Quando o antivírus bloqueia site WordPress, a causa é malware real injetado no código ou um falso positivo por assinatura cacheada. Segundo o Cloudflare Radar (2026), 82,4% dos ataques de aplicação no Brasil são mitigados como DDoS. O bloqueio persiste por até 72 horas após a limpeza por causa da blacklist local. Comece pelo diagnóstico da origem antes de reinstalar.

Quando o antivírus bloqueia site WordPress, ele responde a uma assinatura de ameaça que algum motor de reputação já catalogou para aquele domínio. O sintoma é uma tela vermelha ou um aviso de “site perigoso” antes mesmo de a página carregar. Na prática, isso acontece por dois motivos opostos: há código malicioso real injetado no site, ou existe um falso positivo gerado por uma assinatura antiga que ficou cacheada no navegador e no banco do antivírus. A diferença entre os dois muda completamente o que você precisa fazer. Este guia mostra como identificar a origem, limpar o código e liberar o acesso. Veja também os guias de segurança WordPress da FULL para o contexto completo do cluster.

Diagnóstico rápido: Por que o antivírus bloqueia site WordPress

O primeiro passo quando o antivírus bloqueia site WordPress é separar infecção real de falso positivo, e isso leva menos de 10 minutos com 3 verificações cruzadas. Rode o domínio no Google Safe Browsing, no VirusTotal e no scanner do site: se dois ou mais motores apontam ameaça, o código foi injetado de verdade.

Se apenas um motor aponta e os outros estão limpos, a chance de falso positivo por assinatura desatualizada é alta. A tabela abaixo cruza o sintoma com a causa raiz e a primeira ação, antes de você gastar horas limpando um site que talvez esteja saudável. O Cloudflare Radar ajuda a confirmar se o domínio aparece em algum incidente de rede recente.

Legenda: o aviso aparece para o visitante antes da página carregar, o que derruba o tráfego e a reputação do domínio.

A gente vê no suporte da FULL que boa parte dos chamados começa nesse cruzamento mal feito: o dono limpa o site achando infecção quando era falso positivo, ou ignora um aviso real de malware conhecido.

As 4 causas reais quando o antivírus bloqueia site WordPress

Existem 4 causas dominantes quando o antivírus bloqueia site WordPress, e cada uma tem um vetor técnico distinto. A mais comum é injeção de código malicioso em wp-content/uploads, seguida de redirecionamento de spam, certificado SSL inválido e, por último, o falso positivo puro. Confundir uma com a outra é o que faz a limpeza falhar.

A injeção de código é o caso clássico: um arquivo PHP estranho aparece em wp-content/uploads (pasta que nunca deveria executar PHP) com uma assinatura que o Google Safe Browsing já reconhece. O redirecionamento de spam costuma morar no header.php do tema ou no .htaccess e dispara o Web Shield do Avast no visitante. O SSL expirado gera o aviso do Windows Defender SmartScreen, que muita gente confunde com vírus. E o falso positivo acontece quando um plugin legítimo usa eval() ou base64 e a heurística marca como suspeita. Para diferenciar infecção de engano, o guia de como saber se o WordPress foi hackeado traz o checklist forense.

Passo a passo: Liberar o site quando o antivírus bloqueia o WordPress

Liberar o acesso quando o antivírus bloqueia site WordPress segue uma ordem fixa de 5 passos, do diagnóstico à revisão de blacklist, e pular etapas faz o bloqueio reaparecer. O erro mais comum é limpar o código e parar ali: a assinatura fica em cache por até 72 horas, então sem o pedido de revisão o site segue bloqueado mesmo limpo.

Passo 1: Confirme a infecção com 3 scanners independentes

Antes de mexer em qualquer arquivo, rode o domínio em 3 ferramentas independentes para confirmar se há ameaça real, porque limpar um site saudável só gera downtime sem motivo. Use o Google Safe Browsing (transparencyreport.google.com), o VirusTotal e o scanner do All in One Security. Se dois ou mais motores apontam a mesma URL maliciosa, a infecção é real. Se só um aponta e ele é o antivírus do seu visitante, trate como falso positivo e pule para o Passo 5.

