Como saber se o WordPress foi invadido começa por sete sinais: redirecionamentos estranhos, admins desconhecidos, picos de tráfego e alertas do Google. Segundo a Patchstack (2024), há 64.782 vulnerabilidades de WordPress catalogadas. A maioria das invasões entra por plugin desatualizado. Confirme com um scanner antes de limpar.
Como saber se o WordPress foi invadido depende de cruzar sinais visíveis com uma varredura técnica, porque boa parte dos ataques é projetada para ficar invisível ao dono do site. Um invasor competente não quer derrubar a página, ele quer usá-la: injetar spam, minerar cripto, roubar dados de login ou redirecionar visitantes para golpes. Por isso o site pode parecer normal enquanto serve conteúdo malicioso a quem chega pelo Google. Este guia reúne os sinais concretos, as ferramentas que confirmam a suspeita e o passo a passo defensivo. Para o panorama completo, consulte os guias de segurança WordPress da FULL.
Como saber se o WordPress foi invadido: 7 sinais
Como saber se o WordPress foi invadido fica mais fácil quando você reconhece os 7 sinais mais comuns nos tickets da FULL: redirecionamento oculto, admin que você não criou, queda no tráfego orgânico, alerta de malware, picos de CPU, arquivos com nomes aleatórios na raiz e spam saindo do domínio.
O mais frequente é o redirecionamento: o site abre normal para você, mas manda o visitante do Google para uma página de farmácia ou apostas. Os demais aparecem isolados ou combinados. A tabela abaixo resume cada sinal e onde checá-lo.
| Sinal | Onde verificar | O que indica |
|---|---|---|
| Redirecionamento oculto | Navegação anônima vinda do Google | Pharma hack com cloaking |
| Admin desconhecido | Usuários no painel | Backdoor de acesso |
| Queda de tráfego | Google Search Console | Blacklist ou desindexação |
| Alerta de malware | Search Console e Sucuri SiteCheck | Código malicioso ativo |
| Picos de CPU | Painel da hospedagem | Mineração ou bot injetado |
Por que trocar a senha não confirma se o WordPress foi invadido
Como saber se o WordPress foi invadido exige separar acesso de persistência: trocar a senha do administrador fecha 1 porta, mas não remove o que já entrou. Quando o atacante deixa um backdoor no tema ou cria um segundo admin no banco, a nova senha é inútil e o site reinfecta em horas.
Por isso, como saber se o WordPress foi invadido depende de procurar persistência, não só de redefinir senha. O código backdoor (um trecho que reabre o acesso) costuma morar no functions.php do tema. Nos tickets da FULL, boa parte dos casos de reinfecção vem exatamente daí: o dono trocou a senha, achou que resolveu, e o malware voltou porque a raiz nunca foi tocada. Confirmar a invasão é, portanto, mapear o que persiste, não só quem entrou. É por isso que um firewall WordPress bem configurado importa mais que uma senha forte isolada.
Ferramentas para saber se o WordPress foi invadido
Como saber se o WordPress foi invadido com certeza: use pelo menos 2 ferramentas que olham o site de ângulos diferentes, uma externa, que vê o que o visitante vê, e uma interna, que varre os arquivos. O Sucuri SiteCheck escaneia a URL de fora e detecta malware e blacklist em segundos, sem instalação.
O Wordfence e o All in One Security varrem os arquivos por dentro, comparando o core com os originais do repositório. O Google Search Console, na aba Problemas de segurança, mostra se o Google já marcou o domínio. Na prática, como saber se o WordPress foi invadido com confiança é cruzar os três: o scanner externo pega o cloaking, o interno pega o backdoor e o Search Console confirma o impacto. Para um diagnóstico completo, veja o passo a passo de auditoria de segurança no WordPress.
Cves reais: Por onde a invasão costuma entrar
Como saber se o WordPress foi invadido passa por entender o vetor: a maioria das invasões não explora o core, e sim 1 plugin desatualizado com falha pública. O caso clássico é a CVE-2020-35489 no Contact Form 7, CVSS 10.0, que permitia upload de arquivos sem login.
Outra real é a CVE-2023-6449, CVSS 7.2, em versões anteriores à 5.8.4. Ambas já têm patch: o risco hoje só existe em quem não atualizou. Aqui vale o diferencial de autoridade da FULL, a única empresa brasileira credenciada como CNA (CVE Numbering Authority) sob a CISA desde 2022, ou seja, autorizada a catalogar CVEs oficiais. Quem escreve sobre vulnerabilidade aqui literalmente atribui IDs CVE. Plugin desatualizado com CVE público mais ausência de firewall resulta em injeção automatizada por bots em horas após a divulgação.
O que fazer ao confirmar que o WordPress foi invadido
Depois de saber se o WordPress foi invadido, a ordem das ações define se você recupera o site em horas ou em dias, e o primeiro passo nunca é deletar arquivos no susto. A sequência defensiva tem quatro movimentos encadeados, e pular qualquer um costuma causar reinfecção.
