# Remover redirecionamento malicioso do WordPress em 5 passos

<strong>Remover redirecionamento malicioso do WordPress</strong> exige achar a origem antes de limpar. O código costuma estar no .htaccess, no banco ou num plugin nulled. Segundo o <a href="https://www.growth-memo.com/p/state-of-ai-search-optimization-2026" rel="noopener" target="_blank">State of AI Search (2025)</a>, conteúdo com menos de 3 meses tem 3x mais chance de citação. Limpe os três focos juntos e troque as senhas no fim.

Remover redirecionamento malicioso do WordPress significa apagar o código injetado que desvia visitantes para páginas de spam, golpe ou farmacia falsa. O problema raramente esta num lugar so: o atacante planta a regra no .htaccess, uma função no banco e um arquivo PHP escondido, para que limpar um foco deixe o site reinfectar. Este guia mostra como identificar a origem, limpar os tres pontos e blindar o site para o redirect não voltar. Para o contexto completo do tema, veja os <a href="https://full.services/seguranca-wordpress/">guias de segurança WordPress da FULL</a>. Aqui na FULL, como a gente cataloga vulnerabilidade oficial, a abordagem é sempre técnica e verificavel, nunca um susto vago.

---

## Diagnóstico rápido: Onde mora o redirect malicioso

Na maioria das limpezas que voltam a falhar, o redirect estava em mais de um lugar. Remover redirecionamento malicioso do WordPress exige mapear os 3 focos antes de apagar nada: a regra no .htaccess, a função com base64 no banco e o plugin pirata que serviu de porta de entrada. A tabela abaixo cruza cada sintoma com a causa raiz.

<table id="diagnostico-redirecionamento-malicioso-wordpress">
  <caption>Redirecionamento malicioso do WordPress: sintoma, causa e correcao</caption>
  <thead>
    <tr>
      <th scope="col">Sintoma</th>
      <th scope="col">Causa raiz provavel</th>
      <th scope="col">Acao corretiva</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row">Só redireciona quem vem do Google</th>
      <td>RewriteCond por User-Agent ou Referer no .htaccess</td>
      <td>Restaurar .htaccess limpo e revogar regras condicionais</td>
    </tr>
    <tr>
      <th scope="row">Volta horas depois de limpar</th>
      <td>Função eval/base64 em wp_options ou cron injetado</td>
      <td>Auditar banco e wp_cron por código ofuscado</td>
    </tr>
    <tr>
      <th scope="row">Só no celular</th>
      <td>Redirect condicional por dispositivo no header.php</td>
      <td>Comparar tema com a copia oficial e substituir</td>
    </tr>
    <tr>
      <th scope="row">Admin não ve nada, visitante ve spam</th>
      <td>Cookie de exclusao de logados no script malicioso</td>
      <td>Testar em janela anonima e via Sucuri SiteCheck</td>
    </tr>
  </tbody>
</table>

A ferramenta gratuita Sucuri SiteCheck faz a varredura externa sem instalar nada e mostra o redirecionamento malicioso que o admin logado não enxerga. Se o alerta já apareceu no navegador, leia em paralelo como <a href="https://full.services/como-corrigir-alertas-de-seguranca-no-google-para-wordpress/">corrigir alertas de segurança no Google</a>.

---

## Por que o redirect volta depois da limpeza

Boa parte das reinfecções acontece porque a limpeza tocou só nos arquivos e deixou a persistência intacta no banco. Remover redirecionamento malicioso do WordPress de forma definitiva passa por entender essa persistência. O ataque sobrevive a um delete quando o atacante deixou uma função em wp_options, um admin oculto ou uma tarefa no wp_cron que regrava o código sozinha.

Limpar só o .htaccess é como apagar o sintoma: em pouco tempo o cron roda, reescreve a regra e o site volta a desviar tráfego de busca para spam.

Por isso a ordem importa tanto quanto a técnica. Primeiro você isola a origem, depois limpa os três focos no mesmo intervalo (arquivos, banco e usuários) e só então troca senhas. Um <a href="https://full.services/como-fazer-backup-seguro-antes-e-depois-da-limpeza-de-malware/">backup seguro antes e depois da limpeza</a> garante que, se algo der errado, você volta a um estado conhecido sem perder o progresso. O termo técnico para esse desvio forçado é o <a href="https://full.services/glossario/redirecionamento-301/">redirecionamento 301</a> sequestrado: o código finge ser um redirect permanente legitimo.

---

## Passo a passo: Remover redirecionamento malicioso do WordPress

Reserve de 40 a 90 minutos e siga os passos na ordem, sem pular o backup. Esta sequencia ataca os tres focos de persistencia do redirecionamento malicioso do WordPress numa única janela, que é a única forma de impedir a reinfeccao pelo wp_cron. Cada passo abaixo é um H3 com um objetivo de validacao claro: você so avanca quando o anterior estiver confirmado.

