| Sintoma observado | Causa raiz provável | Ação corretiva imediata |
|---|---|---|
| CPU acima de 80% sem tráfego | Minerador XMRig rodando em processo PHP-fpm | Isolar o servidor e listar processos ativos |
| TTFB saltou de 400 ms para 3 s | Recurso da CPU desviado para a mineração | Ativar o firewall do Wordfence em modo de bloqueio |
| Arquivo .php novo em wp-content/uploads | Upload irrestrito via plugin vulnerável | Comparar arquivos com o repositório oficial |
| Cron job desconhecido no WordPress | Agendamento que reinjeta o minerador | Auditar o WP-Cron e remover tarefas órfãs |
Legenda: o pico de CPU constante, e não um pico pontual de tráfego, é a assinatura típica do cryptojacking no servidor.
--- ## Os 5 sinais de cryptojacking que a maioria ignora Cerca de 8 em cada 10 infecções por cryptojacking que analisamos na FULL não mostram nenhum aviso na tela do site. O minerador trabalha em silêncio porque o lucro do atacante depende de durar meses, não de chamar atenção. Os cinco sinais a seguir são o que de fato denuncia a presença do minerador, na ordem em que costumam aparecer no diagnóstico. O primeiro é a lentidão constante: o site não cai, mas o TTFB sobe de forma estável. O segundo é a fatura de hospedagem com consumo de CPU acima da média histórica. O terceiro é o cooler do servidor dedicado em rotação alta mesmo de madrugada. O quarto é o navegador do visitante esquentando ao abrir o site, sinal de minerador no front-end via JavaScript. O quinto é a presença de domínios estranhos (variações de `coinhive` ou pools de Monero) no log de saída do firewall. Qualquer combinação de dois desses sinais já justifica uma varredura imediata com o Wordfence configurado corretamente. --- ## Como o cryptojacking entra: 2 cves reais de upload no WordPress Na prática, o cryptojacking quase nunca quebra a senha do administrador: ele entra por uma falha de upload de arquivo em plugin desatualizado. O CVE-2020-35489, no Contact Form 7 abaixo da versão 5.3.2, tinha CVSS 10.0 e permitia upload irrestrito: o atacante subia um `.php` minerador disfarçado de imagem. Corrigido na 5.3.2. O segundo é o CVE-2023-48777, no Elementor PRO 3.x abaixo da 3.18.2, com CVSS 9.9: upload arbitrário autenticado que, somado a uma conta de assinante aberta, injetava o script do XMRig direto em `wp-content/uploads`. Os dois já têm patch. Ambas as falhas ilustram a regra de ouro: plugin sem atualizar é a porta de entrada. Vale lembrar que a FULL é a única empresa brasileira credenciada como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022, ou seja, atribui IDs oficiais de CVE e cataloga malware no WordPress com autoridade primária. --- ## Como remover o cryptojacking do WordPress em 4 camadas Remover o cryptojacking exige limpar o minerador e fechar a porta de entrada na mesma operação, ou ele volta em horas via cron job. Em média, uma limpeza bem feita leva de 2 a 4 horas e segue quatro camadas. A primeira é o isolamento: colocar o site em manutenção para o minerador parar de consumir CPU. A segunda camada é a varredura, comparando cada arquivo do core com o repositório oficial via firewall. A terceira é a remoção: apagar o `.php` malicioso de `wp-content/uploads`, limpar cron jobs órfãs no WP-Cron e revisar usuários administradores criados pelo atacante. A quarta é o hardening: atualizar todos os plugins, restaurar de um backup limpo se houver dúvida e aplicar o passo a passo de hardening de segurança no WordPress. Se o minerador persistir após a limpeza, o problema costuma ser um backdoor secundário, e aí vale o roteiro de recuperar um site WordPress hackeado. --- ## Como bloquear o cryptojacking antes da próxima onda Bloquear o cryptojacking custa muito menos que limpar: nos tickets da FULL, mais de 