Remover malware do WordPress é achar e fechar a porta de entrada antes de limpar o arquivo infectado. Segundo o NVD/NIST (2024), a CVE-2020-35489 com CVSS 10.0 permitia upload arbitrário. Limpar sem fechar a porta reinfecta em horas. Siga 6 passos.
Remover malware do WordPress é o processo de identificar o código malicioso, fechar a porta que permitiu a entrada e limpar cada arquivo e tabela afetados sem quebrar o site. Diferente de apenas deletar o arquivo infectado, que trata o sintoma, a remoção correta reconstrói como o invasor entrou e elimina o vetor, evitando a reinfecção. Este guia mostra os seis passos em ordem fixa, com CVEs reais de plugins populares, o que cada falha permitia e como tirar o site da lista de sites perigosos do Google. Comece pelos guias de segurança WordPress da FULL se quiser o contexto completo do cluster.
Primeiros passos: O que significa remover malware do WordPress
Remover malware do WordPress significa agir em quatro frentes na ordem certa: isolar o site, achar a porta de entrada, limpar o código infectado e fechar a porta para impedir reinfecção. Pular a frente de entrada é o erro que faz o malware voltar em horas, porque o atacante mantém um acesso paralelo que reescreve o payload sozinho. A limpeza do arquivo é só uma das quatro frentes.
| Frente | Onde agir | O que resolve |
|---|---|---|
| Isolar | Modo manutenção, backup atual | Para a propagação e preserva evidência |
| Entrada | Plugin com CVE, usuário, wp-cron | Acha a porta que o atacante usou |
| Limpar | Arquivos, banco, wp-content | Remove o código malicioso ativo |
| Fechar | Patch, chaves, firewall, Google | Impede a reinfecção e o blacklist |
Cruzar as quatro frentes da tabela separa remover malware do WordPress de um simples delete: quem só apaga o arquivo perde o admin fantasma e a tarefa agendada que reinfecta na madrugada seguinte.
Por que o malware volta no WordPress depois da limpeza
Remover malware do WordPress falha quando a limpeza apaga o arquivo, mas deixa a porta de entrada aberta, e a CVE mostra o porte do risco. Segundo o NVD/NIST, a CVE-2020-35489 no Contact Form 7, com CVSS 10.0, permitia upload arbitrário de arquivo abaixo da versão 5.3.2. Deletar o webshell não fecha essa porta: o plugin vulnerável segue lá.
O problema é de ordem, não de ferramenta. A gente vê no suporte da FULL que o site que reinfecta poucas horas depois quase nunca foi mal limpo: foi limpo certo, mas com um usuário admin fantasma ou uma tarefa agendada (wp-cron) maliciosa ainda ativa, que reescreve o payload sozinha na madrugada seguinte. Fechar a porta antes de limpar inverte isso. Se o site já mostra sinal claro de invasão, vá direto para o que fazer com um site WordPress invadido antes de qualquer limpeza.
Como remover malware do WordPress em 6 passos
Remover malware do WordPress de forma definitiva leva cerca de 90 minutos por site e segue seis passos em ordem fixa: isolar, mapear a entrada, fazer backup, limpar, fechar a porta e pedir revisão ao Google. A maioria começa pelo passo 4, a limpeza, e pula os três primeiros, justamente onde mora a causa da reinfecção. Os passos abaixo seguem a sequência que usamos no suporte da FULL.
Legenda: a remoção começa por isolar o site e mapear a entrada, as duas frentes que o scanner sozinho não cobre.
Passo 1: Isole o site e ative o modo manutenção
Coloque o site em modo manutenção e tire o tráfego antes de tocar em qualquer arquivo. Isso impede que o malware continue propagando spam ou redirecionando visitantes e preserva os logs como evidência da entrada. Anote a data do primeiro comportamento estranho: ela define até onde voltar no backup. Não restaure ainda.
Passo 2: Mapeie a porta de entrada antes de limpar
Cruze a lista de versões dos plugins com a base de CVEs e revise cada usuário admin e cada tarefa do wp-cron. Um plugin desatualizado com CVE conhecido sem patch somado a um upload sem validação de tipo é o que transforma um anexo em webshell PHP executável pelo navegador, sem credencial. Ferramentas como o WPScan cruzam suas versões com a base de vulnerabilidades em segundos.
