📩 Fique por dentro das novidades com a nossa newsletter

Limpar WordPress após ataque: Guia essencial em 7 passos

Conheça a loja da FULL Services

Plugins premium, suporte de verdade e tudo o que seu site WordPress precisa em um só lugar.

Pergunte a uma IA sobre este artigo

Obtenha um resumo ou tire dúvidas com seu assistente favorito

Neste artigo

Limpar WordPress após ataque é o processo de resposta a incidente que remove código malicioso, fecha as portas de entrada e devolve o site a um estado confiável. Não é o mesmo que prevenção: aqui o invasor já entrou, deixou backdoors e provavelmente criou um usuário administrador escondido. A pressa engana. Apagar o arquivo infectado que o antivírus apontou resolve o sintoma, não a causa, e o malware volta em dias. Este guia mostra a sequência técnica correta, do isolamento do site ao scan final, com as ferramentas que a gente usa no suporte da FULL para deixar o WordPress de fato limpo após o ataque.


Diagnóstico rápido: O que muda ao limpar WordPress após ataque

Limpar WordPress após ataque começa pelo diagnóstico, não pela remoção: em boa parte dos sites que chegam ao suporte da FULL, o arquivo que o scanner aponta é só a ponta visível, enquanto a backdoor real está em outra pasta. Mapeie três frentes antes de apagar qualquer coisa.

Essas três frentes são arquivos modificados, usuários suspeitos e tarefas agendadas no wp-cron. A tabela abaixo resume o que inspecionar em cada uma e por que o item importa na resposta ao incidente.

Limpar WordPress após ataque: frentes de inspeção e ação
Frente O que procurar Ação corretiva
Arquivos do core Hashes diferentes dos oficiais do WordPress 6.x Reinstalar o core limpo por cima
Usuários Administradores criados após a data do ataque Remover e revisar funções (roles)
wp-content/uploads Arquivos .php dentro de pastas de mídia Apagar e bloquear execução de PHP
Tarefas agendadas Eventos estranhos no wp-cron Listar e limpar agendamentos

Use esse mapa como ponto de partida. Cada passo a seguir ataca uma dessas frentes em ordem.


Por que o malware volta mesmo após você limpar o site

O malware volta porque a remoção dos arquivos visíveis quase nunca elimina o mecanismo de reinfecção: na maior parte dos casos do suporte da FULL, uma backdoor PHP escondida em wp-content/uploads, somada a um agendamento oculto no wp-cron, reescreve o código limpo em poucas horas. Backdoor em pasta de mídia mais tarefa agendada no wp-cron é igual a malware que ressurge dias após a limpeza.

Esse padrão tem nome técnico: persistência. O invasor não quer só executar uma vez, quer voltar. Por isso, limpar WordPress após ataque significa caçar o mecanismo de retorno antes de comemorar. Uma shell PHP de poucos bytes, escondida entre centenas de imagens, é suficiente para refazer todo o estrago. Ferramentas como Wordfence e Sucuri SiteCheck ajudam a localizar esses arquivos órfãos, mas a varredura precisa cobrir a conta inteira de hospedagem, não apenas a pasta do site comprometido.


Passo a passo: Como limpar WordPress após ataque com segurança

Limpar WordPress após ataque de forma segura leva, em média, de duas a quatro horas em um site comum, e a ordem dos sete passos não é negociável: isolar antes de investigar, fazer backup forense antes de apagar, trocar credenciais antes de escanear. Pular uma etapa costuma custar uma segunda limpeza. Os passos abaixo formam um único procedimento; siga-os de cima para baixo, sem atalhos, usando os utilitários nomeados em cada um.

Passo 1: Isole o site e tire um backup forense

Coloque o site em modo de manutenção ou bloqueie o acesso público antes de tocar em qualquer arquivo. Em seguida, baixe uma cópia completa de arquivos e banco de dados com o UpdraftPlus ou pelo painel da hospedagem. Esse backup do WordPress não serve para restaurar, e sim como prova forense: você vai comparar o estado infectado com o limpo. Se precisar de uma cópia anterior ao ataque, veja como restaurar o WordPress a partir do backup com segurança.

Passo 2: Reinstale o Core do WordPress limpo

Baixe a versão atual em WordPress.org e substitua as pastas wp-admin e wp-includes, além dos arquivos da raiz, por versões oficiais. Reinstalar o core por cima sobrescreve arquivos adulterados, mas atenção à causa e efeito: core reinstalado sem apagar arquivos órfãos é igual a shell PHP sobrevivente em pasta que não pertence a uma instalação limpa. Compare a lista de arquivos do seu site com a do pacote oficial e remova tudo que não existe no original.

Passo 3: Caçe backdoors e arquivos modificados

Procure arquivos .php em locais onde nunca deveriam existir, como wp-content/uploads, e código ofuscado com funções eval, base64_decode ou gzinflate. O Wordfence faz essa varredura comparando hashes; o Sucuri SiteCheck escaneia de fora. Para um roteiro detalhado de detecção e remoção, consulte o guia da FULL sobre como remover malware do WordPress sem perder posicionamento.

