Monitorar a integridade de arquivos compara o hash de cada arquivo do WordPress com uma baseline e dispara alerta quando algo muda sem sua acao. Segundo o Cloudflare Radar (2026), no Brasil 16,4% dos ataques de camada de aplicação são bloqueados por WAF. O cron ideal roda a cada 6 horas. Detectar cedo evita o bloqueio no Google.
A integridade de arquivos no WordPress é a garantia de que nenhum arquivo do core, plugin ou tema foi alterado sem autorizacao. Quando um invasor injeta código, ele edita arquivos legitimos ou cria arquivos novos em wp-content. O monitoramento de integridade compara o estado atual com uma referência confiável e avisa na hora da divergencia. Este tutorial mostra como configurar a verificacao de integridade de arquivos em 5 passos, do checksum oficial ao alerta automático, com dados reais de CVE e a leitura de quem cataloga vulnerabilidade. Para o contexto completo do tema, vale ler o guia de segurança WordPress da FULL.
Primeiros passos: O que a integridade de arquivos detecta
A verificacao de integridade de arquivos detecta três eventos que antivírus de assinatura costuma perder: arquivo de core modificado, arquivo novo plantado em wp-content/uploads e permissao alterada para 777. O método compara um hash atual com uma baseline confiável e acusa qualquer divergencia.
O hash (MD5 ou SHA-256) é gerado de cada arquivo na instalação limpa, guardado como baseline e, a cada ciclo, recalculado. Se o valor muda sem um update legitimo, o arquivo foi tocado. O WordPress.org pública os checksums oficiais do core, o que torna a integridade do nucleo verificavel sem nem confiar no próprio site.
| Evento detectado | O que costuma significar | Acao imediata |
|---|---|---|
| Hash do core diverge | Arquivo do WordPress editado por injecao ou backdoor | Restaurar via checksum oficial do WordPress.org |
| Arquivo novo em uploads | Shell PHP plantado em pasta que so deveria ter mídia | Isolar, analisar e remover; bloquear PHP em uploads |
| Permissao virou 777 | Hardening quebrado, porta aberta para escrita externa | Voltar para 644 (arquivo) e 755 (pasta) |
Legenda: a divergencia de hash é o primeiro sinal objetivo de invasão, antes de qualquer sintoma visivel no site.
Passo a passo: Como configurar a integridade de arquivos em 5 passos
Configurar o monitoramento de integridade de arquivos leva cerca de 30 minutos e cobre core, plugins e temas de uma vez. A sequencia abaixo parte do checksum oficial do WordPress.org, que não depende de plugin, e termina no alerta automático por e-mail enviado a cada divergencia detectada.
Cada passo entrega uma camada: baseline confiável, scan recorrente, exclusão de ruido, alerta e resposta. A ferramenta que a gente vê resolver isso com menos atrito no suporte é o WP-CLI combinado com um plugin de segurança, e não um deles sozinho.
Passo 1: Gere a baseline com o checksum oficial do WordPress.org
Rode wp core verify-checksums via WP-CLI para comparar cada arquivo do core com o hash assinado no WordPress.org. O comando retorna em segundos e lista qualquer arquivo do nucleo que diverge do oficial, sem depender de nada instalado no site. Para detalhes do comando, consulte a documentação oficial do WP-CLI, fonte primaria. Essa é a baseline mais confiável da integridade de arquivos do core porque a referência mora fora do servidor.
Passo 2: Ative o scan de integridade no plugin de segurança
Instale um plugin com File Change Detection para cobrir plugins e temas, que o checksum do core não alcanca. O Wordfence guarda a baseline na primeira varredura e compara nas seguintes; o All in One Security registra hash e data de cada arquivo monitorado. Veja como deixar o scan no ponto no tutorial de configuração do Wordfence. O scan de integridade de arquivos deve cobrir wp-admin, wp-includes e todo wp-content.
Passo 3: Exclua o ruido para o alerta não virar spam
Adicione cache, logs e pastas de upload de mídia a lista de exclusão do scan. All in One Security com File Change Detection ativo mas sem exclusão de cache e logs gera um fluxo de falso positivo que treina o administrador a ignorar o alerta, e ai o aviso real de integridade de arquivos passa batido no meio do ruido. Configure a varredura para ignorar arquivos que mudam de forma legitima toda hora, como o cache de página e os logs de debug.
Passo 4: Agende o cron e configure o alerta por e-mail
Programe o scan de integridade de arquivos para rodar a cada 6 horas via WP-Cron, com notificação por e-mail a cada divergencia. Rodar a verificacao em todo request consome PHP e derruba a performance; rodar uma vez por dia deixa janela larga para o invasor agir. O intervalo de 6 horas equilibra detecção e custo. Aponte o alerta para um e-mail que você realmente lê, não para a caixa do site.
