Neste artigo
Limpar WordPress após ataque é o processo de resposta a incidente que remove código malicioso, fecha as portas de entrada e devolve o site a um estado confiável. Não é o mesmo que prevenção: aqui o invasor já entrou, deixou backdoors e provavelmente criou um usuário administrador escondido. A pressa engana. Apagar o arquivo infectado que o antivírus apontou resolve o sintoma, não a causa, e o malware volta em dias. Este guia mostra a sequência técnica correta, do isolamento do site ao scan final, com as ferramentas que a gente usa no suporte da FULL para deixar o WordPress de fato limpo após o ataque.
Diagnóstico rápido: O que muda ao limpar WordPress após ataque
Limpar WordPress após ataque começa pelo diagnóstico, não pela remoção: em boa parte dos sites que chegam ao suporte da FULL, o arquivo que o scanner aponta é só a ponta visível, enquanto a backdoor real está em outra pasta. Mapeie três frentes antes de apagar qualquer coisa.
Essas três frentes são arquivos modificados, usuários suspeitos e tarefas agendadas no wp-cron. A tabela abaixo resume o que inspecionar em cada uma e por que o item importa na resposta ao incidente.
| Frente | O que procurar | Ação corretiva |
|---|---|---|
| Arquivos do core | Hashes diferentes dos oficiais do WordPress 6.x | Reinstalar o core limpo por cima |
| Usuários | Administradores criados após a data do ataque | Remover e revisar funções (roles) |
| wp-content/uploads | Arquivos .php dentro de pastas de mídia | Apagar e bloquear execução de PHP |
| Tarefas agendadas | Eventos estranhos no wp-cron | Listar e limpar agendamentos |
Use esse mapa como ponto de partida. Cada passo a seguir ataca uma dessas frentes em ordem.
Por que o malware volta mesmo após você limpar o site
O malware volta porque a remoção dos arquivos visíveis quase nunca elimina o mecanismo de reinfecção: na maior parte dos casos do suporte da FULL, uma backdoor PHP escondida em wp-content/uploads, somada a um agendamento oculto no wp-cron, reescreve o código limpo em poucas horas. Backdoor em pasta de mídia mais tarefa agendada no wp-cron é igual a malware que ressurge dias após a limpeza.
Esse padrão tem nome técnico: persistência. O invasor não quer só executar uma vez, quer voltar. Por isso, limpar WordPress após ataque significa caçar o mecanismo de retorno antes de comemorar. Uma shell PHP de poucos bytes, escondida entre centenas de imagens, é suficiente para refazer todo o estrago. Ferramentas como Wordfence e Sucuri SiteCheck ajudam a localizar esses arquivos órfãos, mas a varredura precisa cobrir a conta inteira de hospedagem, não apenas a pasta do site comprometido.
Passo a passo: Como limpar WordPress após ataque com segurança
Limpar WordPress após ataque de forma segura leva, em média, de duas a quatro horas em um site comum, e a ordem dos sete passos não é negociável: isolar antes de investigar, fazer backup forense antes de apagar, trocar credenciais antes de escanear. Pular uma etapa costuma custar uma segunda limpeza. Os passos abaixo formam um único procedimento; siga-os de cima para baixo, sem atalhos, usando os utilitários nomeados em cada um.
Passo 1: Isole o site e tire um backup forense
Coloque o site em modo de manutenção ou bloqueie o acesso público antes de tocar em qualquer arquivo. Em seguida, baixe uma cópia completa de arquivos e banco de dados com o UpdraftPlus ou pelo painel da hospedagem. Esse backup do WordPress não serve para restaurar, e sim como prova forense: você vai comparar o estado infectado com o limpo. Se precisar de uma cópia anterior ao ataque, veja como restaurar o WordPress a partir do backup com segurança.
Passo 2: Reinstale o Core do WordPress limpo
Baixe a versão atual em WordPress.org e substitua as pastas wp-admin e wp-includes, além dos arquivos da raiz, por versões oficiais. Reinstalar o core por cima sobrescreve arquivos adulterados, mas atenção à causa e efeito: core reinstalado sem apagar arquivos órfãos é igual a shell PHP sobrevivente em pasta que não pertence a uma instalação limpa. Compare a lista de arquivos do seu site com a do pacote oficial e remova tudo que não existe no original.