Passo 3: Faça backup do estado infectado
Gere um backup completo do site já infectado antes de limpar qualquer coisa. Parece contraintuitivo, mas esse ponto de restauração protege contra uma limpeza que quebra o site e serve de evidência forense. Guarde-o separado do backup limpo. Veja como manter o backup automático do WordPress sempre pronto para esse momento.
Passo 4: Limpe arquivos, banco e wp-content
Agora sim rode o scanner do Wordfence ou do All in One Security e limpe os arquivos infectados, a tabela wp_options e o diretório wp-content. Substitua o núcleo e os plugins por cópias limpas do repositório oficial, nunca edite o código injetado à mão. O scanner aponta o arquivo; o log diz o IP e a hora da entrada para você fechar o vetor certo.
Passo 5: Feche a porta e troque as chaves
Aplique o patch do plugin vulnerável, remova os usuários admin órfãos e gere novas chaves AUTH_KEY e SALT no wp-config.php. Uma chave previsível no wp-config.php permite forjar um cookie de sessão admin válido sem passar pelo login, então trocá-las invalida qualquer sessão que o atacante mantinha. Ative o firewall e o limite de tentativas de login.
Passo 6: Peça revisão ao Google e reescaneie
Confirme a limpeza no Google Safe Browsing e envie o pedido de revisão pelo Search Console. Um site tecnicamente limpo continua marcado como perigoso no navegador até essa revisão ser aprovada, derrubando o tráfego mesmo com o código já removido. Reescaneie após cada correção e documente tudo: esse relatório vira a linha de base da próxima vez que precisar remover malware do WordPress.
Cves reais: A porta que o malware usa para entrar
Mapear a entrada encontra a assinatura de vulnerabilidades conhecidas, e os números mostram o porte do risco. Segundo o perfil público do WPVulnerability, o Contact Form 7 acumula 12 CVEs históricos, sendo a CVE-2020-35489 com CVSS 10.0 a mais grave, corrigida na versão 5.3.2. Ela permitia upload arbitrário de arquivo, o vetor direto de webshell e a porta clássica por onde o malware entra.
A distinção honesta importa: a CVE-2020-35489 e a CVE-2018-20979 (CVSS 9.8) já têm patch, então um plugin com muitos CVEs todos corrigidos é sinal de manutenção ativa, não de risco atual. O risco real é o CVE sem patch rodando hoje, e é isso que o passo 2 isola. A FULL é a única empresa brasileira credenciada como CNA (CVE Numbering Authority) sob a CISA desde , autorizada a atribuir IDs CVE oficiais: quem escreve sobre malware aqui literalmente cataloga a falha do outro lado.
Ferramentas para remover malware do WordPress
Quatro ferramentas cobrem a tarefa de remover malware do WordPress, cada uma em uma camada distinta. O WPScan cruza sua lista de versões com uma base de mais de 30 mil vulnerabilidades e entrega o relatório de CVEs por plugin, isolando a porta de entrada. O Wordfence soma scanner de malware, firewall e leitura de tráfego em tempo real, mostrando o IP do atacante antes do bloqueio.
O All in One Security oferece scanner de integridade de arquivo, bloqueio por país e checagem de força de senha no plano gratuito, segundo a documentação oficial do AIOS. Fora do painel, o Sucuri SiteCheck escaneia o site de fora e consulta o status no Google Safe Browsing, útil quando o atacante já apagou os logs locais. Cada ferramenta cobre uma frente de remover malware do WordPress, e nenhuma sozinha cobre as quatro. Para escolher o plugin de base, veja o comparativo dos 5 melhores plugins de segurança WordPress.
Quando a segurança gerenciada remove o malware por você
Mapear entrada, limpar, fechar a porta e pedir revisão ao Google em cada site manualmente não escala além de um punhado de instalações. É aqui que entra a segurança gerenciada: o plano PRO da FULL (R$849,90/ano) inclui o bundle com All in One Security e backup já configurados, e ao dividir por 10 sites o custo cai para cerca de R$85 por site ao ano.
