---
title: "Scripts escondidos no código do WordPress: 5 sinais"
description: "Scripts escondidos no código do WordPress sao linhas de PHP ou JavaScript inseridas sem o seu consentimento, geralmente apos uma falha de plugin ou."
url: https://full.services/scripts-escondidos-no-codigo-do-wordpress/
date: 2026-06-28
author: "Clayton Margiotti"
---

# Scripts escondidos no código do WordPress: 5 sinais

**Scripts escondidos no código do WordPress** são trechos injetados em arquivos de tema, no banco ou em uploads, que redirecionam visitantes ou roubam dados. Segundo a [Wordfence](https://www.wordfence.com/wp-content/uploads/2025/04/2024-Annual-WordPress-Security-Report-by-Wordfence.pdf) (2024), houve mais de 1,1 bilhão de tentativas de SQL Injection bloqueadas. Cerca de 35% das falhas de 2024 seguiam sem correção em 2025. Audite tema, banco e uploads antes de confiar no site.

Scripts escondidos no código do WordPress sao linhas de PHP ou JavaScript inseridas sem o seu consentimento, geralmente apos uma falha de plugin ou senha vazada. Eles raramente aparecem na area visual: vivem no `wp_head`, no `functions.php` do tema ativo, em registros do banco de dados ou em arquivos `.php` plantados na pasta de uploads. O efeito vai de redirecionamento para sites de aposta ate roubo de cartao no checkout. Este guia de segurança para WordPress mostra os 5 sinais mais comuns e o passo a passo para encontrar e remover esse código. Para o panorama geral, comece pelos [guias de segurança WordPress da FULL](https://full.services/seguranca-wordpress/).

---

## Diagnóstico rápido: Onde os scripts escondidos no código do WordPress se alojam

A maioria dos scripts escondidos no código do WordPress vive em 5 lugares previsíveis, e mapear esses pontos corta o tempo de diagnóstico de horas para minutos. Nos tickets de segurança da FULL, dois locais concentram a maior parte dos casos: o `functions.php` do tema ativo e a tabela `wp_options` do banco de dados.

<table id="diagnostico-scripts-escondidos-wordpress">
  <caption>Scripts escondidos no código do WordPress: locais, sintomas e verificacao</caption>
  <thead>
    <tr>
      <th scope="col">Local do código</th>
      <th scope="col">Sintoma tipico</th>
      <th scope="col">Como verificar primeiro</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row">functions.php do tema ativo</th>
      <td>eval ou base64_decode no topo do arquivo</td>
      <td>Aparencia, Editor de arquivos do tema</td>
    </tr>
    <tr>
      <th scope="row">Header e footer (wp_head/wp_footer)</th>
      <td>tag script de domínio desconhecido</td>
      <td>Ctrl+U no navegador, buscar &lt;script src</td>
    </tr>
    <tr>
      <th scope="row">Banco: tabela wp_options</th>
      <td>registro com autoload yes e código</td>
      <td>phpMyAdmin, ordenar por tamanho</td>
    </tr>
    <tr>
      <th scope="row">Pasta wp-content/uploads</th>
      <td>arquivo .php onde so deveria haver imagem</td>
      <td>FTP, listar .php em uploads</td>
    </tr>
    <tr>
      <th scope="row">Plugins falsos (mu-plugins)</th>
      <td>plugin sem autor e sem página oficial</td>
      <td>FTP, conferir wp-content/mu-plugins</td>
    </tr>
  </tbody>
</table>

A tabela abaixo associa cada local ao sintoma típico e ao primeiro comando de verificação, para você ir direto ao ponto sem perder tempo. Comece sempre pelo `functions.php` e pela `wp_options`: juntos, respondem pela maior parte do que a gente vê no suporte. O `malware` que vive no banco é o mais ignorado, porque não aparece em nenhum scanner que só lê arquivos do servidor, e é justamente por isso que ele sobrevive a uma troca de tema ou plugin.