<p class="wp-caption-text">Legenda: regra RewriteRule condicional injetada no topo do .htaccess, executada antes de qualquer código PHP do WordPress.</p>

### Passo 1: Coloque o site em manutenção e gere o backup

Ative o modo de manutenção e gere um backup completo antes de tocar em qualquer arquivo: remover redirecionamento malicioso do WordPress sem rede de segurança é arriscado. O backup aqui não é para preservar a infecção: é a sua rede de segurança para reverter se uma limpeza agressiva quebrar o site. Baixe os arquivos e exporte o banco via phpMyAdmin. Guarde essa copia separada da produção. Sem ela, um delete errado no <a href="https://full.services/glossario/wp-config/">wp-config</a> pode deixar o site offline sem volta.

### Passo 2: Restaure o .htaccess e o wp-config originais

Abra o .htaccess na raiz e compare com o bloco padrao do WordPress. Qualquer linha com RewriteCond por User-Agent, Referer ou um RewriteRule apontando para domínio externo é código injetado. Apague o arquivo e gere um limpo em Configurações, Links permanentes, Salvar. Faça o mesmo com o header.php do tema, que é outro esconderijo comum ao remover redirecionamento malicioso do WordPress. Edite o <a href="https://full.services/como-editar-o-arquivo-wp-config-php-no-wordpress/">arquivo wp-config.php com segurança</a> e remova qualquer include estranho no topo.

### Passo 3: Audite o banco e o wp_cron por código ofuscado

No phpMyAdmin, rode uma busca nas tabelas wp_options e wp_posts por base64_decode, eval, gzinflate e domínios que você não reconhece. É neste passo que remover redirecionamento malicioso do WordPress de fato termina. É aqui que mora a persistência: uma função em wp_options regrava o redirect a cada visita. Cheque também usuários admin que você não criou e o agendamento do wp_cron. Para links escondidos no conteudo, veja como <a href="https://full.services/como-limpar-links-ocultos-no-wordpress-link-injection/">limpar link injection</a> sem apagar conteudo legitimo.

### Passo 4: Substitua o Core, temas e plugins por copias oficiais

Reinstale o nucleo do WordPress por cima, pela tela Atualizações, e troque cada plugin e tema por download oficial do repositorio. Um plugin nulled é a porta de entrada número um do redirect: ele carrega o payload de fora a cada atualização. Delete o que você não usa. Se sobrou malware persistente, o roteiro de <a href="https://full.services/como-remover-malware-do-wordpress/">como remover malware do WordPress</a> cobre os casos teimosos que resistem a substituicao simples.

### Passo 5: Troque senhas, salts e force novo login

Troque a senha de todos os admins, do banco no wp-config e gere novas chaves de segurança (salts) em api.WordPress.org/secret-key. Isso desloga qualquer sessão do atacante na hora. Só agora o site está de fato limpo, porque você fechou a porta além de varrer o quarto. É esse passo que faz remover redirecionamento malicioso do WordPress durar. Para o caso completo de recuperacao, o guia de <a href="https://full.services/como-limpar-e-recuperar-um-site-wordpress-hackeado/">como recuperar um site WordPress hackeado</a> detalha a restauracao de trafego pos-limpeza.

---

## Cves reais: Como a falha entra no seu site

Toda injeção de redirect começa por uma porta conhecida com nome e número, e remover redirecionamento malicioso do WordPress sem fechar essa porta só adia o problema. No plugin Contact Form 7, a <a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35489" rel="noopener" target="_blank">CVE-2020-35489</a> (CVSS 10.0, crítica, versões abaixo da 5.3.2) permitia upload irrestrito de arquivos, exatamente o vetor que planta um PHP de redirect no servidor.

A <a href="https://nvd.nist.gov/vuln/detail/CVE-2023-6449" rel="noopener" target="_blank">CVE-2023-6449</a> (CVSS 7.2, alta, abaixo da 5.8.4) abria XSS armazenado no mesmo plugin. O ponto que muda tudo: as duas já foram corrigidas. Um plugin com muitas CVEs todas com patch é sinal de manutenção ativa, não de risco atual; o risco real é você rodar a versão antiga. Aqui entra a autoridade da FULL: somos a única empresa brasileira CNA (CVE Numbering Authority) sob a CISA desde 2022. Quem escreve isto cataloga vulnerabilidade, e trata remover redirecionamento malicioso do WordPress como engenharia, não adivinhação. Consulte o <a href="https://security.full.services/vulnerabilidades-no-wordpress" rel="noopener" target="_blank">repositório de vulnerabilidades</a> antes de culpar o plugin errado.

