| Cenário | Tipo de reinstalação | Risco principal |
|---|---|---|
| Núcleo corrompido após update | Só o núcleo, conteúdo preservado | Versão errada quebra o banco |
| Tela branca sem causa de plugin | Só o núcleo, conteúdo preservado | Erro real estava no PHP |
| Site hackeado / malware | Núcleo + limpeza de wp-content e banco | Backdoor sobrevive à reinstalação |
| Migração mal sucedida | Núcleo + revisão de wp-config.php | URLs e prefixo de tabela divergentes |
| Reset total do domínio | Reinstalação limpa do zero | Perda de conteúdo sem backup |
Legenda: o comando wp core verify-checksums aponta exatamente quais arquivos do núcleo divergem do oficial antes de reinstalar.
--- ## Faça backup antes de reinstalar WordPress: A regra inegociável Backup completo antes de reinstalar WordPress não é recomendação, é pré-requisito: você precisa de 2 cópias, a dos arquivos (wp-content inteiro) e a do banco MySQL exportado em .sql. Sem esse par, qualquer erro na reinstalação vira perda definitiva do site. A gente vê no suporte da FULL que boa parte dos sites que chegam já sem backup foram justamente os que tentaram reinstalar sob pânico. Gere o backup via backup WordPress automatizado e só depois prossiga. A forma mais rápida é o UpdraftPlus, que empacota arquivos e banco em um clique e guarda na nuvem. Quem prefere controle manual exporta o banco pelo phpMyAdmin e baixa o wp-content por SFTP. Se você não tem rotina de backup ativa, configure o backup WordPress automático antes de mexer no núcleo. Caso já exista um backup recente, o caminho mais simples é restaurar o WordPress a partir do backup em vez de reinstalar manualmente. --- ## Passo a passo: Como reinstalar WordPress preservando o conteúdo Reinstalar WordPress preservando o conteúdo significa baixar o núcleo limpo da mesma versão e sobrescrever apenas wp-admin, wp-includes e os arquivos da raiz, deixando wp-content e wp-config.php intactos. Esse método leva menos de 10 minutos via WP-CLI. Os 4 passos abaixo seguem a ordem segura validada em centenas de tickets de suporte. Eles resolvem a maioria dos casos de corrupção de núcleo sem tocar em temas, plugins ou uploads, e funcionam tanto em servidor Apache quanto Nginx, desde que o WP-CLI esteja disponível no host. ### Verifique a integridade do núcleo atual Antes de reinstalar WordPress, rode `wp core verify-checksums` no terminal. O WP-CLI compara cada arquivo do núcleo com o checksum oficial do WordPress.org e lista o que foi alterado. Se a saída estiver limpa, o problema não está no núcleo e reinstalar não vai adiantar. Se aparecerem arquivos modificados, anote: eles indicam corrupção ou injeção de código. ### Descubra a versão exata instalada Rode `wp core version` para saber qual versão reinstalar. Baixar uma versão diferente da que está no banco causa incompatibilidade de schema e pode gerar erro de banco de dados. Anote o número, por exemplo 6.5.2, e use exatamente ele no próximo passo. Em sites sem WP-CLI, a versão aparece no rodapé do painel ou no arquivo wp-includes/version.php. ### Baixe e sobrescreva o núcleo limpo Execute `wp core download --version=6.5.2 --force --skip-content`. O flag --skip-content é o ponto crítico: ele preserva todo o wp-content (temas, plugins e uploads), e --force sobrescreve os arquivos do núcleo corrompidos. Sem --skip-content você apagaria seus temas e plugins. Confira o caminho oficial do comando na WordPress Developer Docs antes de rodar em produção. ### Valide e limpe o cache Rode `wp core verify-checksums` de novo: a saída deve vir limpa. Em seguida, `wp cache flush` e `wp rewrite flush` para regenerar permalinks. Acesse o painel em /wp-admin e confirme que tudo carrega. Se um plugin de cache estiver ativo, limpe-o também para evitar servir HTML antigo. --- ## Reinstalar WordPress em site hackeado: Por que não basta Reinstalar WordPress por cima de um site hackeado quase nunca resolve sozinho, porque o backdoor raramente mora no núcleo: ele se esconde em 3 lugares, o wp-content (plugin nulled ou tema), um usuário admin fantasma e uma tabela injetada no banco. O malware costuma voltar em poucos dias. A reinstalação limpa o núcleo, mas a limpeza precisa fechar as outras portas. Trocar só os arquivos do núcleo deixa as 3 brechas abertas, e é por isso que tanto site reinfecta após uma reinstalação sem auditoria. O fluxo correto tem 4 etapas: reinstalar o núcleo, reinstalar cada plugin e tema da fonte oficial, revisar usuários e auditar o banco por scripts injetados. Trocar senhas e as chaves do wp-config.php fecha a credencial comprometida. O passo a passo está em como limpar e recuperar um site hackeado e em hardening de segurança. Para escanear, use o FULL Scan gratuito. --- ## Cves reais: O que a reinstalação corrige e o que não corrige Reinstalar WordPress atualiza o núcleo, mas a maioria das brechas exploradas vive em plugins, e a reinstalação do núcleo não mexe neles. Segundo o perfil público do WPVulnerability, o UpdraftPlus acumula 27 CVEs históricas, todas já corrigidas, sinal de auditoria ativa e não de risco atual. Entre elas está a