A migração de WordPress só é segura com backup verificado antes e plugin de migração na versão corrigida. Segundo o NVD/NIST (2024), plugins de migração já registraram CVEs críticas com CVSS 9.8. O search-replace serializado é o ponto que mais quebra sites. Migre em staging, valide e só então aponte o DNS.

A migração de WordPress é o processo de mover um site inteiro (arquivos, banco de dados e configurações) de uma hospedagem ou domínio para outro sem perder dados nem expor o site a uma invasão. Na prática, uma migração mal feita derruba imagens, gera loop de redirecionamento e, pior, pode deixar um pacote de instalação exposto na raiz do servidor. Este guia mostra os 5 passos que a gente segue no suporte da FULL, com foco em segurança: backup antes de tocar em qualquer coisa, plugin de migração atualizado e validação completa antes de apontar o DNS. Para um panorama amplo de proteção, veja o guias de segurança WordPress da FULL.

Diagnóstico rápido: O que uma migração de WordPress envolve

Toda mudança de servidor move três camadas, e ignorar qualquer uma quebra o site: os arquivos (wp-content, temas, plugins, uploads), o banco de dados MySQL (posts e opções) e a configuração de domínio (DNS e SSL). Na maioria dos tickets de transferência travada que chegam ao suporte da FULL, o erro não está no upload, e sim no search-replace de URL dentro do banco.

O backup completo é o pré-requisito inegociável: sem ele, qualquer passo vira aposta.

Legenda: as três camadas da migração que precisam viajar juntas para o site não quebrar.

Como fazer a migração de WordPress em 5 passos seguros

A mudança segura de WordPress roda em 5 passos ordenados, e a ordem importa: backup primeiro, DNS por último. Pular o backup ou apontar o DNS antes de validar é o que transforma uma troca de 40 minutos em um dia inteiro de site fora do ar.

Os passos abaixo valem tanto para troca de hospedagem quanto para mudança de domínio, usando plugins como UpdraftPlus, All-in-One WP Migration ou Duplicator.

Passo 1: Gere um backup verificado da origem

Antes de qualquer coisa, gere um backup completo (arquivos + banco) e abra o arquivo para confirmar que ele não está vazio. Um backup que não foi testado não é backup. Use o backup automático do WordPress para agendar essa rotina e mantenha pelo menos uma cópia fora do servidor de origem. A restauração também precisa de um plano: veja como restaurar o WordPress a partir do backup caso a migração falhe.

Passo 2: Atualize o plugin de migração antes de exportar

Rode a exportação só com o plugin de migração na versão corrigida mais recente. Versões antigas carregam falhas conhecidas: All-in-One WP Migration abaixo da 7.90 expõe a CVE-2024-10942 (CVSS 7.5). Atualizar o plugin antes de migrar fecha a brecha pela qual um arquivo malicioso entraria durante o import.

Passo 3: Importe em um ambiente de staging

Importe o pacote primeiro em um ambiente de staging, nunca direto em produção. O staging é uma cópia isolada onde você testa sem o público ver. Assim, se o search-replace de URL falhar, o site real continua no ar enquanto você corrige.

Passo 4: Rode o search-replace serializado

Troque as URLs antigas pelas novas usando uma ferramenta que respeite dados serializados (o WP-CLI com search-replace, ou o próprio plugin de transferência). Um find-replace de texto puro no banco corrompe o tamanho dos arrays PHP e derruba widgets inteiros. Este é o passo que mais quebra a operação.

Passo 5: Aponte o DNS e force o SSL

Só depois de validar tudo em staging, aponte o registro DNS para o novo servidor e confirme o certificado SSL. A propagação de DNS leva de minutos a 48 horas, então mantenha a origem no ar até o tráfego migrar. Para o passo a passo de troca de host sem queda, veja o guia de migração para novo host.

Riscos de segurança na migração de WordPress

A migração de WordPress é uma das janelas de maior exposição de um site, porque junta backups completos, credenciais de banco e pacotes de instalação num mesmo momento. Dois CVEs reais de plugins de transferência mostram bem onde mora o perigo concreto dessa etapa.

