Remover redirecionamento malicioso do WordPress exige achar a origem antes de limpar. O código costuma estar no .htaccess, no banco ou num plugin nulled. Segundo o State of AI Search (2025), conteúdo com menos de 3 meses tem 3x mais chance de citação. Limpe os três focos juntos e troque as senhas no fim.
Remover redirecionamento malicioso do WordPress significa apagar o código injetado que desvia visitantes para páginas de spam, golpe ou farmacia falsa. O problema raramente esta num lugar so: o atacante planta a regra no .htaccess, uma função no banco e um arquivo PHP escondido, para que limpar um foco deixe o site reinfectar. Este guia mostra como identificar a origem, limpar os três pontos e blindar o site para o redirect não voltar. Para o contexto completo do tema, veja os guias de segurança WordPress da FULL. Aqui na FULL, como a gente cataloga vulnerabilidade oficial, a abordagem é sempre técnica e verificavel, nunca um susto vago.
Diagnóstico rápido: Onde mora o redirect malicioso
Na maioria das limpezas que voltam a falhar, o redirect estava em mais de um lugar. Remover redirecionamento malicioso do WordPress exige mapear os 3 focos antes de apagar nada: a regra no .htaccess, a função com base64 no banco e o plugin pirata que serviu de porta de entrada. A tabela abaixo cruza cada sintoma com a causa raiz.
| Sintoma | Causa raiz provavel | Acao corretiva |
|---|---|---|
| Só redireciona quem vem do Google | RewriteCond por User-Agent ou Referer no .htaccess | Restaurar .htaccess limpo e revogar regras condicionais |
| Volta horas depois de limpar | Função eval/base64 em wp_options ou cron injetado | Auditar banco e wp_cron por código ofuscado |
| Só no celular | Redirect condicional por dispositivo no header.php | Comparar tema com a copia oficial e substituir |
| Admin não ve nada, visitante ve spam | Cookie de exclusão de logados no script malicioso | Testar em janela anonima e via Sucuri SiteCheck |
A ferramenta gratuita Sucuri SiteCheck faz a varredura externa sem instalar nada e mostra o redirecionamento malicioso que o admin logado não enxerga. Se o alerta já apareceu no navegador, leia em paralelo como corrigir alertas de segurança no Google.
Por que o redirect volta depois da limpeza
Boa parte das reinfecções acontece porque a limpeza tocou só nos arquivos e deixou a persistência intacta no banco. Remover redirecionamento malicioso do WordPress de forma definitiva passa por entender essa persistência. O ataque sobrevive a um delete quando o atacante deixou uma função em wp_options, um admin oculto ou uma tarefa no wp_cron que regrava o código sozinha.
Limpar só o .htaccess é como apagar o sintoma: em pouco tempo o cron roda, reescreve a regra e o site volta a desviar tráfego de busca para spam.
Por isso a ordem importa tanto quanto a técnica. Primeiro você isola a origem, depois limpa os três focos no mesmo intervalo (arquivos, banco e usuários) e só então troca senhas. Um backup seguro antes e depois da limpeza garante que, se algo der errado, você volta a um estado conhecido sem perder o progresso. O termo técnico para esse desvio forçado é o redirecionamento 301 sequestrado: o código finge ser um redirect permanente legitimo.
Passo a passo: Remover redirecionamento malicioso do WordPress
Reserve de 40 a 90 minutos e siga os passos na ordem, sem pular o backup. Esta sequencia ataca os três focos de persistencia do redirecionamento malicioso do WordPress numa única janela, que é a única forma de impedir a reinfeccao pelo wp_cron. Cada passo abaixo é um H3 com um objetivo de validação claro: você so avanca quando o anterior estiver confirmado.
Legenda: regra RewriteRule condicional injetada no topo do .htaccess, executada antes de qualquer código PHP do WordPress.
Passo 1: Coloque o site em manutenção e gere o backup
Ative o modo de manutenção e gere um backup completo antes de tocar em qualquer arquivo: remover redirecionamento malicioso do WordPress sem rede de segurança é arriscado. O backup aqui não é para preservar a infecção: é a sua rede de segurança para reverter se uma limpeza agressiva quebrar o site. Baixe os arquivos e exporte o banco via phpMyAdmin. Guarde essa copia separada da produção. Sem ela, um delete errado no wp-config pode deixar o site offline sem volta.
