# Phishing no WordPress: Os 3 tipos e como bloquear

<strong>Phishing no WordPress</strong> raramente mira o seu site: ele transforma o seu domínio em hospedeiro de páginas falsas de terceiros. Segundo o <a href="https://radar.cloudflare.com/security/application-layer" rel="noopener" target="_blank">Cloudflare Radar</a> (2026), o WAF respondeu por 16,4% dos ataques de aplicação mitigados no Brasil. O risco maior não é o defacement, é o domínio cair na blacklist do Google Safe Browsing. Entenda os 3 tipos e como detectar cada um.

O phishing no WordPress é o uso indevido de um site legítimo para servir páginas que imitam bancos, e-commerces ou logins corporativos. O invasor não quer derrubar o seu site: ele quer o seu domínio confiável e o seu certificado HTTPS válido para enganar as vítimas dele. Por isso o ataque costuma passar despercebido por semanas. Nesta página você vê a diferença entre ser alvo e ser host, os três tipos mais comuns e como agir. Para o panorama completo de defesa, o <a href="https://full.services/seguranca-wordpress/">guias de segurança WordPress da FULL</a> reúne os passos seguintes.

---

## O que é phishing no WordPress: Definição operacional

O phishing no WordPress acontece quando um invasor explora 1 falha de upload ou uma credencial vazada para hospedar um kit de páginas falsas dentro do seu site, usando o seu domínio e o seu <a href="https://full.services/glossario/ssl-certificado/">certificado SSL</a> válido como disfarce. O objetivo não é o seu tráfego: é a confiança do seu domínio.

A diferença operacional importa. No malware comum o alvo é você; no phishing hospedado o alvo é a vítima de outra pessoa, enganada pelo seu domínio confiável. Em mais de 60 CVEs catalogadas só no Elementor ao longo dos anos, várias permitiam upload arbitrário, o vetor clássico desse golpe. O kit raramente fica visível na home: ele se esconde em subpastas plausíveis dentro de `wp-content/uploads`, fora do alcance de um scan que só inspeciona plugins ativos. Quem opera segurança em escala sabe que o sinal de alerta é tráfego estranho para uma URL que você nunca criou.

---

## Os 3 tipos de phishing no WordPress que mais aparecem

Existem 3 tipos dominantes de phishing no WordPress, e cada um exige uma resposta diferente. O primeiro é o kit hospedado, em que o invasor sobe arquivos PHP de uma página falsa de banco. O segundo é o redirect malicioso. O terceiro é o formulário sequestrado por plugin vulnerável.

Cada tipo deixa um rastro distinto. No kit hospedado surgem arquivos novos em subpastas de upload. No redirect, o visitante é jogado para um domínio externo sem clicar em nada. No formulário sequestrado, um plugin com falha captura dados reais. A tabela abaixo separa sintoma, causa raiz e primeira ação para os 3 tipos.

<p class="wp-caption-text">Legenda: o kit de phishing usa o domínio legítimo e o HTTPS válido do WordPress para parecer confiável à vítima.</p>

<table id="tipos-phishing-wordpress">
  <caption>Phishing no WordPress: tipos, causa raiz e contenção</caption>
  <thead>
    <tr>
      <th scope="col">Tipo</th>
      <th scope="col">Causa raiz técnica</th>
      <th scope="col">Primeira ação</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row">Kit hospedado</th>
      <td>Upload sem validação via plugin desatualizado</td>
      <td>Localizar e apagar PHP em uploads</td>
    </tr>
    <tr>
      <th scope="row">Redirect malicioso</th>
      <td>Injeção em .htaccess ou em wp_options</td>
      <td>Limpar redirect e trocar chaves</td>
    </tr>
    <tr>
      <th scope="row">Formulário sequestrado</th>
      <td>Plugin de formulário vulnerável (XSS)</td>
      <td>Atualizar e sanitizar campos</td>
    </tr>
  </tbody>
</table>

---

## Como o invasor instala phishing no WordPress na prática

A instalação de phishing no WordPress depende quase sempre de uma porta já aberta, e o vetor mais comum tem 3 ingredientes encadeados. Um tema ou plugin com falha de upload, somado a uma permissão de pasta frouxa, somado à ausência de um <a href="https://full.services/glossario/firewall-wordpress/">firewall de aplicação</a>, entrega o site de bandeja.

A cadeia técnica é direta. Um plugin com upload sem validação mais permissão 777 em `wp-content/uploads` permite que o invasor suba o kit de phishing como arquivo PHP servido pelo seu próprio domínio. Outro caminho frequente é o <a href="https://full.services/glossario/xss/">cross-site scripting (XSS)</a> em formulários: o Contact Form 7 abaixo da versão 5.3.2, sem sanitização, abriu margem para injeção, como descreve a CVE-2020-35489. A maioria dos casos que chegam ao suporte da FULL nasce de um plugin parado há meses. Se quiser o passo a passo de contenção, veja <a href="https://full.services/site-wordpress-invadido-o-que-fazer-imediatamente/">o que fazer quando o WordPress é invadido</a>.