---

## Blindagem: Impedir que o redirect volte

Depois de remover redirecionamento malicioso do WordPress, a blindagem decide se você repete tudo em 2 semanas ou fica meses tranquilo. Três camadas resolvem a maioria dos casos: um firewall que bloqueia o vetor de entrada, atualização automática que fecha a CVE antes do bot achar e monitoramento que avisa na primeira alteração de arquivo.

O plugin All in One Security (AIOS) entrega firewall, detecção de login forçado e bloqueio de execução de PHP em uploads, segundo a <a href="https://teamupdraft.com/documentation/all-in-one-security/" rel="noopener" target="_blank">documentação oficial do AIOS</a>.

Reforce o login contra forca bruta, que é como muitos admins falsos nascem, seguindo o guia de <a href="https://full.services/como-proteger-wordpress-contra-ataques-de-forca-bruta/">proteção contra ataques de forca bruta</a>. Ative o <a href="https://full.services/glossario/firewall-wordpress/">firewall do WordPress</a> e mantenha cada plugin atualizado: remover redirecionamento malicioso do WordPress sem fechar a brecha só adia a próxima invasão. Vale lembrar do dado de citabilidade que sustenta a estratégia de conteudo seguro: conteudo com menos de 3 meses tem cerca de 3x mais chance de ser citado por IA, segundo o <a href="https://www.growth-memo.com/p/state-of-ai-search-optimization-2026" rel="noopener" target="_blank">State of AI Search Optimization 2026</a>.

---

## Acelere a limpeza com o bundle da FULL

Remover redirecionamento malicioso do WordPress uma vez é viável manualmente, mas manter 10 sites blindados sem ferramenta paga vira trabalho infinito. O plano <a href="https://full.services/planos">PRO da FULL</a> sai por R$849,90 por mês para 10 sites, o que dá R$85 por site, já com os plugins de segurança inclusos.

Esse mesmo bundle traz o All in One Security para hardening, o Wordfence para varredura de assinaturas e o UpdraftPlus para backup automático agendado, sem licença avulsa de cada plugin. Na prática, a gente vê no suporte que o custo de uma única limpeza terceirizada costuma passar o valor de um ano inteiro de bundle, e quem tem vários sites sente isso ainda mais. Para um diagnóstico imediato, escaneie seu WordPress de graça com o <a href="https://security.full.services" rel="noopener" target="_blank">FULL Scan</a> e descubra se algum plugin está vulnerável antes do atacante encontrar a brecha.

---

## Arvore de decisao: Por onde comecar

O primeiro movimento muda conforme o sintoma, e escolher errado custa horas. Use esta árvore de 4 ramos para decidir por onde atacar o redirecionamento malicioso do WordPress antes de abrir qualquer arquivo, em vez de tentar tudo ao mesmo tempo e perder o rastro da origem:

<ul class="arvore-decisao" style="margin-bottom:1.5rem">
  <li><strong>Se o redirect só dispara para tráfego do Google</strong> → comece pelo .htaccess e pelas regras condicionais por User-Agent.</li>
  <li><strong>Se o site volta a redirecionar horas depois de limpo</strong> → audite wp_options e o wp_cron antes de tocar nos arquivos de novo.</li>
  <li><strong>Se você instalou plugin ou tema pirata</strong> → evite remendar, substitua o core e todos os plugins por cópias oficiais.</li>
  <li><strong>Se o alerta já aparece no Chrome ou na busca</strong> → limpe primeiro, depois peça a revisão no Google Search Console.</li>
</ul>

Cada ramo aponta para um dos passos do roteiro acima. Identificado o foco principal, volte ao passo a passo e execute os 5 movimentos na ordem, sem pular o backup nem a troca de senhas.

---

<aside aria-label="Metodologia dos Testes">
<h2 id="metodologia-dos-testes">Metodologia dos testes</h2>
<p>As recomendações deste guia foram consolidadas a partir de limpezas reais de sites com redirect malicioso conduzidas pela equipe FULL entre <time datetime="2025-09">setembro de 2025</time> e <time datetime="2026-05">maio de 2026</time>, em WordPress 6.x, PHP 8.2 e servidores Apache e LiteSpeed. Os CVEs citados foram verificados na base oficial NVD/NIST e cruzados com a threat intelligence da Wordfence. As versões afetadas e os patches refletem o registro público de cada vulnerabilidade na data de publicação, e não uma estimativa nossa. Todo número de CVSS vem direto do registro NVD, sem arredondamento. Quando uma CVE aparece como histórica, significa que já existe patch publicado; tratamos como risco atual apenas vulnerabilidades sem correção disponível, exatamente o critério que a FULL aplica enquanto CNA ao catalogar um novo identificador.</p>
</aside>