Passo 3: Caçe backdoors e arquivos modificados
Procure arquivos .php em locais onde nunca deveriam existir, como wp-content/uploads, e código ofuscado com funções eval, base64_decode ou gzinflate. O Wordfence faz essa varredura comparando hashes; o Sucuri SiteCheck escaneia de fora. Para um roteiro detalhado de detecção e remoção, consulte o guia da FULL sobre como remover malware do WordPress sem perder posicionamento.
Passo 4: Remova usuários suspeitos e revise funções
Acesse Usuários no painel e apague qualquer administrador que você não reconheça, principalmente os criados na janela do ataque. Reduza a função (role) de contas duvidosas e force a saída de todas as sessões ativas. Um malware no WordPress costuma deixar um administrador-fantasma justamente para garantir o retorno mesmo depois da limpeza dos arquivos.
Passo 5: Troque senhas e gere novos salts no wp-config.php
Redefina a senha de todos os administradores, do banco de dados e do FTP ou SFTP. Em seguida, gere novas chaves de segurança no wp-config.php usando o gerador oficial do WordPress.org. A lógica é direta: senha de administrador reaproveitada somada à ausência de troca de salts é igual a sessão do atacante ativa mesmo após a limpeza dos arquivos. Trocar salts invalida todos os cookies de login existentes de uma vez.
Passo 6: Atualize plugins, temas e remova o que não usa
Atualize WordPress, plugins e temas para as versões mais recentes, já que mais de 96% das vulnerabilidades de 2024 vieram de plugins. Apague temas e plugins inativos: código que não roda ainda pode ser explorado. Um firewall do WordPress como o do All in One Security reduz a superfície de ataque enquanto você fecha as brechas que deixaram o invasor entrar.
Passo 7: Escaneie o site limpo e monitore
Rode uma varredura final com Wordfence ou WPScan e confirme que nenhum arquivo malicioso restou. Cheque o Google Search Console por avisos de site comprometido e peça revisão se houver. Esse scan final fecha o ciclo: se ele passar limpo e o monitoramento ficar silencioso por alguns dias, a limpeza funcionou. Entenda também por que o malware volta mesmo após ser removido para não baixar a guarda cedo demais.
Quais ferramentas usar para limpar WordPress após ataque
Limpar WordPress após ataque depende de pelo menos quatro categorias de ferramenta, e cada uma resolve uma frente diferente do incidente. Scanner de integridade compara seus arquivos com os oficiais; varredura remota olha o site de fora; gerador de salts invalida sessões; e o console de busca confirma a reputação. Misturar bem essas quatro reduz o tempo de resposta e a chance de deixar uma backdoor para trás.
O Wordfence atua no nível do site, comparando hashes do core e dos plugins contra a base oficial. O Sucuri SiteCheck e o Google Safe Browsing varrem de fora, sem instalação, e flagram redirecionamentos maliciosos. O WPScan cruza suas versões com a base pública de vulnerabilidades. E o All in One Security, incluído nos planos da FULL, faz o hardening que evita a próxima invasão. Cada ferramenta compete por uma dimensão: Wordfence por base de assinaturas, All in One Security por hardening no painel, Sucuri SiteCheck por varredura remota sem instalação.
Limpeza pronta? Garanta o WordPress com a plataforma da FULL
Depois de limpar WordPress após ataque, manter o site seguro custa bem menos do que uma nova limpeza de emergência. O plano PRO da FULL sai por R$849 e inclui os 17 plugins premium que a gente usa nessa resposta a incidente, do firewall ao backup agendado, com atualização e ativação em um clique.
Entre esses plugins estão o All in One Security para hardening e firewall, o WP-Optimize para faxina no banco de dados e o UpdraftPlus para backups automáticos antes e depois da limpeza. Diluído nos 10 sites que o plano cobre, dá R$85 por site, valor menor que o de uma única remoção manual de malware contratada avulsa. No suporte da FULL, a gente vê que quem centraliza segurança e backup numa só plataforma reinfecta bem menos. Conheça os planos da FULL e ative a camada de proteção que faltava depois da limpeza.