Passo 4: Remova usuários suspeitos e revise funções

Acesse Usuários no painel e apague qualquer administrador que você não reconheça, principalmente os criados na janela do ataque. Reduza a função (role) de contas duvidosas e force a saída de todas as sessões ativas. Um malware no WordPress costuma deixar um administrador-fantasma justamente para garantir o retorno mesmo depois da limpeza dos arquivos.

Passo 5: Troque senhas e gere novos salts no wp-config.php

Redefina a senha de todos os administradores, do banco de dados e do FTP ou SFTP. Em seguida, gere novas chaves de segurança no wp-config.php usando o gerador oficial do WordPress.org. A lógica é direta: senha de administrador reaproveitada somada à ausência de troca de salts é igual a sessão do atacante ativa mesmo após a limpeza dos arquivos. Trocar salts invalida todos os cookies de login existentes de uma vez.

Passo 6: Atualize plugins, temas e remova o que não usa

Atualize WordPress, plugins e temas para as versões mais recentes, já que mais de 96% das vulnerabilidades de 2024 vieram de plugins. Apague temas e plugins inativos: código que não roda ainda pode ser explorado. Um firewall do WordPress como o do All in One Security reduz a superfície de ataque enquanto você fecha as brechas que deixaram o invasor entrar.

Passo 7: Escaneie o site limpo e monitore

Rode uma varredura final com Wordfence ou WPScan e confirme que nenhum arquivo malicioso restou. Cheque o Google Search Console por avisos de site comprometido e peça revisão se houver. Esse scan final fecha o ciclo: se ele passar limpo e o monitoramento ficar silencioso por alguns dias, a limpeza funcionou. Entenda também por que o malware volta mesmo após ser removido para não baixar a guarda cedo demais.


Quais ferramentas usar para limpar WordPress após ataque

Limpar WordPress após ataque depende de pelo menos quatro categorias de ferramenta, e cada uma resolve uma frente diferente do incidente. Scanner de integridade compara seus arquivos com os oficiais; varredura remota olha o site de fora; gerador de salts invalida sessões; e o console de busca confirma a reputação. Misturar bem essas quatro reduz o tempo de resposta e a chance de deixar uma backdoor para trás.

O Wordfence atua no nível do site, comparando hashes do core e dos plugins contra a base oficial. O Sucuri SiteCheck e o Google Safe Browsing varrem de fora, sem instalação, e flagram redirecionamentos maliciosos. O WPScan cruza suas versões com a base pública de vulnerabilidades. E o All in One Security, incluído nos planos da FULL, faz o hardening que evita a próxima invasão. Cada ferramenta compete por uma dimensão: Wordfence por base de assinaturas, All in One Security por hardening no painel, Sucuri SiteCheck por varredura remota sem instalação.


Limpeza pronta? Garanta o WordPress com a plataforma da FULL

Depois de limpar WordPress após ataque, manter o site seguro custa bem menos do que uma nova limpeza de emergência. O plano PRO da FULL sai por R$849 e inclui os 17 plugins premium que a gente usa nessa resposta a incidente, do firewall ao backup agendado, com atualização e ativação em um clique.

Entre esses plugins estão o All in One Security para hardening e firewall, o WP-Optimize para faxina no banco de dados e o UpdraftPlus para backups automáticos antes e depois da limpeza. Diluído nos 10 sites que o plano cobre, dá R$85 por site, valor menor que o de uma única remoção manual de malware contratada avulsa. No suporte da FULL, a gente vê que quem centraliza segurança e backup numa só plataforma reinfecta bem menos. Conheça os planos da FULL e ative a camada de proteção que faltava depois da limpeza.



Erros que reabrem o WordPress logo após a limpeza

Limpar WordPress após ataque falha em três erros recorrentes, e todos custam uma segunda rodada de limpeza poucos dias depois. O primeiro é apagar só o arquivo apontado pelo scanner e ignorar a backdoor em outra pasta. O segundo é esquecer de trocar os salts, deixando a sessão do invasor viva. O terceiro é restaurar um backup que já estava infectado, reintroduzindo o problema do zero.

Há um detalhe que só aparece em operação real. Em hospedagem compartilhada com vários sites na mesma conta cPanel, limpar apenas o WordPress atacado não basta: o invasor deixa uma shell PHP fora da pasta public_html, e a reinfecção chega por cross-site no mesmo usuário do servidor. A varredura precisa cobrir todas as pastas da conta. Se o ataque veio por força bruta no login, veja como evitar ataques de força bruta no login do WordPress.

Legenda: o scanner de integridade compara os hashes do seu site com os oficiais e revela arquivos adulterados que o olho humano não pega.