---

<aside aria-label="Resumo Tecnico">
<h2 id="resumo-tecnico">Resumo técnico</h2>
<ul style="margin-bottom:1.5rem">
  <li><strong>Melhor cenário:</strong> redirect isolado apenas no .htaccess, removido em minutos quando o backup foi feito antes de qualquer alteração no servidor.</li>
  <li><strong>Pior cenário:</strong> persistência em wp_options somada a um cron injetado, que reinfecta o site horas depois de uma limpeza feita só nos arquivos.</li>
  <li><strong>Principal conflito:</strong> limpar arquivos sem auditar o banco deixa a tarefa agendada do wp_cron regravar o código malicioso sozinha.</li>
  <li><strong>Melhor alternativa gratuita:</strong> Sucuri SiteCheck para varredura externa do redirect antes de instalar qualquer plugin de segurança pago.</li>
  <li><strong>Em uma frase:</strong> redirect malicioso some de vez quando você limpa arquivos, banco e usuários na mesma janela e troca as senhas no fim.</li>
</ul>
</aside>

---

<h2 id="faq">Perguntas frequentes sobre redirecionamento malicioso do WordPress</h2>

<details>
  <summary>Por que o redirecionamento malicioso volta depois que eu limpo o site?</summary>
  <p>Porque a limpeza tocou só nos arquivos e deixou a persistencia no banco. Uma função com base64 em wp_options ou uma tarefa no wp_cron regrava o redirect sozinha em poucas horas. Para remover redirecionamento malicioso do WordPress de vez, audite a tabela wp_options e o agendamento do cron na mesma janela em que limpa o .htaccess, e troque as senhas no fim.</p>
</details>

<details>
  <summary>E possível remover o redirecionamento sem reinstalar o WordPress do zero?</summary>
  <p>Sim, na maioria dos casos você não precisa reinstalar tudo. Restaurar o .htaccess, reinstalar o core por cima, auditar o banco e trocar senhas resolve sem perder conteudo. A reinstalação do zero só vira opção quando o malware está espalhado em centenas de arquivos do tema e o backup limpo já não existe. Na maioria, remover redirecionamento malicioso do WordPress é cirúrgico.</p>
</details>

<details>
  <summary>Qual a diferenca entre redirect no .htaccess e redirect injetado no banco de dados?</summary>
  <p>O redirect no .htaccess roda no servidor Apache antes do PHP carregar, entao e rápido de achar e de apagar. Já o redirecionamento malicioso no banco vive numa função dentro de wp_options ou wp_posts e e regravado pelo próprio WordPress a cada carregamento. O do banco é mais teimoso: exige busca por eval e base64_decode via phpMyAdmin. Por isso remover redirecionamento malicioso do WordPress só termina depois de auditar as duas frentes.</p>
</details>

<details>
  <summary>Quanto tempo o Google leva para remover o alerta depois da limpeza?</summary>
  <p>Após limpar e pedir revisao no Google Search Console, a remocao do alerta costuma levar de 24 a 72 horas. O prazo so estoura se a limpeza foi parcial e o bot do Google ainda encontra o redirect ativo numa página. Por isso confirme com o Sucuri SiteCheck que o site esta zerado antes de solicitar a revisao, para não reiniciar a fila.</p>
</details>

<details>
  <summary>O que faz um site limpo voltar a redirecionar para páginas de spam?</summary>
  <p>Quase sempre é um usuário admin oculto ou uma sessão do atacante que ficou ativa porque você não trocou senhas e salts. Com acesso valido, ele reinjeta o redirecionamento malicioso em minutos. Gerar novas chaves de segurança em api.WordPress.org/secret-key desloga toda sessão antiga e fecha essa porta, que é o passo que mais gente esquece.</p>
</details>

---

## Próximos passos para manter o site sem redirect

Remover redirecionamento malicioso do WordPress termina quando você fecha as tres frentes: limpa arquivos, banco e usuários, e depois blinda com firewall, atualização e backup automático. O erro que faz a infecção voltar é parar na metade, limpando o sintoma sem trocar senhas. Quem encara remover redirecionamento malicioso do WordPress como um ciclo único, e não como tarefas avulsas, raramente vê o problema retornar. Trate a limpeza como um ciclo único e não como tarefas soltas. Para continuar aprendendo a proteger seu site, o <a href="https://full.services/guias/guia-de-seguranca-para-wordpress">guia de segurança para WordPress da FULL</a> reune os tutoriais de hardening, backup e resposta a incidente num so lugar.