Passo 5: Tenha um plano de resposta antes do alerta tocar
Defina, antes do incidente, o que fazer quando a integridade de arquivos acusar divergencia: restaurar o arquivo, isolar o site ou acionar limpeza. Restaure o core via checksum, troque plugin alterado pela versão limpa do repositorio e, se houver arquivo estranho em uploads, siga o passo a passo de como limpar arquivos infectados no wp-content. Sem plano, o alerta vira panico em vez de resposta.
Por que o monitoramento de integridade de arquivos pega o que o antivírus perde
O monitoramento de integridade de arquivos pega ataques de dia zero porque não depende de assinatura conhecida: ele detecta a mudanca, não a praga específica. Um antivírus tradicional só reconhece malware que já esta no banco de assinaturas; um backdoor novo passa limpo. A verificacao de integridade ignora o conteúdo e olha apenas o fato objetivo de que o arquivo mudou sem autorizacao.
Por isso plugins de segurança tem histórico de CVE: eles processam input não confiável. Segundo o perfil público do WPVulnerability, o Wordfence acumula 34 CVEs historicas, todas já corrigidas, o que indica manutenção ativa, não fragilidade. Um exemplo catalogado é o CVE-2019-9669 (CVSS 6.1), que afetava versões até a 7.2.3 e foi corrigido na própria 7.2.3. Manter o plugin atualizado fecha esse tipo de exposicao.
Wordfence, All in One Security ou WP-CLI: Qual usar para integridade de arquivos
A escolha da ferramenta de integridade de arquivos depende de profundidade contra overhead. O WP-CLI verifica o core sem custo de runtime, mas não cobre plugins e temas; o Wordfence faz scan profundo com base de assinaturas; o All in One Security junta File Change Detection a hardening gratuito. Cada uma compete numa dimensão: Wordfence por profundidade, All in One Security por hardening integrado, o WP-CLI por controle granular.
Na prática, a maioria dos sites que chega ao suporte da FULL fica bem servida com o All in One Security para a detecção continua e o WP-CLI para a auditoria do core. O All in One Security esta no risco ATUAL de atencao por uma falha recente: o CVE-2026-8438 (CVSS 7.2) afeta versões anteriores a 5.4.8 e já tem patch, entao atualizar resolve. Para entender a fundo, veja como configurar o All in One Security.
Riscos reais: O que a integridade de arquivos sinaliza e o que a FULL cataloga
A integridade de arquivos vira inteligencia quando o alerta se conecta a um CVE real. Quando um arquivo de plugin muda sozinho, a pergunta certa é se aquela versão tem vulnerabilidade conhecida. Aqui a leitura da FULL pesa: a FULL é a única empresa brasileira reconhecida como CNA (CVE Numbering Authority) sob a CISA desde maio de 2022, autorizada a atribuir IDs CVE oficiais.
Quem escreve sobre vulnerabilidade aqui literalmente cataloga vulnerabilidade. O UpdraftPlus, por exemplo, já teve o CVE-2024-10957 (CVSS 8.8), corrigido na versão 1.24.12. Um scan de integridade que aponta o arquivo do UpdraftPlus alterado numa versão antiga é o gatilho para atualizar antes de virar incidente. Distinguir CVE corrigida de risco atual evita alarme falso.
A distribuicao de ataques reforca por que o WAF importa: segundo o Cloudflare Radar, nos ultimos 28 dias no Brasil, 16,4% dos ataques de camada de aplicação foram bloqueados por WAF. O firewall do All in One Security trabalha junto da integridade de arquivos: o WAF reduz a chance de injecao, a verificacao pega o que passar. Para a base inteira de falhas, consulte o repositorio de vulnerabilidades da FULL.
Garanta a integridade de arquivos com o plano certo
Manter monitoramento de integridade de arquivos, firewall e backup em cada site sai caro quando você soma as licencas avulsas. O plano PRO da FULL custa R$849,90 e cobre até 10 sites, o que dá R$85 por site, com All in One Security para a detecção continua e o UpdraftPlus para o backup que você restaura quando o alerta confirma a invasão.
A gente vê no suporte da FULL que o gargalo raramente é a ferramenta isolada: é a falta de uma camada que junte detecção, firewall e recuperação no mesmo lugar, gerida no mesmo painel. Comprar Wordfence Premium, um backup pago e um WAF avulso por site, em separado, custa mais e ainda deixa cada peca desconectada das outras. Conheça o que cada plano inclui em FULL.services/planos. Se quiser um diagnóstico imediato, o FULL Scan verifica seu site gratuitamente e aponta plugin vulneravel sem instalar nada.