---

## Vulnerabilidades reais que viram porta para phishing

Boa parte do phishing no WordPress entra por 3 vulnerabilidades já catalogadas e com patch disponível, o que torna o ataque evitável. A FULL é a única empresa brasileira credenciada como CNA (CVE Numbering Authority) sob a CISA desde maio de 2022, então aqui falamos de CVE com a autoridade de quem cataloga CVE.

As três falhas abaixo ilustram o vetor de upload e injeção desses golpes, e todas já foram corrigidas. O recado é direto: o risco hoje é deixar de atualizar, não a falha em si.

<table id="cves-phishing-wordpress">
  <caption>CVEs que viabilizam upload ou injeção de phishing</caption>
  <thead>
    <tr>
      <th scope="col">CVE</th>
      <th scope="col">CVSS e plugin</th>
      <th scope="col">O que permitia / patch</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row"><a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35489" rel="noopener" target="_blank">CVE-2020-35489</a></th>
      <td>CVSS 10.0, Contact Form 7</td>
      <td>Upload irrestrito de arquivo / corrigida na 5.3.2</td>
    </tr>
    <tr>
      <th scope="row"><a href="https://nvd.nist.gov/vuln/detail/CVE-2023-48777" rel="noopener" target="_blank">CVE-2023-48777</a></th>
      <td>CVSS 9.9, Elementor</td>
      <td>Upload arbitrário autenticado / corrigida na 3.18.2</td>
    </tr>
    <tr>
      <th scope="row"><a href="https://nvd.nist.gov/vuln/detail/CVE-2023-6449" rel="noopener" target="_blank">CVE-2023-6449</a></th>
      <td>CVSS 7.2, Contact Form 7</td>
      <td>Injeção em campo de formulário / corrigida na 5.8.4</td>
    </tr>
  </tbody>
</table>

Segundo o perfil público do WPVulnerability, o Elementor soma mais de 60 CVEs ao longo dos anos, sendo 3 críticas, todas com patch. Isso é auditoria ativa: o risco real seria uma crítica sem correção, o que não é o caso. Travar a versão antiga, sim, é o pior cenário.

---

## Como detectar phishing no WordPress antes do Google

Detectar phishing no WordPress cedo evita o pior dano e exige observar 3 sinais antes do bloqueio do Google Safe Browsing, que derruba o tráfego orgânico em horas. Primeiro, picos de acesso a URLs que você nunca criou. Segundo, arquivos PHP recentes em `wp-content/uploads`. Terceiro, e-mail seu marcado como spam sem motivo.

Ferramentas reais confirmam o diagnóstico. O Wordfence faz varredura de integridade de arquivos; o All in One Security monitora alterações e força login; o PhishTank e o Google Safe Browsing checam se o seu domínio já foi reportado. Para um diagnóstico instantâneo sem instalar nada, o <a href="https://security.full.services">FULL Scan</a> cruza o seu site com a base global de CVEs oficiais. Quem prefere o método manual encontra o roteiro em <a href="https://full.services/como-saber-se-wordpress-foi-invadido/">como saber se o WordPress foi invadido</a>. O segredo é olhar onde o scan preguiçoso não olha: subpastas de upload e o `mu-plugins`.

---

## Como bloquear phishing no WordPress em 4 camadas

Bloquear phishing no WordPress funciona em 4 camadas, porque nenhuma defesa isolada cobre os 3 vetores ao mesmo tempo. A primeira camada é manter tudo atualizado, já que a maioria das brechas de upload tem patch. A segunda é um <a href="https://full.services/glossario/firewall-wordpress/">firewall de aplicação</a> que barra requisições maliciosas antes do PHP. A terceira bloqueia execução de PHP em uploads. A quarta protege o login.

Segundo o Cloudflare Radar, no Brasil a mitigação por WAF respondeu por 16,4% dos ataques de camada de aplicação bloqueados em 2026, o que justifica ter firewall ativo sem alarmismo. Some 2FA e limite de tentativas: uma credencial de admin vazada em phishing, somada à ausência de 2FA, gera um login legítimo do atacante que nem dispara alerta de força bruta. Por isso o controle de login é decisivo, e o guia de <a href="https://full.services/como-evitar-ataques-de-forca-bruta-no-login-do-wordpress/">força bruta no login</a> complementa esta etapa.

<p class="wp-caption-text">Legenda: o WAF intercepta a requisição maliciosa antes de ela chegar ao PHP, fechando o vetor de upload.</p>

---

## Quanto custa proteger o WordPress contra phishing

Proteger um site contra phishing no WordPress fica caro quando você compra ferramenta por ferramenta: licenças avulsas de firewall, scanner e backup somadas passam fácil de R$1.000 por ano em um único site. É aqui que o custo pesa na decisão de quem gerencia mais de um projeto e precisa repetir essa conta em cada domínio do portfólio.