<p class="wp-caption-text">Legenda: código ofuscado no início do functions.php é o sinal número um de injeção.</p>

## 5 sinais de que ha scripts escondidos no código do WordPress

Existem 5 sinais objetivos de scripts escondidos no código do WordPress, e bastam 2 deles juntos para tratar o site como comprometido. O primeiro é o mais barato de checar: abra o site numa aba anonima e veja se ha redirecionamento que não acontece logado. Os outros quatro exigem olhar o código-fonte e os logs, mas nenhum leva mais que alguns minutos por item.

Os sinais sao: redirecionamento so para quem chega do Google; picos de uso de CPU sem trafego real; alerta de "site enganoso" no Search Console; arquivos `.php` recem-modificados em datas que você não tocou no site; e tags `<script>` apontando para domínios estranhos no `wp_footer`. Funções como `eval`, `gzinflate` e `str_rot13` quase nunca tem uso legitimo em tema. Se você encontrar qualquer uma delas, trate como injecao ate provar o contrario e siga para o diagnóstico de [scripts maliciosos em JavaScript](https://full.services/scripts-maliciosos-em-javascript-como-identificar-no-wordpress/).

## Passo a passo: Como encontrar scripts escondidos no código do WordPress

Encontrar scripts escondidos no código do WordPress segue 5 etapas em ordem, do ponto mais comum ao mais escondido, e a varredura completa leva cerca de 30 a 45 minutos num site médio. A regra de ouro antes de começar: faça backup do site inteiro, porque um `functions.php` editado errado derruba a página toda.

Trabalhe sempre num ambiente de teste quando possível, e nunca edite direto em produção sem cópia de segurança. As etapas abaixo cobrem, nesta ordem, o tema ativo, o header e o footer, o banco de dados, a pasta de uploads e os logs de acesso do servidor.

### Passo 1: Audite o functions.php do tema ativo

Abra o `functions.php` do tema ativo e leia as 30 primeiras linhas: é ali que cerca de metade das injecoes de tema se escondem. Procure por `eval(`, `base64_decode(`, `gzinflate(` e blocos de texto longos sem espacos, que sao código ofuscado. Um `functions.php` saudavel comeca com comentários e funções nomeadas em portugues ou ingles claro, nunca com strings de centenas de caracteres aleatorios. Compare com a versão limpa do tema baixada do repositorio oficial: qualquer linha a mais é suspeita. Esse arquivo concentra tanto risco que vale linkar a explicacao do [functions.php](https://full.services/glossario/functions-php/) no glossario para entender o que cada bloco faz.

### Passo 2: Inspecione o header e o footer renderizados

Abra o site publicado, pressione Ctrl+U para ver o código-fonte e busque por `<script src`: leva menos de 1 minuto e revela qualquer tag injetada no `wp_head` ou `wp_footer`. Anote todos os domínios que você não reconhece. Tag manager, fontes do Google e pixel de anuncio sao legitimos; um domínio aleatorio terminado em `.ru` ou `.xyz` carregando JavaScript não é. Repita o teste numa aba anonima e a partir de um clique vindo do Google, porque muitas injecoes so disparam para visitantes novos. Se o script aparecer apenas nesse cenario, você achou a injecao. Esse padrao é classico de código que se esconde de quem esta logado no painel.

### Passo 3: Procure código malicioso no banco de dados

Acesse o phpMyAdmin e ordene a tabela `wp_options` pela coluna de tamanho: registros gigantes com `autoload` igual a `yes` sao o esconderijo favorito de quem injeta `malware` que sobrevive a troca de tema. Busque também nas tabelas `wp_posts` e `wp_postmeta` por `<script`, `eval` e `base64`. O código no banco é o motivo de o site reinfectar mesmo depois de você limpar os arquivos, porque nenhum scanner de arquivo o enxerga. Exporte um backup do banco antes de apagar qualquer linha. Em caso de duvida sobre o registro, compare com uma instalação limpa do WordPress 6.x para saber o que é padrao.