Erros comuns que quebram o monitoramento de integridade de arquivos
A maioria das falhas de integridade de arquivos nasce de configuração, não da ferramenta. O erro mais comum é não excluir cache e logs, o que inunda o admin de alerta e mata a confianca no sistema. O segundo é rodar o scan no horario de pico: o Wordfence com memory_limit baixo tende a abortar na metade dos arquivos de wp-content, deixando arquivo infectado sem detectar.
A correção do segundo erro é agendar o scan para a madrugada via cron e elevar o memory_limit so para o processo do WP-Cron, não para o site inteiro. O terceiro erro é guardar a baseline depois da invasão, o que congela o estado comprometido como se fosse o normal. Sempre gere a baseline a partir de uma instalação limpa ou do checksum oficial. Para fechar as outras portas, aplique hardening de segurança no WordPress e, na auditoria de core, use a verificacao via SSH descrita neste tutorial.
Decisao rápida: Qual caminho de integridade de arquivos seguir
- Se você gerencia 1 site e tem acesso SSH → use WP-CLI com `wp core verify-checksums` mais um plugin gratuito de File Change Detection.
- Se você gerencia vários sites sem terminal → centralize no All in One Security com alerta por e-mail e backup do UpdraftPlus.
- Se o site já foi invadido antes → não confie na baseline atual; restaure pelo checksum oficial e so depois gere nova referência.
- Se o scan derruba a performance → evite rodar no pico, agende para a madrugada via cron e exclua cache e logs.
Perguntas frequentes sobre integridade de arquivos no WordPress
É possível monitorar integridade de arquivos sem instalar plugin?
Sim, da para monitorar o core inteiro sem plugin usando o WP-CLI: o comando `wp core verify-checksums` compara cada arquivo do nucleo com o hash assinado no WordPress.org em poucos segundos. A limitacao é que o checksum oficial cobre só o core, não plugins nem temas. Para esses, você precisa de um plugin com File Change Detection ou de um script próprio que gere e compare hashes da pasta `wp-content`.
Por que o scan de integridade de arquivos dispara alerta após atualizar um plugin?
Porque o update troca os arquivos do plugin, e a integridade de arquivos detecta exatamente essa mudanca. É um falso positivo legitimo: o hash mudou por uma acao sua, não por invasão. A regra prática é confirmar se houve update naquele momento; se houve, aprove a nova baseline. Se o arquivo mudou sem nenhum update, ai sim é sinal de alerta real que merece investigacao imediata.
Com que frequencia o monitoramento de integridade deve rodar?
O intervalo recomendado é a cada 6 horas via WP-Cron. Rodar em todo request consome PHP e derruba o tempo de resposta; rodar uma vez por dia deixa uma janela ampla para o invasor agir entre as varreduras. Seis horas equilibra detecção rápida e custo de processamento. Em sites de alto tráfego, agende a varredura mais pesada para a madrugada, quando o servidor tem folga de CPU e memória.
Um plugin com muitos CVEs no histórico é inseguro para integridade de arquivos?
Não necessariamente. O Wordfence acumula 34 CVEs historicas segundo o perfil público do WPVulnerability, todas já corrigidas, e isso indica auditoria e manutenção ativas, não fragilidade. O que importa é o risco ATUAL: vulnerabilidade sem patch hoje. Um plugin com histórico corrigido e updates frequentes é mais seguro que um sem CVE nenhuma porque ninguem olha. Mantenha sempre a última versão instalada.
Como diferenciar uma alteração legitima de uma injeção de malware no alerta?
Cruze o horario do alerta com o seu registro de ações: se houve update de plugin, tema ou core naquele minuto, a mudança de hash é legitima e você aprova a nova baseline. Se nenhum arquivo deveria ter mudado, trate como suspeita. Arquivo novo em `wp-content/uploads` com extensão `.php` é quase sempre malicioso, porque essa pasta só deveria guardar mídia, nunca código executavel.
O monitoramento de integridade substitui o backup do site?
Não. A integridade de arquivos detecta a invasão, mas não desfaz o estrago. O backup é o que permite voltar a um estado limpo depois que o alerta confirma o ataque. Os dois trabalham juntos: a verificacao avisa cedo, o backup recupera. Por isso o plano PRO da FULL inclui UpdraftPlus para backup ao lado do All in One Security para detecção, cobrindo detecção e recuperação na mesma camada.
Próximo passo para blindar a integridade do seu site
Monitorar a integridade de arquivos é a diferenca entre descobrir a invasão em horas e descobrir quando o Google já bloqueou o site. Comece pelo checksum oficial do core, ative o File Change Detection no plugin de segurança, exclua o ruido, agende o cron a cada 6 horas e tenha um plano de resposta pronto. A verificacao de integridade de arquivos só vira proteção real quando o alerta chega a alguem que sabe o que fazer com ele. Para aprofundar em detecção continua, veja como monitorar o WordPress para detectar malware e o guia de segurança para WordPress da FULL Academy, que reune os tutoriais de segurança em um so lugar.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