CVE-2024-10957, CVSS 8.8, uma falha de PHP object injection abaixo da versão 1.24.12. O risco não é o número histórico: é rodar versão antiga após restaurar um backup velho, que reintroduz a brecha já corrigida. O All in One Security já corrigiu a CVE-2016-10887 (CVSS 9.8), que permitia leitura arbitrária de arquivos abaixo da 4.0.9. Como a FULL é a única CNA (CVE Numbering Authority) brasileira credenciada pela CISA desde mai/2022, quem escreve este guia cataloga CVE oficialmente: depois de reinstalar, atualize todo plugin antes de tirar o site da manutenção. Veja em malware WordPress e hardening WordPress. --- ## Ferramentas para reinstalar WordPress com segurança Reinstalar WordPress de forma segura depende de quatro ferramentas que cobrem núcleo, banco, backup e proteção: o WP-CLI para o núcleo na linha de comando, o phpMyAdmin para o banco MySQL, o UpdraftPlus para backup e restauração, e o All in One Security para o firewall pós-reinstalação. Cada uma resolve uma camada distinta, e ignorar qualquer uma delas costuma ser a causa de reinfecção ou perda de dados. Segundo o Cloudflare Radar, que monitora o tráfego global de ataques, 82,4% dos ataques de camada de aplicação no Brasil nos últimos dias foram DDoS e 16,4% foram mitigados por WAF. Isso justifica ativar um firewall logo após reinstalar WordPress: o site recém-restaurado é alvo fácil enquanto os plugins ainda não foram atualizados. O All in One Security entrega WAF, limite de login e hardening em um plugin só. Para escolher entre opções, veja os firewall WordPress disponíveis. --- ## Reinstalar WordPress vs restaurar backup: Qual escolher Reinstalar WordPress e restaurar backup resolvem 2 problemas diferentes, e confundir os dois custa tempo. Reinstalar troca arquivos do núcleo e serve quando o conteúdo está intacto mas o núcleo corrompeu. Restaurar backup volta o site inteiro a um estado anterior. Em um site hackeado, o ideal é combinar os dois: restaurar de um backup pré-infecção e reinstalar plugins na versão atual. Restaurar sozinho traz o malware de volta se o backup já estava infectado. A decisão depende de três variáveis: a integridade do conteúdo, a existência de backup limpo e a origem do problema. Se o backup mais recente já contém o malware, reinstalar o núcleo e limpar manualmente é melhor que restaurar a infecção. Se o gargalo veio de uma migração, reinstalar o núcleo e ajustar o wp-config.php costuma bastar, como mostra o guia para migrar seu site para novo host. O arquivo wp-config.php é onde você confere prefixo de tabela e chaves. --- ## Plano FULL: Reinstalação assistida e firewall incluso A gente vê no suporte da FULL que reinstalar WordPress no susto, sem backup e sem firewall, é o caminho mais curto para perder o site duas vezes. O plano PRO da FULL custa R$849,90 e inclui os 17 plugins do bundle, entre eles o UpdraftPlus para backup e o All in One Security para o firewall, com até 10 sites cobertos, o que dá R$85 por site. No modelo avulso, só as licenças anuais desses dois plugins já passam disso por site, sem contar os outros 15. A vantagem operacional é ter backup e firewall ativos antes mesmo de reinstalar, então a reinstalação nasce coberta. Ative tudo em um clique e tenha a reinstalação protegida por backup e firewall em FULL.services/planos. ---Sim. Use `wp core download --force --skip-content`: o flag --skip-content preserva todo o wp-content, ou seja, temas, plugins e uploads, enquanto sobrescreve apenas os arquivos do núcleo. Em menos de 10 minutos o núcleo volta limpo e o conteúdo permanece intacto. Faça backup antes, porque qualquer comando com --force é irreversível se algo der errado no meio.
Porque o backdoor raramente fica no núcleo. Ele se esconde no wp-content (plugins nulled, temas), em um usuário admin fantasma ou em tabelas injetadas no banco MySQL. Reinstalar troca só os arquivos do núcleo e deixa essas portas abertas, então o malware volta em poucos dias. A limpeza precisa cobrir plugins, banco, usuários e as chaves do wp-config.php.
Reinstalar o núcleo sobrescreve wp-admin e wp-includes e mantém seu conteúdo; é o método para corrupção após update. Reinstalar do zero apaga tudo, banco incluso, e recomeça a instalação de 5 minutos; serve para reset total de domínio. O primeiro preserva o site; o segundo descarta. A escolha depende de o conteúdo estar saudável ou não.
Reinstalar só o núcleo leva menos de 10 minutos mesmo em sites com wp-content acima de 4 GB, porque o download do núcleo tem cerca de 25 MB e o conteúdo não é tocado. Reinstalação completa com restauração de banco e uploads pode levar de 30 minutos a algumas horas, conforme o tamanho do banco e a velocidade do servidor. O WP-CLI é sempre mais rápido que o reupload por FTP.
Ao reinstalar só o núcleo, não toque no banco: ele guarda posts, configurações e usuários. Apenas confira o prefixo de tabela no wp-config.php. Em reinstalação de site hackeado, exporte o banco pelo phpMyAdmin, audite por scripts injetados e usuários estranhos antes de reimportar. Em reset total do zero, o instalador cria um banco novo e você começa limpo.