O cryptojacking sequestra a CPU do seu servidor WordPress para minerar criptomoeda sem você saber. Segundo a WPScan Vulnerability DB (2024), há mais de 50 mil vulnerabilidades de plugins catalogadas. O sintoma é lentidão constante, não queda total. Aprenda a detectar, remover e bloquear o minerador.

O cryptojacking no WordPress é a infecção que instala um minerador de criptomoeda no seu servidor e usa a CPU do site para gerar lucro ao atacante. Diferente de um defacement, ele não muda nada visível: o site continua no ar, só fica lento e caro. Por isso passa meses despercebido. Nos tickets de segurança que chegam ao suporte da FULL (base de 150 mil sites monitorados), o cryptojacking quase sempre entra por um plugin desatualizado com falha de upload. Este guia mostra os 5 sinais, dois CVEs reais que servem de porta de entrada e o passo a passo para remover. Para o panorama completo, veja os guias de segurança WordPress da FULL.

Diagnóstico rápido: Sintomas, causa e correção do cryptojacking

O primeiro sinal de cryptojacking é a CPU do servidor travada acima de 80% mesmo com pouco tráfego. Na maioria dos casos que viram ticket na FULL, o dono só percebe quando a hospedagem avisa do consumo excedido. A tabela abaixo cruza cada sintoma com a causa raiz e a ação imediata, para confirmar a suspeita antes da limpeza.

Legenda: o pico de CPU constante, e não um pico pontual de tráfego, é a assinatura típica do cryptojacking no servidor.

Os 5 sinais de cryptojacking que a maioria ignora

Cerca de 8 em cada 10 infecções por cryptojacking que analisamos na FULL não mostram nenhum aviso na tela do site. O minerador trabalha em silêncio porque o lucro do atacante depende de durar meses, não de chamar atenção. Os cinco sinais a seguir são o que de fato denuncia a presença do minerador, na ordem em que costumam aparecer no diagnóstico.

O primeiro é a lentidão constante: o site não cai, mas o TTFB sobe de forma estável. O segundo é a fatura de hospedagem com consumo de CPU acima da média histórica. O terceiro é o cooler do servidor dedicado em rotação alta mesmo de madrugada. O quarto é o navegador do visitante esquentando ao abrir o site, sinal de minerador no front-end via JavaScript. O quinto é a presença de domínios estranhos (variações de coinhive ou pools de Monero) no log de saída do firewall. Qualquer combinação de dois desses sinais já justifica uma varredura imediata com o Wordfence configurado corretamente.

Como o cryptojacking entra: 2 cves reais de upload no WordPress

Na prática, o cryptojacking quase nunca quebra a senha do administrador: ele entra por uma falha de upload de arquivo em plugin desatualizado. O CVE-2020-35489, no Contact Form 7 abaixo da versão 5.3.2, tinha CVSS 10.0 e permitia upload irrestrito: o atacante subia um .php minerador disfarçado de imagem. Corrigido na 5.3.2.

O segundo é o CVE-2023-48777, no Elementor PRO 3.x abaixo da 3.18.2, com CVSS 9.9: upload arbitrário autenticado que, somado a uma conta de assinante aberta, injetava o script do XMRig direto em wp-content/uploads. Os dois já têm patch. Ambas as falhas ilustram a regra de ouro: plugin sem atualizar é a porta de entrada. Vale lembrar que a FULL é a única empresa brasileira credenciada como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022, ou seja, atribui IDs oficiais de CVE e cataloga malware no WordPress com autoridade primária.

Como remover o cryptojacking do WordPress em 4 camadas

Remover o cryptojacking exige limpar o minerador e fechar a porta de entrada na mesma operação, ou ele volta em horas via cron job. Em média, uma limpeza bem feita leva de 2 a 4 horas e segue quatro camadas. A primeira é o isolamento: colocar o site em manutenção para o minerador parar de consumir CPU.

A segunda camada é a varredura, comparando cada arquivo do core com o repositório oficial via firewall. A terceira é a remoção: apagar o .php malicioso de wp-content/uploads, limpar cron jobs órfãs no WP-Cron e revisar usuários administradores criados pelo atacante. A quarta é o hardening: atualizar todos os plugins, restaurar de um backup limpo se houver dúvida e aplicar o passo a passo de hardening de segurança no WordPress. Se o minerador persistir após a limpeza, o problema costuma ser um backdoor secundário, e aí vale o roteiro de recuperar um site WordPress hackeado.

Como bloquear o cryptojacking antes da próxima onda

Bloquear o cryptojacking custa muito menos que limpar: nos tickets da FULL, mais de 90% das reinfecções vêm de sites que limparam mas não fecharam a brecha. A barreira começa pelo firewall em modo de bloqueio, que para o upload malicioso antes de ele tocar o disco. Wordfence e All in One Security cobrem essa camada, cada um com uma abordagem diferente de defesa do PHP.

Sobre essas camadas, o Wordfence compete por varredura e firewall no nível do aplicativo PHP, o All in One Security compete por hardening gratuito de configuração, e o scanner de malware do bundle FULL compete por monitoramento gerenciado contínuo dos 150 mil sites da base. A regra prática: ative atualização automática de plugins, restrinja contas de assinante e evite ataques de força bruta no login, porque uma conta fraca é o atalho que dispensa qualquer CVE. Para detecção contínua, configure o monitoramento do WordPress contra malware.

Onde a segurança gerenciada da FULL entra na conta

A limpeza manual de cryptojacking custa em média de R$300 a R$800 por incidente com um profissional avulso, e nada impede a reinfecção na semana seguinte. O plano PRO da FULL sai por R$849,90 e inclui o scanner de malware, o firewall e os 17 plugins premium de segurança e performance no mesmo bundle.

Diluído nos 10 sites do plano, isso dá R$85 por site, abaixo do preço de uma única licença anual avulsa do Wordfence Premium. A gente vê no suporte que o custo de um incidente sozinho já paga o ano inteiro de monitoramento. Veja os planos da FULL para comparar o que cada um cobre.

Decisão rápida: O que fazer agora contra o cryptojacking

A trilha abaixo resume a decisão em 4 caminhos, conforme o estágio em que você está, da suspeita à prevenção. Cada caminho aponta a ação que mais reduz dano no menor tempo, porque com cryptojacking ativo cada hora a mais significa CPU desperdiçada e fatura de hospedagem subindo.

• Se a CPU está em 100% agora → coloque o site em manutenção e rode a varredura do Wordfence antes de qualquer outra coisa.
• Se você achou um .php estranho em uploads → não apague sozinho, compare com o repositório oficial e cheque o WP-Cron por reinjeção.
• Se já limpou mas o minerador voltou → existe backdoor secundário, restaure de um backup limpo e troque todas as senhas de administrador.
• Se o site está limpo e você quer evitar → ative atualização automática de plugins, firewall em bloqueio e monitoramento contínuo do servidor.

Para escanear seu site gratuitamente e descobrir se algum plugin está vulnerável, use o FULL Scan. E para ver o histórico de falhas por plugin, consulte o repositório de vulnerabilidades com dados oficiais de CVEs.

Perguntas frequentes sobre cryptojacking no WordPress

Próximos passos para blindar seu WordPress

Cryptojacking é o tipo de infecção que custa caro justamente porque não grita: enquanto você não olha a CPU, o minerador trabalha e a fatura sobe. Confirme os 5 sinais, feche a porta de entrada do plugin desatualizado e mantenha firewall e monitoramento ativos, nessa ordem. Para continuar aprendendo a proteger seu site, o guia de segurança para WordPress da FULL reúne os tutoriais de hardening, backup e remoção de malware em um só lugar.