Defacement é a troca da sua página por uma do invasor, quase sempre via plugin desatualizado com falha de upload. Segundo a OWASP (2024), é um dos ataques web mais antigos e ainda ativos. O risco real não é a página feia: é a shell que fica para trás. Identifique o tipo, limpe a fundo e feche a brecha.

Defacement é o ataque em que um invasor substitui o conteúdo visível do seu site por uma mensagem própria, geralmente para exibir um nome, um protesto ou um aviso de que o site foi comprometido. No WordPress, ele costuma chegar por um plugin com vulnerabilidade pública de upload de arquivo ou por um login de administrador sem proteção. O problema não termina quando você restaura a página: se a brecha continuar aberta, o ataque se repete. Este guia mostra os 3 tipos, como remover e como blindar o site. Para a visão geral do cluster, veja os guias de segurança WordPress da FULL.

Diagnóstico rápido: Sintoma e causa do defacement

Na maioria dos casos de defacement que chegam ao suporte da FULL, a porta de entrada foi um plugin desatualizado com CVE de upload arbitrário, não uma senha fraca. O sintoma é claro, mas a causa raiz quase sempre está em outro lugar. A tabela abaixo cruza o que você vê com o que aconteceu por baixo.

O defacement nunca é o ataque inteiro. Ele é só a parte que o invasor quis que você visse: existe código escondido que ele não quis mostrar.

Os 3 tipos de defacement que atingem o WordPress

Existem 3 tipos de defacement no WordPress, e cada um exige uma limpeza diferente: superfície, persistente e condicional. O mais comum, em torno de 6 de cada 10 ocorrências no suporte da FULL, é o de superfície, em que só o index.php ou o tema ativo é trocado. Os outros dois enganam mais.

O tipo de superfície substitui um único arquivo de entrada. É barulhento e fácil de notar, então o invasor costuma usá-lo para vandalismo rápido. Já o defacement persistente injeta o conteúdo dentro do banco de dados, na tabela wp_posts ou nas opções do tema, e reaparece mesmo depois de você trocar os arquivos. O terceiro, o condicional, é o mais perigoso: uma regra no .htaccess mostra a página do invasor apenas para visitantes vindos do Google e devolve o site normal quando você acessa direto. O dono jura que está tudo certo enquanto perde tráfego orgânico. Reconhecer qual variação você enfrenta define se a limpeza leva minutos ou dias.

Causa raiz: Por que o WordPress é desfigurado

A causa do defacement quase sempre é uma só combinação técnica, não azar. Plugin com CVE público de upload arbitrário, somado à ausência de um firewall de aplicação (WAF), permite que um bot suba uma shell em horas após a divulgação da falha e troque o index.php pela página do invasor. Foi assim em boa parte dos incidentes que vemos.

A relação é causal e previsível. O Contact Form 7, nas versões anteriores à 5.3.2, carregava o CVE-2020-35489, de CVSS 10.0, que permitia upload irrestrito de arquivos: o vetor clássico de shell que termina em defacement. Esses casos já foram corrigidos, então não são risco atual para quem atualiza, mas mostram o mecanismo. A segunda via é humana: administrador com senha reutilizada e login sem autenticação de dois fatores entrega o wp-admin, e o invasor edita o tema ativo pelo editor de arquivos. Defacement raramente é sofisticado; é oportunista.

Vulnerabilidades reais por trás do defacement e o ângulo CNA

Defacement não é hipótese de manual: ele nasce de CVEs concretas com CVSS alto, e quem escreve este guia cataloga CVE de verdade. A FULL é a única empresa brasileira credenciada como CNA (CVE Numbering Authority) sob a CISA desde maio de 2022, autorizada a atribuir IDs CVE oficiais. Aqui não é leitura de blog, é leitura de quem opera o catálogo.

