| Evento detectado | O que costuma significar | Acao imediata |
|---|---|---|
| Hash do core diverge | Arquivo do WordPress editado por injecao ou backdoor | Restaurar via checksum oficial do WordPress.org |
| Arquivo novo em uploads | Shell PHP plantado em pasta que so deveria ter mídia | Isolar, analisar e remover; bloquear PHP em uploads |
| Permissao virou 777 | Hardening quebrado, porta aberta para escrita externa | Voltar para 644 (arquivo) e 755 (pasta) |
Legenda: a divergencia de hash é o primeiro sinal objetivo de invasão, antes de qualquer sintoma visivel no site.
--- ## Passo a passo: Como configurar a integridade de arquivos em 5 passos Configurar o monitoramento de integridade de arquivos leva cerca de 30 minutos e cobre core, plugins e temas de uma vez. A sequencia abaixo parte do checksum oficial do WordPress.org, que não depende de plugin, e termina no alerta automático por e-mail enviado a cada divergencia detectada. Cada passo entrega uma camada: baseline confiável, scan recorrente, exclusao de ruido, alerta e resposta. A ferramenta que a gente vê resolver isso com menos atrito no suporte é o WP-CLI combinado com um plugin de segurança, e não um deles sozinho. ### Passo 1: Gere a baseline com o checksum oficial do WordPress.org Rode `wp core verify-checksums` via WP-CLI para comparar cada arquivo do core com o hash assinado no WordPress.org. O comando retorna em segundos e lista qualquer arquivo do nucleo que diverge do oficial, sem depender de nada instalado no site. Para detalhes do comando, consulte a documentacao oficial do WP-CLI, fonte primaria. Essa é a baseline mais confiável da integridade de arquivos do core porque a referência mora fora do servidor. ### Passo 2: Ative o scan de integridade no plugin de segurança Instale um plugin com File Change Detection para cobrir plugins e temas, que o checksum do core não alcanca. O Wordfence guarda a baseline na primeira varredura e compara nas seguintes; o All in One Security registra hash e data de cada arquivo monitorado. Veja como deixar o scan no ponto no tutorial de configuração do Wordfence. O scan de integridade de arquivos deve cobrir `wp-admin`, `wp-includes` e todo `wp-content`. ### Passo 3: Exclua o ruido para o alerta não virar spam Adicione cache, logs e pastas de upload de mídia a lista de exclusao do scan. All in One Security com File Change Detection ativo mas sem exclusao de cache e logs gera um fluxo de falso positivo que treina o administrador a ignorar o alerta, e ai o aviso real de integridade de arquivos passa batido no meio do ruido. Configure a varredura para ignorar arquivos que mudam de forma legitima toda hora, como o cache de página e os logs de debug. ### Passo 4: Agende o cron e configure o alerta por e-mail Programe o scan de integridade de arquivos para rodar a cada 6 horas via WP-Cron, com notificacao por e-mail a cada divergencia. Rodar a verificacao em todo request consome PHP e derruba a performance; rodar uma vez por dia deixa janela larga para o invasor agir. O intervalo de 6 horas equilibra detecção e custo. Aponte o alerta para um e-mail que você realmente lê, não para a caixa do site. ### Passo 5: Tenha um plano de resposta antes do alerta tocar Defina, antes do incidente, o que fazer quando a integridade de arquivos acusar divergencia: restaurar o arquivo, isolar o site ou acionar limpeza. Restaure o core via checksum, troque plugin alterado pela versão limpa do repositorio e, se houver arquivo estranho em uploads, siga o passo a passo de como limpar arquivos infectados no wp-content. Sem plano, o alerta vira panico em vez de resposta. --- ## Por que o monitoramento de integridade de arquivos pega o que o antivirus perde O monitoramento de integridade de arquivos pega ataques de dia zero porque não depende de assinatura conhecida: ele detecta a mudanca, não a praga especifica. Um antivirus tradicional só reconhece malware que ja esta no banco de assinaturas; um backdoor novo passa limpo. A verificacao de integridade ignora o conteudo e olha apenas o fato objetivo de que o arquivo mudou sem autorizacao. Por isso plugins de segurança tem histórico de CVE: eles processam input não confiável. Segundo o perfil publico do WPVulnerability, o Wordfence acumula 34 CVEs historicas, todas ja corrigidas, o que indica manutenção ativa, não fragilidade. Um exemplo catalogado é o CVE-2019-9669 (CVSS 6.1), que afetava versões ate a 7.2.3 e foi corrigido na própria 7.2.3. Manter o plugin atualizado fecha esse tipo de exposicao. --- ## Wordfence, All in One Security ou WP-CLI: Qual usar para integridade de arquivos A escolha da ferramenta de integridade de arquivos depende de profundidade contra overhead. O WP-CLI verifica o core sem custo de runtime, mas não cobre plugins e temas; o Wordfence faz scan profundo com base de assinaturas; o All in One Security junta File Change Detection a hardening gratuito. Cada uma compete numa dimensao: Wordfence por profundidade, All in One Security por hardening integrado, o WP-CLI por controle granular. Na pratica, a maioria dos sites que chega ao suporte da FULL fica bem servida com o All in One Security para a detecção continua e o WP-CLI para a auditoria do core. O All in One Security esta no risco ATUAL de atencao por uma falha recente: o CVE-2026-8438 (CVSS 7.2) afeta versões anteriores a 5.4.8 e ja tem patch, entao atualizar resolve. Para entender a fundo, veja como configurar o All in One Security. --- ## Riscos reais: O que a integridade de