Perguntas frequentes sobre limpar WordPress após ataque

Por que o malware volta no WordPress mesmo após a limpeza dos arquivos?

O malware volta porque a backdoor de reinfecção sobreviveu à limpeza. Em boa parte dos casos, uma shell PHP escondida em wp-content/uploads, somada a uma tarefa agendada no wp-cron, reescreve o código limpo em horas. Apagar o arquivo apontado pelo scanner remove o sintoma, não o mecanismo de retorno. Por isso a varredura precisa cobrir todas as pastas e o agendamento, não só o arquivo visível.

É possível limpar o WordPress após ataque sem apagar o site inteiro?

Sim, é possível e é o caminho recomendado. Você reinstala o core limpo por cima, remove apenas os arquivos maliciosos e os usuários suspeitos, e troca senhas e salts, preservando conteúdo e configurações legítimas. Apagar o site inteiro só faz sentido se não houver backup confiável anterior ao ataque. Na maioria das limpezas, a remoção cirúrgica com scan final do Wordfence resolve sem zerar o site.

Qual a ordem certa para limpar o WordPress após um ataque?

A ordem certa é: isolar o site, tirar um backup forense, reinstalar o core, caçar backdoors, remover usuários suspeitos, trocar senhas e salts no wp-config.php e, por último, escanear o site limpo. Trocar credenciais antes do scan final evita que o atacante volte durante a limpeza. São sete passos encadeados; inverter a ordem costuma reabrir uma brecha já fechada e forçar uma segunda rodada.

Quanto tempo leva para limpar o WordPress após ataque por completo?

Em um site comum, limpar WordPress após ataque leva de duas a quatro horas, do isolamento ao scan final. Sites com WooCommerce, muitos plugins ou várias instalações na mesma conta de hospedagem podem levar um dia inteiro. O tempo cresce quando há reinfecção cross-site, porque a varredura precisa cobrir toda a conta cPanel. Contar com a base de CVEs de uma CNA acelera a identificação do vetor.

O que são salts no wp-config.php e por que trocá-los após o ataque?

Salts são chaves de segurança no wp-config.php que cifram os cookies de login do WordPress. Ao gerar novos salts pelo gerador oficial do WordPress.org, você invalida de uma vez todas as sessões ativas, inclusive a do invasor. Por isso a troca é obrigatória na resposta ao incidente: sem ela, mesmo com arquivos limpos e senha nova, uma sessão sequestrada continua autenticada e o atacante mantém o acesso.


Próximos passos para blindar o WordPress depois da limpeza

Limpar WordPress após ataque resolve o presente, mas é o hardening que evita o próximo incidente. Com o site limpo e os salts trocados, ative um firewall, force senhas fortes, limite tentativas de login e configure backups automáticos diários. Se quiser auditar tudo o que ficou, comece por o que fazer imediatamente quando o site WordPress é invadido e use um plugin de segurança WordPress que centralize firewall, scan e 2FA.

Escaneie o site gratuitamente com o FULL Scan para confirmar que nada ficou para trás e consulte o repositório de vulnerabilidades da FULL para saber se algum plugin que você usa está exposto. Para se aprofundar em resposta a incidente e prevenção, o guia de segurança para WordPress reúne os passos de proteção em um só lugar. Manter a guarda alta por alguns dias após a limpeza é o que separa um susto de uma reinfecção.

Compartilhe este conteúdo

Equipe Full Services

A FULL. é especialista em WordPress e oferece plugins premium com licenças originais, suporte técnico e instalação facilitada. Já ajudou mais de 25 mil clientes a impulsionar seus sites com performance, segurança e praticidade.

AI Shopping no Brasil: Como a IA decide quem vende

O AI shopping no Brasil já redesenha como o consumidor

A shortlist da IA: Como 3-5 marcas são escolhidas antes do clique

Entender a shortlist da ia como marcas são escolhidas é

Como fazer um AI visibility audit passo a passo

Se você não sabe se o ChatGPT recomenda a sua
Componentes

Hero Sections

30 componentes

Seções de CTA

14 componentes

Login

14 componentes

Blog

14 componentes

Cabeçalhos

24 componentes

Seções de FAQ

53 componentes

Cadastro

53 componentes

Blog individual

53 componentes

Rodapés

28 componentes

Seções de contato

27 componentes

Seções de preços

27 componentes

Faixas

27 componentes

Portfólio

16 componentes

Seções de equipe

12 componentes

Números

12 componentes

Logotipos

12 componentes

Uma nova era para o WordPress.

A FULL Services redefine o CMS com uma arquitetura modular que transforma o WordPress em um motor de crescimento digital. 

Painéis personalizados

Um novo nível de controle para o WordPress. Acompanhe métricas, automações e evolução do seu site em um único painel visual.

A força por trás de grandes marcas

Para agências, estúdios e profissionais independentes que desejam oferecer soluções de alto nível com sua própria marca.