Passo 2: Localize e isole o código malicioso

Quando o antivírus bloqueia site WordPress por código injetado, localize os arquivos modificados comparando as datas de alteração com a data do último deploy legítimo. Arquivos PHP em wp-content/uploads, funções eval() ofuscadas em base64 e blocos novos no início do wp-config.php ou do header.php são os esconderijos mais frequentes. Um scanner como o Wordfence ou o All in One Security marca cada arquivo alterado; isole os suspeitos em quarentena antes de apagar, para não derrubar um plugin legítimo por engano.

Passo 3: Remova a injeção e restaure o núcleo

Apague o código injetado e substitua os arquivos do núcleo do WordPress por cópias limpas baixadas direto do WordPress.org. Reinstalar o core sobrescreve qualquer alteração maliciosa nos arquivos originais sem tocar no seu conteúdo. Para o tema e os plugins, reinstale as versões oficiais; nunca confie em editar manualmente, porque uma única linha esquecida reativa toda a infecção. O guia para eliminar malware persistente detalha como caçar backdoors que sobrevivem à primeira limpeza.

Passo 4: Troque senhas e feche a porta de entrada

Depois de limpar, troque todas as senhas (admin, FTP, banco de dados e painel de hospedagem) e atualize os salts do wp-config.php, senão o invasor reentra pela mesma fresta. Ative um firewall de aplicação para barrar novas tentativas e force HTTPS em todo o site. Sem fechar a porta, a reinfecção volta em dias e o antivírus bloqueia site WordPress de novo, agora com a sua reputação ainda mais marcada.

Passo 5: Peça revisão e limpe a blacklist

O passo final é avisar os motores de reputação de que o site está limpo, porque o antivírus bloqueia site WordPress até receber o pedido de revisão. Peça revisão no Google Search Console (Problemas de Segurança), reporte o falso positivo ao Avast e ao Kaspersky pelos formulários oficiais e aguarde de 24 a 72 horas. O guia para corrigir alertas de segurança no Google mostra o caminho exato de cada formulário.

Falso positivo: Quando o antivírus bloqueia site WordPress sem infecção

Boa parte dos bloqueios que chegam ao suporte não é infecção, mas falso positivo do antivírus sobre código legítimo, e tratar isso como hack custa horas de retrabalho. Quando o antivírus bloqueia site WordPress por engano, o VirusTotal mostra o domínio limpo em quase todos os 70 motores, com só um ou dois marcando suspeita.

A heurística do Avast Web Shield e do Kaspersky marca padrões como eval(), base64_decode() e iframes de terceiros mesmo quando um plugin sério os usa de forma normal. Nesses casos, o antivírus bloqueia site WordPress sadio, e a correção não é limpar nada, e sim reportar. Cada fornecedor tem um formulário de “site incorretamente bloqueado”: o Avast usa o avast.com/false-positive, o Kaspersky tem o OpenTip, e o Google Safe Browsing aceita o pedido pelo Search Console. A liberação costuma sair em até 48 horas. Antes de reportar, confirme que o aviso não vem de certificado SSL expirado, que gera um alerta parecido mas exige só a renovação do certificado, não um pedido de revisão.

Por que o site continua bloqueado depois da limpeza

O motivo de o site continuar bloqueado mesmo limpo é o cache de blacklist, que sobrevive de 24 a 72 horas depois de a ameaça sumir. Quando o antivírus bloqueia site WordPress, ele guarda a assinatura do domínio localmente; a limpeza remove o malware, mas não apaga essa marca cacheada na mesma hora.

Por isso o site pode estar 100% saudável e ainda assim aparecer bloqueado no navegador do visitante por mais um ou dois dias. Há uma camada extra que quase ninguém percebe: o cache é local por máquina. Se só o seu computador bloqueia o site e os de colegas não, a blacklist está cacheada no seu antivírus e no seu DNS, não no domínio. Limpar o cache do antivírus, rodar ipconfig /flushdns no Windows e testar em uma rede diferente confirma se o bloqueio ainda é real ou um fantasma local. Sem entender isso, muita gente reinfecta o site tentando “consertar” algo que já estava resolvido, como mostra o guia para evitar blacklist do Google.