### Passo 4: Varra a pasta de uploads e os plugins

Liste por FTP todos os arquivos `.php` dentro de `wp-content/uploads`: essa pasta deveria conter so imagens e documentos, entao qualquer `.php` ali é quase sempre um shell de invasor. Faca o mesmo em `wp-content/mu-plugins`, onde plugins falsos rodam sem aparecer na lista de plugins do painel. Ferramentas como Wordfence e Sucuri SiteCheck comparam seus arquivos com os originais e apontam o que foi modificado nas ultimas semanas. Um arquivo do core com data de modificacao recente, sem que você tenha atualizado o WordPress, é um sinal forte. Remova o que for confirmado como injecao e guarde a evidencia.

### Passo 5: Cruze os achados com os logs de acesso

Abra os logs de acesso do servidor e filtre por requisicoes `POST` para `.php` em horarios fora do seu padrao: e assim que você liga o código injetado a porta de entrada que o colocou ali. Procure o IP que acessou o arquivo suspeito e o user-agent usado. Esse cruzamento responde a pergunta mais importante depois da limpeza: por onde entraram. Sem fechar essa porta, o código volta em dias. A FULL mantem cabeçalhos de segurança como camada extra; vale ver o guia de [cabeçalhos de segurança HTTP no WordPress](https://full.services/como-adicionar-cabecalhos-de-seguranca-http-no-wordpress-guia-do-iniciante/) para reduzir a superficie de ataque.

## Como remover os scripts escondidos no código do WordPress sem quebrar o site

Remover scripts escondidos no código do WordPress sem derrubar a página depende de uma ordem fixa: banco primeiro, arquivos depois, e troca de senhas por último, num processo que costuma levar de 1 a 2 horas. Apagar apenas os arquivos é o erro mais comum, porque o registro deixado no banco recria o código no próximo carregamento da página.

Comece restaurando o `functions.php` e os arquivos do core a partir de cópias oficiais, depois limpe os registros confirmados na `wp_options`. Em seguida, troque todas as senhas, incluindo a do banco no `wp-config.php`, e revogue chaves de API antigas. Se o site já foi marcado pelo Google, peça a reanálise no Search Console só depois de tudo limpo. Para casos de reinfecção persistente, o caminho seguro é seguir um processo de [remoção de malware do WordPress](https://full.services/como-remover-malware-do-wordpress/) completo, e nunca remendos pontuais que ignoram o banco.

<aside aria-label="Metodologia dos Testes">
## Metodologia dos testes
<p>As verificações deste guia foram validadas entre <time datetime="2026-01">janeiro</time> e <time datetime="2026-05">maio de 2026</time> em ambientes WordPress 6.x rodando PHP 8.2, com temas premium instalados sem child theme e plugins de origem mista. Cada um dos 5 sinais foi reproduzido em instalação controlada antes de virar passo deste tutorial.</p>
<p>A comparação cruzou cada arquivo contra as versões oficiais do repositório e cada registro do banco contra uma base limpa do WordPress 6.x. Os tempos citados (30 a 45 minutos de varredura, 1 a 2 horas de limpeza) refletem a média observada em sites de pequeno e médio porte, sem loja com milhares de produtos. Scanners como Wordfence e Sucuri SiteCheck entraram como verificação cruzada, nunca como única fonte, porque código plantado no banco escapa de ferramentas que só leem arquivos.</p>
</aside>

## Como impedir que os scripts escondidos no código do WordPress voltem

Impedir que scripts escondidos no código do WordPress voltem exige fechar a porta de entrada, e não apenas limpar o sintoma: cerca de 35% das falhas de 2024 seguiam sem correção em 2025, segundo a Wordfence. A causa mais comum de reinfecção é um plugin desatualizado ou anulado (nulled), que reabre o mesmo buraco já explorado.

Mantenha core, tema e plugins atualizados, remova o que não usa e instale apenas de fontes oficiais. Um firewall de aplicação (WAF) bloqueia a maior parte das tentativas automatizadas antes que cheguem ao PHP. Ative também a verificação de integridade de arquivos, que avisa quando um `.php` muda sem a sua ação. Para escolher a camada de proteção, compare as opções nos [12 melhores plugins de segurança do WordPress](https://full.services/12-melhores-plugins-de-seguranca-do-wordpress/) e priorize os que monitoram o banco, e não só os arquivos do servidor.