arquivos sinaliza e o que a FULL cataloga A integridade de arquivos vira inteligencia quando o alerta se conecta a um CVE real. Quando um arquivo de plugin muda sozinho, a pergunta certa é se aquela versão tem vulnerabilidade conhecida. Aqui a leitura da FULL pesa: a FULL é a única empresa brasileira reconhecida como CNA (CVE Numbering Authority) sob a CISA desde maio de 2022, autorizada a atribuir IDs CVE oficiais. Quem escreve sobre vulnerabilidade aqui literalmente cataloga vulnerabilidade. O UpdraftPlus, por exemplo, ja teve o CVE-2024-10957 (CVSS 8.8), corrigido na versão 1.24.12. Um scan de integridade que aponta o arquivo do UpdraftPlus alterado numa versão antiga é o gatilho para atualizar antes de virar incidente. Distinguir CVE corrigida de risco atual evita alarme falso. A distribuicao de ataques reforca por que o WAF importa: segundo o Cloudflare Radar, nos ultimos 28 dias no Brasil, 16,4% dos ataques de camada de aplicação foram bloqueados por WAF. O firewall do All in One Security trabalha junto da integridade de arquivos: o WAF reduz a chance de injecao, a verificacao pega o que passar. Para a base inteira de falhas, consulte o repositorio de vulnerabilidades da FULL. --- ## Garanta a integridade de arquivos com o plano certo Manter monitoramento de integridade de arquivos, firewall e backup em cada site sai caro quando você soma as licencas avulsas. O plano PRO da FULL custa R$849,90 e cobre ate 10 sites, o que dá R$85 por site, com All in One Security para a detecção continua e o UpdraftPlus para o backup que você restaura quando o alerta confirma a invasão. A gente vê no suporte da FULL que o gargalo raramente é a ferramenta isolada: é a falta de uma camada que junte detecção, firewall e recuperacao no mesmo lugar, gerida no mesmo painel. Comprar Wordfence Premium, um backup pago e um WAF avulso por site, em separado, custa mais e ainda deixa cada peca desconectada das outras. Conheça o que cada plano inclui em FULL.services/planos. Se quiser um diagnóstico imediato, o FULL Scan verifica seu site gratuitamente e aponta plugin vulneravel sem instalar nada. --- ## Erros comuns que quebram o monitoramento de integridade de arquivos A maioria das falhas de integridade de arquivos nasce de configuração, não da ferramenta. O erro mais comum é não excluir cache e logs, o que inunda o admin de alerta e mata a confianca no sistema. O segundo é rodar o scan no horario de pico: o Wordfence com memory_limit baixo tende a abortar na metade dos arquivos de `wp-content`, deixando arquivo infectado sem detectar. A correcao do segundo erro é agendar o scan para a madrugada via cron e elevar o memory_limit so para o processo do WP-Cron, não para o site inteiro. O terceiro erro é guardar a baseline depois da invasão, o que congela o estado comprometido como se fosse o normal. Sempre gere a baseline a partir de uma instalação limpa ou do checksum oficial. Para fechar as outras portas, aplique hardening de segurança no WordPress e, na auditoria de core, use a verificacao via SSH descrita neste tutorial. --- ## Decisao rápida: Qual caminho de integridade de arquivos seguirSim, da para monitorar o core inteiro sem plugin usando o WP-CLI: o comando `wp core verify-checksums` compara cada arquivo do nucleo com o hash assinado no WordPress.org em poucos segundos. A limitacao é que o checksum oficial cobre só o core, não plugins nem temas. Para esses, você precisa de um plugin com File Change Detection ou de um script próprio que gere e compare hashes da pasta `wp-content`.
Porque o update troca os arquivos do plugin, e a integridade de arquivos detecta exatamente essa mudanca. É um falso positivo legitimo: o hash mudou por uma acao sua, não por invasão. A regra pratica é confirmar se houve update naquele momento; se houve, aprove a nova baseline. Se o arquivo mudou sem nenhum update, ai sim é sinal de alerta real que merece investigacao imediata.
O intervalo recomendado é a cada 6 horas via WP-Cron. Rodar em todo request consome PHP e derruba o tempo de resposta; rodar uma vez por dia deixa uma janela ampla para o invasor agir entre as varreduras. Seis horas equilibra detecção rápida e custo de processamento. Em sites de alto trafego, agende a varredura mais pesada para a madrugada, quando o servidor tem folga de CPU e memoria.
Nao necessariamente. O Wordfence acumula 34 CVEs historicas segundo o perfil publico do WPVulnerability, todas ja corrigidas, e isso indica auditoria e manutenção ativas, não fragilidade. O que importa é o risco ATUAL: vulnerabilidade sem patch hoje. Um plugin com histórico corrigido e updates frequentes é mais seguro que um sem CVE nenhuma porque ninguem olha. Mantenha sempre a última versão instalada.
Cruze o horario do alerta com o seu registro de ações: se houve update de plugin, tema ou core naquele minuto, a mudança de hash é legitima e você aprova a nova baseline. Se nenhum arquivo deveria ter mudado, trate como suspeita. Arquivo novo em `wp-content/uploads` com extensão `.php` é quase sempre malicioso, porque essa pasta só deveria guardar mídia, nunca código executavel.
Nao. A integridade de arquivos detecta a invasão, mas não desfaz o estrago. O backup é o que permite voltar a um estado limpo depois que o alerta confirma o ataque. Os dois trabalham juntos: a verificacao avisa cedo, o backup recupera. Por isso o plano PRO da FULL inclui UpdraftPlus para backup ao lado do All in One Security para detecção, cobrindo detecção e recuperacao na mesma camada.