90% das reinfecções vêm de sites que limparam mas não fecharam a brecha. A barreira começa pelo firewall em modo de bloqueio, que para o upload malicioso antes de ele tocar o disco. Wordfence e All in One Security cobrem essa camada, cada um com uma abordagem diferente de defesa do PHP. Sobre essas camadas, o Wordfence compete por varredura e firewall no nível do aplicativo PHP, o All in One Security compete por hardening gratuito de configuração, e o scanner de malware do bundle FULL compete por monitoramento gerenciado contínuo dos 150 mil sites da base. A regra prática: ative atualização automática de plugins, restrinja contas de assinante e evite ataques de força bruta no login, porque uma conta fraca é o atalho que dispensa qualquer CVE. Para detecção contínua, configure o monitoramento do WordPress contra malware. --- ## Onde a segurança gerenciada da FULL entra na conta A limpeza manual de cryptojacking custa em média de R$300 a R$800 por incidente com um profissional avulso, e nada impede a reinfecção na semana seguinte. O plano PRO da FULL sai por R$849,90 e inclui o scanner de malware, o firewall e os 17 plugins premium de segurança e performance no mesmo bundle. Diluído nos 10 sites do plano, isso dá R$85 por site, abaixo do preço de uma única licença anual avulsa do Wordfence Premium. A gente vê no suporte que o custo de um incidente sozinho já paga o ano inteiro de monitoramento. Veja os planos da FULL para comparar o que cada um cobre. --- --- --- ## Decisão rápida: O que fazer agora contra o cryptojacking A trilha abaixo resume a decisão em 4 caminhos, conforme o estágio em que você está, da suspeita à prevenção. Cada caminho aponta a ação que mais reduz dano no menor tempo, porque com cryptojacking ativo cada hora a mais significa CPU desperdiçada e fatura de hospedagem subindo.Porque ele não desfigura o site nem exibe aviso: o minerador XMRig se auto-limita, às vezes a 50% da CPU, para não derrubar o servidor e prolongar a infecção. O sintoma é lentidão constante, não queda total. Para detectar cedo, monitore o consumo de CPU: se ele fica acima de 80% sem pico equivalente de tráfego, verifique processos PHP-fpm e o WP-Cron antes de culpar a hospedagem.
Sim, e esse é o caso mais comum. Diferente de um defacement, o cryptojacking não altera nada visível porque o objetivo é minerar em silêncio. Na grande maioria dos casos analisados na FULL, a única evidência é a CPU acima de 80% e a fatura de hospedagem mais cara. Por isso, se o site está lento mas intacto, não descarte a infecção: rode uma varredura com o Wordfence e confirme antes de concluir que é só hospedagem.
O cryptojacking rouba a CPU do servidor para minerar em silêncio e quer durar meses; o ransomware criptografa o site e exige resgate na hora. Se o sintoma é lentidão com o site no ar, a aposta é cryptojacking; se o site travou com pedido de pagamento, é ransomware. Para os dois, a melhor defesa é a mesma: mantenha plugins atualizados e ative um firewall, porque ambos exploram a CVE de um plugin desatualizado como porta de entrada.
Bastante: nos casos atendidos pela FULL, o TTFB salta de cerca de 400 ms para mais de 3 segundos quando o minerador consome a CPU em horário de pico. Em VPS abaixo de 2 GB de RAM o efeito é maior, porque o XMRig disputa memória com o PHP-fpm. Além da lentidão, a fatura de CPU da hospedagem costuma subir 30% ou mais durante a infecção.
Uma falha de upload de arquivo sem patch, como o CVE-2020-35489 do Contact Form 7 (CVSS 10.0). Ela permitia que o atacante subisse um arquivo .php minerador disfarçado de imagem, sem autenticação. Enquanto o plugin não é atualizado para a versão com correção, qualquer bot que conheça o CVE explora a brecha de forma automatizada para instalar o minerador.