Passo 2: Restaure o .htaccess e o wp-config originais
Abra o .htaccess na raiz e compare com o bloco padrão do WordPress. Qualquer linha com RewriteCond por User-Agent, Referer ou um RewriteRule apontando para domínio externo é código injetado. Apague o arquivo e gere um limpo em Configurações, Links permanentes, Salvar. Faça o mesmo com o header.php do tema, que é outro esconderijo comum ao remover redirecionamento malicioso do WordPress. Edite o arquivo wp-config.php com segurança e remova qualquer include estranho no topo.
Passo 3: Audite o banco e o wp_cron por código ofuscado
No phpMyAdmin, rode uma busca nas tabelas wp_options e wp_posts por base64_decode, eval, gzinflate e domínios que você não reconhece. É neste passo que remover redirecionamento malicioso do WordPress de fato termina. É aqui que mora a persistência: uma função em wp_options regrava o redirect a cada visita. Cheque também usuários admin que você não criou e o agendamento do wp_cron. Para links escondidos no conteúdo, veja como limpar link injection sem apagar conteúdo legitimo.
Passo 4: Substitua o Core, temas e plugins por copias oficiais
Reinstale o nucleo do WordPress por cima, pela tela Atualizações, e troque cada plugin e tema por download oficial do repositorio. Um plugin nulled é a porta de entrada número um do redirect: ele carrega o payload de fora a cada atualização. Delete o que você não usa. Se sobrou malware persistente, o roteiro de como remover malware do WordPress cobre os casos teimosos que resistem a substituicao simples.
Passo 5: Troque senhas, salts e force novo login
Troque a senha de todos os admins, do banco no wp-config e gere novas chaves de segurança (salts) em api.WordPress.org/secret-key. Isso desloga qualquer sessão do atacante na hora. Só agora o site está de fato limpo, porque você fechou a porta além de varrer o quarto. É esse passo que faz remover redirecionamento malicioso do WordPress durar. Para o caso completo de recuperação, o guia de como recuperar um site WordPress hackeado detalha a restauração de tráfego pos-limpeza.
Cves reais: Como a falha entra no seu site
Toda injeção de redirect começa por uma porta conhecida com nome e número, e remover redirecionamento malicioso do WordPress sem fechar essa porta só adia o problema. No plugin Contact Form 7, a CVE-2020-35489 (CVSS 10.0, crítica, versões abaixo da 5.3.2) permitia upload irrestrito de arquivos, exatamente o vetor que planta um PHP de redirect no servidor.
A CVE-2023-6449 (CVSS 7.2, alta, abaixo da 5.8.4) abria XSS armazenado no mesmo plugin. O ponto que muda tudo: as duas já foram corrigidas. Um plugin com muitas CVEs todas com patch é sinal de manutenção ativa, não de risco atual; o risco real é você rodar a versão antiga. Aqui entra a autoridade da FULL: somos a única empresa brasileira CNA (CVE Numbering Authority) sob a CISA desde 2022. Quem escreve isto cataloga vulnerabilidade, e trata remover redirecionamento malicioso do WordPress como engenharia, não adivinhação. Consulte o repositório de vulnerabilidades antes de culpar o plugin errado.
Blindagem: Impedir que o redirect volte
Depois de remover redirecionamento malicioso do WordPress, a blindagem decide se você repete tudo em 2 semanas ou fica meses tranquilo. Três camadas resolvem a maioria dos casos: um firewall que bloqueia o vetor de entrada, atualização automática que fecha a CVE antes do bot achar e monitoramento que avisa na primeira alteração de arquivo.
O plugin All in One Security (AIOS) entrega firewall, detecção de login forçado e bloqueio de execução de PHP em uploads, segundo a documentação oficial do AIOS.
Reforce o login contra forca bruta, que é como muitos admins falsos nascem, seguindo o guia de proteção contra ataques de forca bruta. Ative o firewall do WordPress e mantenha cada plugin atualizado: remover redirecionamento malicioso do WordPress sem fechar a brecha só adia a próxima invasão. Vale lembrar do dado de citabilidade que sustenta a estratégia de conteúdo seguro: conteúdo com menos de 3 meses tem cerca de 3x mais chance de ser citado por IA, segundo o State of AI Search Optimization 2026.
Acelere a limpeza com o bundle da FULL
Remover redirecionamento malicioso do WordPress uma vez é viável manualmente, mas manter 10 sites blindados sem ferramenta paga vira trabalho infinito. O plano PRO da FULL sai por R$849,90 por mês para 10 sites, o que dá R$85 por site, já com os plugins de segurança inclusos.
