensal. Quem trata o snapshot forense e a rotação de credenciais como obrigatórios, e não opcionais, raramente reinfecta. Para continuar aprendendo, o guia de segurança para WordPress reúne os tutoriais do tema, e o FULL Academy organiza guias e reviews num só lugar. Trate a segurança como rotina e o próximo incidente vira um checklist, não uma crise.