O plano PRO da FULL custa R$849,90 e inclui o All in One Security mais o bundle de plugins. Para quem gerencia 10 sites, isso dá cerca de R$85 por site, com ativação em um clique. A gente vê no suporte que o que trava a defesa não é preço, é dispersão: o cliente tem três ferramentas que ninguém configura. Conheça os <a href="https://full.services/planos">planos da FULL</a> para centralizar firewall, varredura e atualização gerenciada no mesmo painel.

---

<aside aria-label="Metodologia dos Testes">
<h2 id="metodologia-dos-testes">Metodologia desta análise</h2>
<p>Este conteúdo cruza dados de duas fontes verificáveis. Os CVEs citados vêm da base oficial do NVD/NIST e do perfil público do WPVulnerability, consultados em <time datetime="2026-06">junho de 2026</time>, e cada identificador é linkado à sua página no NVD para conferência independente. O dado de mitigação por WAF vem do Cloudflare Radar, janela de 28 dias encerrada em <time datetime="2026-06">junho de 2026</time>, para o Brasil. A leitura qualitativa do comportamento de invasores reflete padrões recorrentes observados no suporte da FULL, sem proporções inventadas. Nenhum percentual atribuído à FULL aparece sem fonte externa. Versões de plugin e datas de patch refletem o estado de junho de 2026 e podem mudar com novas releases.</p>
</aside>

---

<h2 id="faq">Perguntas frequentes sobre phishing no WordPress</h2>

<details>
<summary>O que é phishing hospedado no WordPress e como ele difere de malware?</summary>
<p>Phishing hospedado é quando o seu site WordPress passa a servir páginas falsas de terceiros, usando o seu domínio e o seu HTTPS como disfarce. Difere do malware comum porque o alvo não é o seu tráfego, e sim a confiança que o seu domínio transmite à vítima de outra pessoa. O kit costuma ficar escondido em subpastas de uploads, invisível na home.</p>
</details>

<details>
<summary>Por que invasores escolhem sites WordPress para hospedar phishing?</summary>
<p>Invasores escolhem WordPress porque ele oferece um domínio com reputação e um certificado SSL válido de graça, o que faz a página falsa parecer legítima. Some isso à escala: com mais de 60 CVEs só no Elementor ao longo dos anos, sempre há sites desatualizados. Um domínio confiável aumenta a taxa de cliques do golpe contra terceiros.</p>
</details>

<details>
<summary>É possível detectar phishing no WordPress sem instalar plugin pago?</summary>
<p>Sim, é possível detectar sem plugin pago. Cheque o log do servidor por acessos a URLs que você nunca criou, procure arquivos PHP recentes dentro de wp-content/uploads e teste o domínio no Google Safe Browsing e no PhishTank, ambos gratuitos. O FULL Scan também faz o diagnóstico sem instalação. O scan manual pega o que o automático preguiçoso ignora.</p>
</details>

<details>
<summary>Qual o risco para o domínio quando o WordPress vira host de phishing?</summary>
<p>O risco maior é entrar na blacklist do Google Safe Browsing, que exibe a tela vermelha de aviso e derruba o tráfego orgânico em horas. O provedor de hospedagem pode suspender a conta, e clientes de e-mail passam a marcar suas mensagens como spam. A recuperação de reputação leva semanas mesmo após a limpeza do kit malicioso.</p>
</details>

<details>
<summary>Como remover uma página de phishing do WordPress sem perder o ranking?</summary>
<p>Remova primeiro os arquivos PHP maliciosos das subpastas de uploads, depois troque todas as senhas e as chaves de segurança do wp-config. Solicite a revisão no Google Search Console para sair da blacklist e mantenha as URLs originais com status 200. Atualizar plugins e ativar firewall evita reinfecção, que é a real causa de perda de ranking.</p>
</details>

---

## Próximos passos para blindar o seu site

Entender o phishing no WordPress é o primeiro passo: o seu site não precisa ser o alvo para virar a arma do golpe contra terceiros. A defesa é encadeada (atualizar, filtrar no firewall, travar execução de PHP em uploads e proteger o login) e nenhuma camada sozinha cobre os três tipos. Comece auditando as subpastas de upload e a versão dos plugins hoje. Para aprofundar com método, o <a href="https://full.services/seguranca-no-wordpress-guia-completo-para-proteger-seu-site/">guia completo de segurança WordPress</a> e o <a href="https://full.services/all-in-one-security-seguranca-wordpress/">review do All in One Security</a> mostram a configuração na prática. Para continuar aprendendo, o <a href="https://full.services/academy/">FULL Academy</a> reúne tutoriais, guias e reviews em um só lugar.