Erros que reabrem o WordPress logo após a limpeza
Limpar WordPress após ataque falha em três erros recorrentes, e todos custam uma segunda rodada de limpeza poucos dias depois. O primeiro é apagar só o arquivo apontado pelo scanner e ignorar a backdoor em outra pasta. O segundo é esquecer de trocar os salts, deixando a sessão do invasor viva. O terceiro é restaurar um backup que já estava infectado, reintroduzindo o problema do zero.
Há um detalhe que só aparece em operação real. Em hospedagem compartilhada com vários sites na mesma conta cPanel, limpar apenas o WordPress atacado não basta: o invasor deixa uma shell PHP fora da pasta public_html, e a reinfecção chega por cross-site no mesmo usuário do servidor. A varredura precisa cobrir todas as pastas da conta. Se o ataque veio por força bruta no login, veja como evitar ataques de força bruta no login do WordPress.
Legenda: o scanner de integridade compara os hashes do seu site com os oficiais e revela arquivos adulterados que o olho humano não pega.
Perguntas frequentes sobre limpar WordPress após ataque
Por que o malware volta no WordPress mesmo após a limpeza dos arquivos?
O malware volta porque a backdoor de reinfecção sobreviveu à limpeza. Em boa parte dos casos, uma shell PHP escondida em wp-content/uploads, somada a uma tarefa agendada no wp-cron, reescreve o código limpo em horas. Apagar o arquivo apontado pelo scanner remove o sintoma, não o mecanismo de retorno. Por isso a varredura precisa cobrir todas as pastas e o agendamento, não só o arquivo visível.
É possível limpar o WordPress após ataque sem apagar o site inteiro?
Sim, é possível e é o caminho recomendado. Você reinstala o core limpo por cima, remove apenas os arquivos maliciosos e os usuários suspeitos, e troca senhas e salts, preservando conteúdo e configurações legítimas. Apagar o site inteiro só faz sentido se não houver backup confiável anterior ao ataque. Na maioria das limpezas, a remoção cirúrgica com scan final do Wordfence resolve sem zerar o site.
Qual a ordem certa para limpar o WordPress após um ataque?
A ordem certa é: isolar o site, tirar um backup forense, reinstalar o core, caçar backdoors, remover usuários suspeitos, trocar senhas e salts no wp-config.php e, por último, escanear o site limpo. Trocar credenciais antes do scan final evita que o atacante volte durante a limpeza. São sete passos encadeados; inverter a ordem costuma reabrir uma brecha já fechada e forçar uma segunda rodada.
Quanto tempo leva para limpar o WordPress após ataque por completo?
Em um site comum, limpar WordPress após ataque leva de duas a quatro horas, do isolamento ao scan final. Sites com WooCommerce, muitos plugins ou várias instalações na mesma conta de hospedagem podem levar um dia inteiro. O tempo cresce quando há reinfecção cross-site, porque a varredura precisa cobrir toda a conta cPanel. Contar com a base de CVEs de uma CNA acelera a identificação do vetor.
O que são salts no wp-config.php e por que trocá-los após o ataque?
Salts são chaves de segurança no wp-config.php que cifram os cookies de login do WordPress. Ao gerar novos salts pelo gerador oficial do WordPress.org, você invalida de uma vez todas as sessões ativas, inclusive a do invasor. Por isso a troca é obrigatória na resposta ao incidente: sem ela, mesmo com arquivos limpos e senha nova, uma sessão sequestrada continua autenticada e o atacante mantém o acesso.
Próximos passos para blindar o WordPress depois da limpeza
Limpar WordPress após ataque resolve o presente, mas é o hardening que evita o próximo incidente. Com o site limpo e os salts trocados, ative um firewall, force senhas fortes, limite tentativas de login e configure backups automáticos diários. Se quiser auditar tudo o que ficou, comece por o que fazer imediatamente quando o site WordPress é invadido e use um plugin de segurança WordPress que centralize firewall, scan e 2FA.
Escaneie o site gratuitamente com o FULL Scan para confirmar que nada ficou para trás e consulte o repositório de vulnerabilidades da FULL para saber se algum plugin que você usa está exposto. Para se aprofundar em resposta a incidente e prevenção, o guia de segurança para WordPress reúne os passos de proteção em um só lugar. Manter a guarda alta por alguns dias após a limpeza é o que separa um susto de uma reinfecção.
