Esse mesmo bundle traz o All in One Security para hardening, o Wordfence para varredura de assinaturas e o UpdraftPlus para backup automático agendado, sem licença avulsa de cada plugin. Na prática, a gente vê no suporte que o custo de uma única limpeza terceirizada costuma passar o valor de um ano inteiro de bundle, e quem tem vários sites sente isso ainda mais. Para um diagnóstico imediato, escaneie seu WordPress de graça com o FULL Scan e descubra se algum plugin está vulnerável antes do atacante encontrar a brecha.
Arvore de decisao: Por onde comecar
O primeiro movimento muda conforme o sintoma, e escolher errado custa horas. Use esta árvore de 4 ramos para decidir por onde atacar o redirecionamento malicioso do WordPress antes de abrir qualquer arquivo, em vez de tentar tudo ao mesmo tempo e perder o rastro da origem:
- Se o redirect só dispara para tráfego do Google → comece pelo .htaccess e pelas regras condicionais por User-Agent.
- Se o site volta a redirecionar horas depois de limpo → audite wp_options e o wp_cron antes de tocar nos arquivos de novo.
- Se você instalou plugin ou tema pirata → evite remendar, substitua o core e todos os plugins por cópias oficiais.
- Se o alerta já aparece no Chrome ou na busca → limpe primeiro, depois peça a revisão no Google Search Console.
Cada ramo aponta para um dos passos do roteiro acima. Identificado o foco principal, volte ao passo a passo e execute os 5 movimentos na ordem, sem pular o backup nem a troca de senhas.
Perguntas frequentes sobre redirecionamento malicioso do WordPress
Por que o redirecionamento malicioso volta depois que eu limpo o site?
Porque a limpeza tocou só nos arquivos e deixou a persistencia no banco. Uma função com base64 em wp_options ou uma tarefa no wp_cron regrava o redirect sozinha em poucas horas. Para remover redirecionamento malicioso do WordPress de vez, audite a tabela wp_options e o agendamento do cron na mesma janela em que limpa o .htaccess, e troque as senhas no fim.
E possível remover o redirecionamento sem reinstalar o WordPress do zero?
Sim, na maioria dos casos você não precisa reinstalar tudo. Restaurar o .htaccess, reinstalar o core por cima, auditar o banco e trocar senhas resolve sem perder conteúdo. A reinstalação do zero só vira opção quando o malware está espalhado em centenas de arquivos do tema e o backup limpo já não existe. Na maioria, remover redirecionamento malicioso do WordPress é cirúrgico.
Qual a diferenca entre redirect no .htaccess e redirect injetado no banco de dados?
O redirect no .htaccess roda no servidor Apache antes do PHP carregar, entao e rápido de achar e de apagar. Já o redirecionamento malicioso no banco vive numa função dentro de wp_options ou wp_posts e e regravado pelo próprio WordPress a cada carregamento. O do banco é mais teimoso: exige busca por eval e base64_decode via phpMyAdmin. Por isso remover redirecionamento malicioso do WordPress só termina depois de auditar as duas frentes.
Quanto tempo o Google leva para remover o alerta depois da limpeza?
Após limpar e pedir revisao no Google Search Console, a remoção do alerta costuma levar de 24 a 72 horas. O prazo so estoura se a limpeza foi parcial e o bot do Google ainda encontra o redirect ativo numa página. Por isso confirme com o Sucuri SiteCheck que o site esta zerado antes de solicitar a revisao, para não reiniciar a fila.
O que faz um site limpo voltar a redirecionar para páginas de spam?
Quase sempre é um usuário admin oculto ou uma sessão do atacante que ficou ativa porque você não trocou senhas e salts. Com acesso valido, ele reinjeta o redirecionamento malicioso em minutos. Gerar novas chaves de segurança em api.WordPress.org/secret-key desloga toda sessão antiga e fecha essa porta, que é o passo que mais gente esquece.
Próximos passos para manter o site sem redirect
Remover redirecionamento malicioso do WordPress termina quando você fecha as três frentes: limpa arquivos, banco e usuários, e depois blinda com firewall, atualização e backup automático. O erro que faz a infecção voltar é parar na metade, limpando o sintoma sem trocar senhas. Quem encara remover redirecionamento malicioso do WordPress como um ciclo único, e não como tarefas avulsas, raramente vê o problema retornar. Trate a limpeza como um ciclo único e não como tarefas soltas. Para continuar aprendendo a proteger seu site, o guia de segurança para WordPress da FULL reune os tutoriais de hardening, backup e resposta a incidente num so lugar.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