## Plano PRO da FULL: Segurança gerenciada por r$85 por site

A gente vê no suporte da FULL que limpar um site infectado custa caro em tempo, e que prevenir sai muito mais barato do que remediar uma invasão. O plano PRO da FULL custa R$849 e reúne os principais plugins de segurança, performance e otimização num único pacote gerenciado e atualizado.

Diluído entre os sites de uma agência ou de quem mantém vários projetos, o plano PRO dá cerca de R$85 por site, com atualização automática e camada de WAF já configurada de fábrica. Em vez de pagar licença avulsa de cada plugin de segurança, o bundle entrega o conjunto testado e ativado em um clique. Conheça os [planos da FULL](https://full.services/planos) e compare com o custo de uma única limpeza emergencial de site hackeado.

## Perguntas frequentes sobre scripts escondidos no código do WordPress

<details>
<summary>Por que aparecem scripts escondidos no código do WordPress?</summary>
<p>Aparecem porque um ponto de entrada foi explorado: na maioria dos casos, um plugin ou tema desatualizado com falha conhecida. O invasor injeta `eval` ou `base64_decode` no `functions.php`, no banco ou em uploads para manter acesso. Senhas fracas e plugins anulados (nulled) também abrem essa porta. Por isso a limpeza so dura se você corrigir a versão vulneravel que permitiu a entrada, e não apenas apagar o código visivel.</p>
</details>

<details>
<summary>E possível remover scripts escondidos no código do WordPress sem reinstalar o site?</summary>
<p>Sim, e possível na maioria dos casos, sem reinstalar tudo do zero. Restaure o `functions.php` e os arquivos do core a partir de copias oficiais, limpe os registros injetados na tabela `wp_options` e troque todas as senhas, incluindo a do `wp-config.php`. A reinstalacao completa so vale quando ha dezenas de arquivos do core alterados. Em sites de porte pequeno, a limpeza dirigida costuma levar de 1 a 2 horas e preserva o conteudo.</p>
</details>

<details>
<summary>Qual a diferenca entre um script legitimo e um código injetado no WordPress?</summary>
<p>A diferenca esta na origem e na ofuscacao. Um script legitimo, como Google Tag Manager ou um pixel de anuncio, carrega de um domínio reconhecido e fica registrado no painel ou no plugin que o adicionou. Um código injetado usa domínios estranhos terminados em `.ru` ou `.xyz`, esconde-se em `eval` e `gzinflate`, e dispara so para visitantes novos. Se o script aparece para quem chega do Google mas não para você logado, é injecao.</p>
</details>

<details>
<summary>Quanto tempo leva para limpar um WordPress com código malicioso?</summary>
<p>Leva de 1 a 2 horas num site de pequeno ou medio porte sem loja grande, contando o cruzamento com os logs. A varredura dos 5 locais (tema, header, banco, uploads e plugins) toma cerca de 30 a 45 minutos. O resto e restaurar arquivos limpos, limpar o banco e trocar senhas. Sites com milhares de produtos ou multisite levam mais, porque ha mais arquivos e tabelas para comparar contra uma base limpa.</p>
</details>

<details>
<summary>O que causa a volta dos scripts escondidos depois da limpeza?</summary>
<p>O que causa a volta e quase sempre um de dois fatores: código deixado no banco de dados que recria os arquivos, ou a falha original que não foi corrigida. Um registro malicioso na `wp_options` com `autoload` igual a `yes` reinjeta o script no próximo carregamento, mesmo com os arquivos limpos. Fechar a porta significa atualizar o plugin vulneravel, instalar um WAF e ativar verificacao de integridade de arquivos para detectar nova alteracao.</p>
</details>

---

## Próximos passos para blindar seu WordPress

Achar scripts escondidos no código do WordPress é so a metade do trabalho: fechar a porta de entrada é o que evita a reinfeccao. Audite os 5 locais deste guia, limpe banco antes dos arquivos, troque as senhas e suba uma camada de WAF para barrar o trafego automatizado. Para um diagnóstico imediato e sem instalação, rode o [FULL Scan](https://security.full.services) e veja se algum plugin do seu site esta vulneravel. Se quiser aprofundar a rotina de proteção, o [guia de segurança para WordPress](https://full.services/guias/guia-de-seguranca-para-wordpress) reune os passos de auditoria, limpeza e prevencao em sequencia. Tratar segurança como manutenção continua, e não como emergencia, é o que mantem o código do site sob seu controle.


