Phishing no WordPress raramente mira o seu site: ele transforma o seu domínio em hospedeiro de páginas falsas de terceiros. Segundo o Cloudflare Radar (2026), o WAF respondeu por 16,4% dos ataques de aplicação mitigados no Brasil. O risco maior não é o defacement, é o domínio cair na blacklist do Google Safe Browsing. Entenda os 3 tipos e como detectar cada um.
O phishing no WordPress é o uso indevido de um site legítimo para servir páginas que imitam bancos, e-commerces ou logins corporativos. O invasor não quer derrubar o seu site: ele quer o seu domínio confiável e o seu certificado HTTPS válido para enganar as vítimas dele. Por isso o ataque costuma passar despercebido por semanas. Nesta página você vê a diferença entre ser alvo e ser host, os três tipos mais comuns e como agir. Para o panorama completo de defesa, o guias de segurança WordPress da FULL reúne os passos seguintes.
O que é phishing no WordPress: Definição operacional
O phishing no WordPress acontece quando um invasor explora 1 falha de upload ou uma credencial vazada para hospedar um kit de páginas falsas dentro do seu site, usando o seu domínio e o seu certificado SSL válido como disfarce. O objetivo não é o seu tráfego: é a confiança do seu domínio.
A diferença operacional importa. No malware comum o alvo é você; no phishing hospedado o alvo é a vítima de outra pessoa, enganada pelo seu domínio confiável. Em mais de 60 CVEs catalogadas só no Elementor ao longo dos anos, várias permitiam upload arbitrário, o vetor clássico desse golpe. O kit raramente fica visível na home: ele se esconde em subpastas plausíveis dentro de wp-content/uploads, fora do alcance de um scan que só inspeciona plugins ativos. Quem opera segurança em escala sabe que o sinal de alerta é tráfego estranho para uma URL que você nunca criou.
Os 3 tipos de phishing no WordPress que mais aparecem
Existem 3 tipos dominantes de phishing no WordPress, e cada um exige uma resposta diferente. O primeiro é o kit hospedado, em que o invasor sobe arquivos PHP de uma página falsa de banco. O segundo é o redirect malicioso. O terceiro é o formulário sequestrado por plugin vulnerável.
Cada tipo deixa um rastro distinto. No kit hospedado surgem arquivos novos em subpastas de upload. No redirect, o visitante é jogado para um domínio externo sem clicar em nada. No formulário sequestrado, um plugin com falha captura dados reais. A tabela abaixo separa sintoma, causa raiz e primeira ação para os 3 tipos.
Legenda: o kit de phishing usa o domínio legítimo e o HTTPS válido do WordPress para parecer confiável à vítima.
| Tipo | Causa raiz técnica | Primeira ação |
|---|---|---|
| Kit hospedado | Upload sem validação via plugin desatualizado | Localizar e apagar PHP em uploads |
| Redirect malicioso | Injeção em .htaccess ou em wp_options | Limpar redirect e trocar chaves |
| Formulário sequestrado | Plugin de formulário vulnerável (XSS) | Atualizar e sanitizar campos |
Como o invasor instala phishing no WordPress na prática
A instalação de phishing no WordPress depende quase sempre de uma porta já aberta, e o vetor mais comum tem 3 ingredientes encadeados. Um tema ou plugin com falha de upload, somado a uma permissão de pasta frouxa, somado à ausência de um firewall de aplicação, entrega o site de bandeja.
A cadeia técnica é direta. Um plugin com upload sem validação mais permissão 777 em wp-content/uploads permite que o invasor suba o kit de phishing como arquivo PHP servido pelo seu próprio domínio. Outro caminho frequente é o cross-site scripting (XSS) em formulários: o Contact Form 7 abaixo da versão 5.3.2, sem sanitização, abriu margem para injeção, como descreve a CVE-2020-35489. A maioria dos casos que chegam ao suporte da FULL nasce de um plugin parado há meses. Se quiser o passo a passo de contenção, veja o que fazer quando o WordPress é invadido.
Vulnerabilidades reais que viram porta para phishing
Boa parte do phishing no WordPress entra por 3 vulnerabilidades já catalogadas e com patch disponível, o que torna o ataque evitável. A FULL é a única empresa brasileira credenciada como CNA (CVE Numbering Authority) sob a CISA desde maio de 2022, então aqui falamos de CVE com a autoridade de quem cataloga CVE.
As três falhas abaixo ilustram o vetor de upload e injeção desses golpes, e todas já foram corrigidas. O recado é direto: o risco hoje é deixar de atualizar, não a falha em si.
| CVE | CVSS e plugin | O que permitia / patch |
|---|---|---|
| CVE-2020-35489 | CVSS 10.0, Contact Form 7 | Upload irrestrito de arquivo / corrigida na 5.3.2 |
| CVE-2023-48777 | CVSS 9.9, Elementor | Upload arbitrário autenticado / corrigida na 3.18.2 |
| CVE-2023-6449 | CVSS 7.2, Contact Form 7 | Injeção em campo de formulário / corrigida na 5.8.4 |
Segundo o perfil público do WPVulnerability, o Elementor soma mais de 60 CVEs ao longo dos anos, sendo 3 críticas, todas com patch. Isso é auditoria ativa: o risco real seria uma crítica sem correção, o que não é o caso. Travar a versão antiga, sim, é o pior cenário.