O risco real: O que os dados de CVE mostram sobre plugins de segurança

Quando o antivírus bloqueia site WordPress por infecção real, a escolha do plugin de segurança importa, e o histórico de CVE conta uma história que o marketing esconde. Segundo o perfil público do WPVulnerability, o All in One Security acumula 44 vulnerabilidades catalogadas ao longo dos anos, sendo 3 críticas, mas todas já corrigidas. Muitos CVEs com patch aplicado não é fragilidade, e sim auditoria ativa.

Vale olhar 2 CVEs reais. O CVE-2016-10887, com CVSS 9.8 (crítico), permitia leitura arbitrária de arquivos em versões anteriores à 4.0.9. Já o CVE-2026-8438, com CVSS 7.2 (alto), afeta versões abaixo da 5.4.8 e tem patch na 5.4.8. A FULL é a única empresa brasileira CNA (CVE Numbering Authority) sob a CISA desde maio de 2022, então aqui quem escreve sobre vulnerabilidade literalmente cataloga CVE. Mantenha o plugin na última versão: a falha conhecida só é risco enquanto o patch não é aplicado.

Ative o plano certo para o antivírus parar de bloquear o WordPress

Evitar a recorrência, em que o antivírus bloqueia site WordPress mês após mês, exige firewall ativo, atualização constante e varredura contínua, e fazer isso plugin a plugin sai caro e desorganizado. No plano PRO da FULL, por R$849, você ativa o All in One Security com firewall de aplicação, mais o conjunto de plugins premium em todos os seus sites de uma vez.

Diluído na carteira, isso dá R$85 por site, contra a licença avulsa de cada ferramenta de segurança comprada separada, que costuma custar bem mais por instalação. A gente vê no suporte da FULL que o site que reincide no bloqueio quase sempre é o que rodava sem firewall e sem atualização automática, exposto a cada nova assinatura de ameaça. Compare os planos em FULL.services/planos e padronize a segurança de toda a carteira em poucos cliques, sem comprar licença por licença.

Como prevenir que o antivírus bloqueie o site WordPress de novo

Prevenir é mais barato do que remediar quando o antivírus bloqueia site WordPress, e 4 hábitos resolvem a maioria dos casos. Mantenha núcleo, tema e plugins sempre atualizados, porque cada CVE com patch vira porta aberta quando você atrasa a atualização. Ative um firewall de aplicação, force HTTPS com certificado válido e faça backup diário fora do servidor.

O Cloudflare Radar mostra que, na janela de 2026-06-09, 82,4% dos ataques de camada de aplicação no Brasil foram mitigados como DDoS e 16,4% pelo WAF, o que justifica ter um firewall na frente do site, não só um scanner reativo. Configurar bem a varredura agendada e os alertas do plugin de segurança fecha o ciclo. Para aprofundar cada hábito, o guia de segurança para WordPress da FULL reúne os tutoriais em sequência, e você pode escanear o site agora com o FULL Scan sem instalar nada.

Perguntas frequentes sobre o antivírus que bloqueia o WordPress

Próximos passos para manter o site fora da blacklist

Quando o antivírus bloqueia site WordPress, o caminho é sempre o mesmo: diagnosticar a origem com 3 scanners, separar infecção real de falso positivo, limpar o código quando houver malware e pedir revisão para apagar a marca cacheada. O detalhe que faz a diferença é entender que a limpeza e a liberação são etapas separadas, com até 72 horas entre uma e outra. Tratar o falso positivo como hack, ou o hack como engano, é o que transforma um problema de 1 hora em uma semana de prejuízo.

A prevenção pesa mais que a remediação: com firewall ativo, atualização constante, HTTPS e backup diário, o antivírus bloqueia site WordPress cada vez menos, porque a porta de entrada fica fechada. Para continuar aprendendo, o FULL Academy reúne os tutoriais, guias e reviews de segurança em um só lugar, e o FULL Scan mostra em segundos se algum plugin do seu site está vulnerável agora.