Isole e faça backup do estado atual
Antes de limpar, gere um backup do site infectado, inclusive arquivos e banco. Parece contraintuitivo guardar o malware, mas esse retrato é a única forma segura de reverter se a limpeza quebrar algo, e serve de evidência para entender o vetor de entrada.
Identifique e remova a persistência
Procure admins não reconhecidos, arquivos .php com nomes aleatórios na raiz e código ofuscado no tema. Remover só o sintoma visível e deixar o backdoor é o erro número um. O malware volta porque a raiz ficou intacta.
Atualize tudo e blinde em camadas
Depois de limpo, atualize core, plugins e temas, troque todas as senhas e ative um firewall. Esse é o hardening de segurança que impede a próxima entrada pela mesma porta.
Se a invasão já avançou, o roteiro completo de remoção está em como limpar e recuperar um site WordPress hackeado, e o protocolo emergencial em o que fazer imediatamente após a invasão.
Proteja vários sites sem pagar plugin por plugin
Mais do que saber se o WordPress foi invadido, o ideal é nunca chegar lá, e a maioria das invasões que a gente ve no suporte da FULL teria sido evitada com firewall ativo e plugins atualizados. O plano PRO automatiza isso por R$849 ao ano para 10 sites, cerca de R$85 por site.
Em vez de comprar All in One Security, WP Rocket e os demais avulsos, o plano PRO entrega o bundle completo com ativação em um clique e atualização gerenciada. Para quem administra carteira de clientes, segurança em camadas custa menos que uma única limpeza de malware emergencial, e no suporte da FULL vemos isso toda semana. Veja os detalhes em FULL.services/planos ou ative o All in One Security agora.
Antes de qualquer plano, faça o diagnóstico grátis: escaneie seu site no FULL Scan e consulte o repositório de vulnerabilidades atualizado com dados oficiais de CVEs.
Perguntas frequentes sobre WordPress invadido
É possível saber se o WordPress foi invadido sem instalar nenhum plugin?
Sim. O Sucuri SiteCheck e o Google Search Console funcionam de fora do site, sem instalação: o primeiro varre a URL em busca de malware visível e blacklist, o segundo mostra alertas de segurança na aba Problemas de segurança. Eles detectam redirecionamento e cloaking que o dono logado não enxerga, mas não veem backdoors no banco.
Por que meu site WordPress foi invadido mesmo com senha forte?
Porque saber se o WordPress foi invadido não tem a ver com a senha: a maioria das invasões não quebra credencial, explora uma vulnerabilidade de plugin desatualizado. A CVE-2020-35489 no Contact Form 7, com CVSS 10.0, permitia upload de arquivos sem nenhuma credencial. Senha forte protege contra força bruta, mas não contra um plugin com falha pública. Manter tudo atualizado e usar firewall importa mais que a complexidade da senha.
Como saber se o WordPress foi invadido se o site parece normal para mim?
Abra o site em uma janela anônima vinda de uma busca no Google, não pela URL direta. O pharma hack usa cloaking: mostra o conteúdo certo ao admin logado e injeta spam só para visitantes do buscador. Confirme cruzando com o Search Console, que indica queda de tráfego e indexação de páginas que você nunca criou.
Qual a diferença entre site lento por invasão e por falta de cache?
Para saber se o WordPress foi invadido pela lentidão, observe o padrão: lentidão por cache é constante e melhora com plugin de otimização. Lentidão por invasão costuma vir em picos de CPU no painel da hospedagem, sem correspondência com o tráfego real, sinal de mineração de cripto ou bots injetados. Se o servidor consome recurso de madrugada, com poucas visitas, suspeite de processo malicioso, não de cache.
Quando vale chamar um especialista para saber se o WordPress foi invadido?
Chame quando há reinfecção após a limpeza, blacklist do Google ativa ou dados de clientes expostos. Reinfecção indica backdoor persistente que escapou da varredura, e cada novo ciclo amplia o dano de SEO. Acima de 1.000 produtos no WooCommerce ou conformidade com LGPD em jogo, o custo de errar a limpeza supera o de contratar quem faz isso em escala.
Próximos passos para blindar o site após a verificação
Como saber se o WordPress foi invadido é só o diagnóstico; a blindagem é o que evita o próximo ataque. Como saber se o WordPress foi invadido cedo encurta o estrago, mas prevenir encurta mais. Comece pelo básico não negociável: atualização automática de core e plugins, firewall ativo, autenticação de dois fatores e backup diário testado. Depois aprofunde com as razões pelas quais sites WordPress são hackeados e o comparativo de plugins de segurança WordPress. Para continuar aprendendo, o FULL Academy reúne os guias de segurança em um só lugar. Segurança no WordPress não é um botão, é uma rotina de camadas, e cada camada reduz a superfície que o invasor encontra.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