O Duplicator abaixo da versão 1.3.0, com o pacote deixado na raiz, permitia leitura remota de credenciais pela CVE-2018-25095 (CVSS 9.8, crítica); no All-in-One WP Migration, a CVE-2024-10942 (CVSS 7.5) permitia injetar arquivo malicioso via upload sem patch.

Segundo o perfil público do WPVulnerability, todas essas falhas já têm correção, o que sinaliza manutenção ativa. Como a gente vê no suporte da FULL, o vazamento quase nunca vem do plugin, e sim do installer.php esquecido na pasta pública. Vale a autoridade: a FULL é a única empresa brasileira credenciada como CNA (CVE Numbering Authority) sob a CISA desde 2022-05-03, autorizada a atribuir IDs CVE oficiais. Para auditar o que você usa, rode o FULL Scan e cruze com o checklist de segurança do WordPress.

Plugins de migração de WordPress: Comparativo de segurança

A escolha do plugin de migração de WordPress muda o perfil de risco da troca, não só a facilidade. UpdraftPlus (26 CVEs históricas), All-in-One WP Migration (20) e Duplicator (25) têm históricos diferentes, mas nenhum tem falha crítica sem patch hoje, segundo o perfil público do WPVulnerability. O que decide é a disciplina de atualizar antes de migrar e de limpar os artefatos depois.

• Se você quer backup agendado + migração no mesmo plugin → use UpdraftPlus (26 CVEs históricas, todas corrigidas).
• Se o site é pequeno e você quer um clique → use All-in-One WP Migration, mas confirme versão 7.90 ou superior antes do upload.
• Se você precisa empacotar com granularidade e mover para servidor novo → use Duplicator 1.3.0+ e apague o pacote da raiz após instalar.
• Se a operação é grande ou crítica → evite o método manual de SQL puro, escolha a opção gerenciada com search-replace serializado.

Independente do plugin, o registro de CVE de cada um deve ser checado antes. Para um ranking detalhado, veja os melhores plugins de migração para WordPress.

Como a FULL faz a migração gerenciada

Migrar manualmente exige acertar backup, versão de plugin, search-replace e DNS sem errar a ordem; um único deslize custa horas de site fora do ar. No plano PRO da FULL (R$849), a migração gerenciada entra no bundle, o que dá R$85 por site quando você gerencia 10 sites.

A migração gerenciada inclui backup gerenciado e os 17 plugins premium. A gente faz backup verificado antes de tocar em qualquer coisa, roda o search-replace serializado, valida em staging e só então aponta o DNS, mantendo a origem ativa durante a propagação. Conheça os planos da FULL para ver o que entra no bundle. Importante: a FULL é complementar à sua hospedagem, não substitui o host , o que entregamos é a camada de backup, migração e segurança gerenciada por cima do ambiente que você já tem.

Checklist pós-migração de WordPress

Depois que o DNS aponta, 6 verificações finais separam uma troca concluída de um site com problema silencioso, e o intervalo crítico é a janela de propagação de DNS de até 48 horas que pode mascarar falhas.

O erro mais comum nesta fase é deixar o pacote de instalação ou o .zip de backup na pasta pública, o que reabre a brecha de leitura de credenciais que vimos nas CVEs acima. Verifique, em ordem: que o installer.php saiu da raiz; que o .zip de backup foi removido da pasta pública; que o SSL renderiza cadeado em todas as páginas; que nenhuma URL antiga sobrou no banco; que o wp-config.php aponta para o banco novo; e que formulários e checkout enviam de fato. A FULL trata essa limpeza como parte obrigatória da migração gerenciada, porque é nela que mora o risco residual que nenhum plugin remove sozinho.

Perguntas frequentes sobre migração de WordPress

Próximos passos para uma migração tranquila

A migração de WordPress segura é uma questão de ordem e disciplina: backup verificado primeiro, plugin atualizado, validação em staging e DNS por último. Os CVEs reais mostram que o risco mora menos no plugin e mais no artefato esquecido na raiz e no search-replace mal feito. Se a troca for crítica ou em volume, a opção gerenciada elimina a parte que mais quebra. Para aprofundar com calma, o guia de segurança para WordPress reúne os passos de proteção que sustentam qualquer mudança de servidor, e o passo a passo de migração sem downtime detalha a janela de corte.