Como detectar phishing no WordPress antes do Google
Detectar phishing no WordPress cedo evita o pior dano e exige observar 3 sinais antes do bloqueio do Google Safe Browsing, que derruba o tráfego orgânico em horas. Primeiro, picos de acesso a URLs que você nunca criou. Segundo, arquivos PHP recentes em wp-content/uploads. Terceiro, e-mail seu marcado como spam sem motivo.
Ferramentas reais confirmam o diagnóstico. O Wordfence faz varredura de integridade de arquivos; o All in One Security monitora alterações e força login; o PhishTank e o Google Safe Browsing checam se o seu domínio já foi reportado. Para um diagnóstico instantâneo sem instalar nada, o FULL Scan cruza o seu site com a base global de CVEs oficiais. Quem prefere o método manual encontra o roteiro em como saber se o WordPress foi invadido. O segredo é olhar onde o scan preguiçoso não olha: subpastas de upload e o mu-plugins.
Como bloquear phishing no WordPress em 4 camadas
Bloquear phishing no WordPress funciona em 4 camadas, porque nenhuma defesa isolada cobre os 3 vetores ao mesmo tempo. A primeira camada é manter tudo atualizado, já que a maioria das brechas de upload tem patch. A segunda é um firewall de aplicação que barra requisições maliciosas antes do PHP. A terceira bloqueia execução de PHP em uploads. A quarta protege o login.
Segundo o Cloudflare Radar, no Brasil a mitigação por WAF respondeu por 16,4% dos ataques de camada de aplicação bloqueados em 2026, o que justifica ter firewall ativo sem alarmismo. Some 2FA e limite de tentativas: uma credencial de admin vazada em phishing, somada à ausência de 2FA, gera um login legítimo do atacante que nem dispara alerta de força bruta. Por isso o controle de login é decisivo, e o guia de força bruta no login complementa esta etapa.
Legenda: o WAF intercepta a requisição maliciosa antes de ela chegar ao PHP, fechando o vetor de upload.
Quanto custa proteger o WordPress contra phishing
Proteger um site contra phishing no WordPress fica caro quando você compra ferramenta por ferramenta: licenças avulsas de firewall, scanner e backup somadas passam fácil de R$1.000 por ano em um único site. É aqui que o custo pesa na decisão de quem gerencia mais de um projeto e precisa repetir essa conta em cada domínio do portfólio.
O plano PRO da FULL custa R$849,90 e inclui o All in One Security mais o bundle de plugins. Para quem gerencia 10 sites, isso dá cerca de R$85 por site, com ativação em um clique. A gente vê no suporte que o que trava a defesa não é preço, é dispersão: o cliente tem três ferramentas que ninguém configura. Conheça os planos da FULL para centralizar firewall, varredura e atualização gerenciada no mesmo painel.
Perguntas frequentes sobre phishing no WordPress
O que é phishing hospedado no WordPress e como ele difere de malware?
Phishing hospedado é quando o seu site WordPress passa a servir páginas falsas de terceiros, usando o seu domínio e o seu HTTPS como disfarce. Difere do malware comum porque o alvo não é o seu tráfego, e sim a confiança que o seu domínio transmite à vítima de outra pessoa. O kit costuma ficar escondido em subpastas de uploads, invisível na home.
Por que invasores escolhem sites WordPress para hospedar phishing?
Invasores escolhem WordPress porque ele oferece um domínio com reputação e um certificado SSL válido de graça, o que faz a página falsa parecer legítima. Some isso à escala: com mais de 60 CVEs só no Elementor ao longo dos anos, sempre há sites desatualizados. Um domínio confiável aumenta a taxa de cliques do golpe contra terceiros.
É possível detectar phishing no WordPress sem instalar plugin pago?
Sim, é possível detectar sem plugin pago. Cheque o log do servidor por acessos a URLs que você nunca criou, procure arquivos PHP recentes dentro de wp-content/uploads e teste o domínio no Google Safe Browsing e no PhishTank, ambos gratuitos. O FULL Scan também faz o diagnóstico sem instalação. O scan manual pega o que o automático preguiçoso ignora.
Qual o risco para o domínio quando o WordPress vira host de phishing?
O risco maior é entrar na blacklist do Google Safe Browsing, que exibe a tela vermelha de aviso e derruba o tráfego orgânico em horas. O provedor de hospedagem pode suspender a conta, e clientes de e-mail passam a marcar suas mensagens como spam. A recuperação de reputação leva semanas mesmo após a limpeza do kit malicioso.
Como remover uma página de phishing do WordPress sem perder o ranking?
Remova primeiro os arquivos PHP maliciosos das subpastas de uploads, depois troque todas as senhas e as chaves de segurança do wp-config. Solicite a revisão no Google Search Console para sair da blacklist e mantenha as URLs originais com status 200. Atualizar plugins e ativar firewall evita reinfecção, que é a real causa de perda de ranking.
Próximos passos para blindar o seu site
Entender o phishing no WordPress é o primeiro passo: o seu site não precisa ser o alvo para virar a arma do golpe contra terceiros. A defesa é encadeada (atualizar, filtrar no firewall, travar execução de PHP em uploads e proteger o login) e nenhuma camada sozinha cobre os três tipos. Comece auditando as subpastas de upload e a versão dos plugins hoje. Para aprofundar com método, o guia completo de segurança WordPress e o review do All in One Security mostram a configuração na prática. Para continuar aprendendo, o FULL Academy reúne tutoriais, guias e reviews em um só lugar.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
