--- title: "Como corrigir vulnerabilidade SQL Injection no WordPress" url: https://full.services/wp-fixer/corrigir-sql-injection-wordpress/ date: 2026-06-13 author: "Clayton Margiotti" --- # Como corrigir vulnerabilidade SQL Injection no WordPress ## O que é a vulnerabilidade SQL Injection? SQL Injection (SQLi) é uma falha em que dados controlados pelo atacante entram numa consulta ao banco sem tratamento, permitindo que ele altere o comando SQL executado. No WordPress, costuma surgir quando um plugin ou tema monta consultas concatenando entrada do usuário direto na string, em vez de usar consultas preparadas. Pela brecha, o invasor pode ler senhas e hashes da tabela wp_users, criar um admin oculto, exfiltrar dados de clientes ou apagar tabelas. É uma das falhas mais graves justamente porque dá acesso direto ao banco, o coração do site. A correção real é parametrizar a consulta, não filtrar o sintoma. ## Como identificar - O scanner de segurança ou o WPScan reporta "SQL Injection" em um plugin ou tema instalado. - No log do servidor aparecem requisições com payloads como "' OR 1=1 --" ou "UNION SELECT" em parâmetros. - Erros do banco vazam na tela, como "You have an error in your SQL syntax", ao manipular uma URL. - Surgem usuários administradores que você não criou ou posts/registros alterados sem explicação. **Antes de começar:** Faça backup do banco antes de auditar e remover registros suspeitos. Se a injeção já criou ou alterou dados, apagar às cegas pode quebrar o site; salve uma cópia para reverter caso remova algo legítimo. ## Como prevenir - Use sempre $wpdb->prepare() com placeholders em qualquer consulta que receba entrada do usuário - Mantenha plugins e temas atualizados e remova os abandonados sem correção de segurança - Use um WAF que bloqueie payloads de SQL Injection e limite as permissões do usuário do banco ## Erros relacionados - [Como corrigir vulnerabilidade XSS no WordPress](https://full.services/wp-fixer/corrigir-vulnerabilidade-xss-wordpress/) - [Como remover malware de um site WordPress](https://full.services/wp-fixer/remover-malware-wordpress/) - [Como corrigir API REST do WordPress exposta](https://full.services/wp-fixer/corrigir-api-rest-exposta-wordpress/)