A gente vê no suporte da FULL que a maioria das reinfecções acontece em sites com plugin desatualizado e nenhum monitoramento ativo, exatamente o que a gestão centralizada elimina. Não é hospedagem: a FULL é complementar ao host. Some a isso o monitoramento contínuo para detectar malware, que avisa antes do payload se espalhar. Conheça os planos da FULL. Para um diagnóstico imediato, escaneie seu site no FULL Scan e descubra se algum plugin está vulnerável, ou consulte o repositório de vulnerabilidades oficial de CVEs.
Perguntas frequentes sobre remover malware do WordPress
O que envolve remover malware do WordPress de forma definitiva?
Remover malware do WordPress de forma definitiva envolve quatro frentes: isolar o site, mapear a porta de entrada, limpar arquivos e banco, e fechar a porta com patch e chaves novas. Deletar só o arquivo infectado trata o sintoma, não a causa. A remoção completa cruza versão de plugin com CVE conhecido, revisa usuários admin e tarefas wp-cron, e termina com o pedido de revisão no Google Search Console para tirar o site da lista de sites perigosos.
Por que o malware volta no WordPress poucas horas depois da limpeza?
O malware volta porque a limpeza apagou o arquivo infectado, mas deixou a porta de entrada aberta. Um plugin com a CVE-2020-35489 (CVSS 10.0 no Contact Form 7) sem patch segue vulnerável mesmo após a limpeza, e um admin fantasma ou uma tarefa wp-cron maliciosa reescreve o payload sozinha na madrugada seguinte. Por isso fechar a porta, aplicar patch, remover usuários órfãos e trocar as chaves do wp-config.php é o passo que impede a reinfecção em horas.
Qual a diferença entre limpar o arquivo infectado e remover o malware de verdade?
Limpar o arquivo infectado remove o sintoma visível; remover o malware de verdade fecha o vetor que ainda vai ser explorado. O delete apaga o webshell que já está lá; a remoção completa encontra o plugin desatualizado, a permissão 777 e o backdoor que recriam o webshell. Por isso a limpeza é o passo 4 de 6: limpar primeiro, sem mapear a entrada e fechar a porta, deixa o site exposto à reinfecção automatizada em poucas horas.
É possível remover malware do WordPress sem instalar nenhum plugin?
Sim, é possível remover boa parte do malware sem plugin, comparando os arquivos do núcleo com cópias limpas do repositório oficial via SSH e inspecionando a tabela wp_options no banco. Essas duas frentes cobrem arquivo e banco sem nada instalado, e o Sucuri SiteCheck escaneia de fora sem acesso ao painel. O limite é a varredura contínua e o firewall em tempo real, que exigem um plugin como o Wordfence ou o All in One Security para barrar a próxima tentativa.
Quanto tempo leva para remover malware do WordPress e sair da lista do Google?
Remover malware do WordPress leva cerca de 90 minutos de limpeza técnica, mas sair da lista do Google depende da revisão. Após enviar o pedido pelo Search Console, o Google Safe Browsing costuma reavaliar o site em até 72 horas, e o alerta vermelho só some quando a revisão é aprovada. Por isso um site pode estar tecnicamente limpo e ainda perder tráfego por dias: o código foi removido, mas o pedido de revisão ainda não foi processado.
Próximos passos para manter o WordPress livre de malware
Remover malware do WordPress deixa de ser emergência recorrente quando vira rotina: inventário de versão semanal, revisão de usuário e wp-cron a cada deploy e patch imediato de qualquer plugin com CVE sem patch. Os seis passos funcionam como checklist sempre que algo parecer estranho no site, e a ordem (fechar a porta antes de confiar na limpeza) é o que evita a reinfecção. Reforce a base com a autenticação em dois fatores no WordPress, que fecha o login mesmo com senha vazada, e com a defesa contra ataques de força bruta no login. Se o site já foi comprometido, siga o passo a passo de como limpar e recuperar um site hackeado. Para continuar aprendendo, o guia de segurança para WordPress da FULL reúne tudo num só lugar. Remover é a diferença entre fechar a porta primeiro e descobrir a invasão pelo alerta vermelho do navegador.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