Vale separar risco histórico de risco atual. O Contact Form 7, segundo o perfil público do WPVulnerability, acumula 12 CVEs ao longo dos anos, sendo 2 críticas, todas já corrigidas: isso é sinal de manutenção ativa, não de perigo hoje. O CVE-2018-20979, de CVSS 9.8, afetava versões anteriores à 5.0.4. O Elementor anterior à 3.18.2 teve o CVE-2023-48777, de CVSS 9.9, com o mesmo padrão de upload. Nenhum é risco atual em quem está na última versão: mantenha tudo atualizado e o vetor por CVE praticamente desaparece. Consulte o repositório de vulnerabilidades da FULL.

Como remover o defacement em 4 passos

Remover um defacement leva, na maioria dos casos testados, menos de 1 hora se você seguir a ordem certa: isolar, restaurar, caçar a shell e fechar a brecha. Pular o terceiro passo é o erro que faz o site ser desfigurado de novo em dias. Trate a limpeza como cirurgia, não como faxina.

Isole o site e gere uma cópia forense

Antes de tocar em qualquer arquivo, coloque o site em modo manutenção e baixe uma cópia completa, inclusive do conteúdo desfigurado. Essa cópia serve de evidência e de referência para comparar o que mudou. Não delete nada ainda.

Restaure de um backup anterior à invasão

Use um backup automático datado de antes do incidente para reverter arquivos e banco. Se o backup for de semanas atrás, o defacement detectado tarde reintroduz a mesma brecha e o site cai de novo. Confirme a data.

Cace a shell residual e limpe o malware

Rode um scanner como o Wordfence ou o Sucuri SiteCheck e revise arquivos recém-modificados. A página voltou, mas a shell que abriu a porta costuma ficar para trás. Aqui o passo é idêntico ao de remover malware do WordPress.

Atualize tudo e troque as credenciais

Atualize núcleo, temas e plugins, troque todas as senhas e as chaves do wp-config.php. É o passo que transforma limpeza em correção. O processo completo está no guia de como recuperar um site WordPress hackeado.

Como blindar o WordPress contra um novo defacement

Prevenir defacement custa muito menos que remover: o hardening básico bloqueia mais de 90% dos vetores oportunistas que vemos no suporte. A regra é tirar do invasor as três coisas que ele explora: plugin vulnerável, login fraco e arquivo gravável. Faça isso e o site deixa de ser alvo fácil.

Comece com um firewall de aplicação que filtre o payload antes de chegar ao PHP, somado a atualizações automáticas de plugins críticos. Em seguida, aplique hardening de segurança: desabilite a edição de arquivos pelo painel com define('DISALLOW_FILE_EDIT', true); no wp-config.php, ajuste permissões de pasta para 755 e arquivos para 644, e ative 2FA em todas as contas administrativas. Os cabeçalhos de segurança HTTP fecham a brecha do defacement condicional. Um bom plugin de segurança consolida tudo isso num só painel. Uma auditoria de segurança periódica confirma que nada ficou para trás.

Quer segurança gerenciada sem montar tudo isso à mão?

Montar firewall, 2FA, hardening e scanner de malware um a um funciona, mas consome tempo que a maioria dos donos de site não tem. O plano PRO da FULL, por R$849,90 por mês para até 10 sites, sai a R$85 por site e já inclui o scanner de malware, o All in One Security e segurança gerenciada no mesmo bundle, sem instalar cada peça separada. A gente vê no suporte que quem centraliza a segurança num plano único sofre defacement com muito menos frequência do que quem improvisa plugin por plugin. Conheça os planos em FULL.services/planos e, se quiser checar agora se já existe brecha, rode o FULL Scan gratuitamente.

Perguntas frequentes sobre defacement no WordPress

Próximos passos para proteger seu WordPress

Defacement é um sintoma barulhento de um problema silencioso: alguém entrou, e o aviso na tela é só o que o invasor escolheu mostrar. Resolver de verdade significa limpar a shell, fechar a brecha e manter o site atualizado, não apenas repor a página. Comece pela auditoria de segurança e, se já houver suspeita de invasão, rode o FULL Scan para confirmar. Para continuar aprendendo, o FULL Academy reúne tutoriais, guias e reviews de segurança em um só lugar.

Legenda: o scanner identifica a shell residual que sobra depois do defacement, o passo que a maioria das limpezas pula.