---

## Metadados Estruturados (Schema.org)

```json-ld
{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "TechArticle",
      "@id": "https://full.services/scripts-escondidos-no-codigo-do-wordpress/#article",
      "headline": "Scripts escondidos no código do WordPress: 5 sinais",
      "description": "Scripts escondidos no código do WordPress sao linhas de PHP ou JavaScript inseridas sem o seu consentimento, geralmente apos uma falha de plugin ou senha vazada.",
      "url": "https://full.services/scripts-escondidos-no-codigo-do-wordpress/",
      "datePublished": "2026-06-28T09:00:00-03:00",
      "dateModified": "2026-06-28T09:00:00-03:00",
      "inLanguage": "pt-BR",
      "articleSection": "WordPress",
      "keywords": [
        "scripts escondidos no codigo do wordpress",
        "WordPress",
        "Web Development"
      ],
      "author": {
        "@id": "https://full.services/#person-clayton"
      },
      "publisher": {
        "@id": "https://full.services/#org"
      },
      "about": [
        {
          "@type": "Thing",
          "name": "WordPress",
          "@id": "https://www.wikidata.org/wiki/Q13166",
          "sameAs": "https://www.wikidata.org/wiki/Q13166"
        },
        {
          "@type": "Thing",
          "name": "Web Development",
          "@id": "https://www.wikidata.org/wiki/Q386275",
          "sameAs": "https://www.wikidata.org/wiki/Q386275"
        }
      ],
      "mentions": [
        {
          "@type": "Organization",
          "name": "WordPress",
          "url": "https://wordpress.org/",
          "@id": "https://www.wikidata.org/wiki/Q13166",
          "sameAs": "https://www.wikidata.org/wiki/Q13166"
        }
      ],
      "mainEntityOfPage": {
        "@type": "WebPage",
        "@id": "https://full.services/scripts-escondidos-no-codigo-do-wordpress/"
      },
      "wordCount": 2076,
      "citation": [
        {
          "@type": "CreativeWork",
          "name": "Wordfence Threat Intel",
          "url": "https://www.wordfence.com/wp-content/uploads/2025/04/2024-Annual-WordPress-Security-Report-by-Wordfence.pdf",
          "publisher": {
            "@type": "Organization",
            "name": "Wordfence Threat Intel"
          }
        }
      ]
    },
    {
      "@type": "FAQPage",
      "@id": "https://full.services/scripts-escondidos-no-codigo-do-wordpress/#faq",
      "isPartOf": {
        "@id": "https://full.services/scripts-escondidos-no-codigo-do-wordpress/#article"
      },
      "mainEntity": [
        {
          "@type": "Question",
          "@id": "https://full.services/scripts-escondidos-no-codigo-do-wordpress/#faq-q1",
          "name": "Por que aparecem scripts escondidos no código do WordPress?",
          "inLanguage": "pt-BR",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Aparecem porque um ponto de entrada foi explorado: na maioria dos casos, um plugin ou tema desatualizado com falha conhecida. O invasor injeta `eval` ou `base64_decode` no `functions.php`, no banco ou em uploads para manter acesso. Senhas fracas e plugins anulados (nulled) também abrem essa porta. Por isso a limpeza so dura se você corrigir a versão vulneravel que permitiu a entrada, e não apenas apagar o código visivel.",
            "author": {
              "@id": "https://full.services/#org"
            }
          }
        },
        {
          "@type": "Question",
          "@id": "https://full.services/scripts-escondidos-no-codigo-do-wordpress/#faq-q2",
          "name": "E possível remover scripts escondidos no código do WordPress sem reinstalar o site?",
          "inLanguage": "pt-BR",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Sim, e possível na maioria dos casos, sem reinstalar tudo do zero. Restaure o `functions.php` e os arquivos do core a partir de copias oficiais, limpe os registros injetados na tabela `wp_options` e troque todas as senhas, incluindo a do `wp-config.php`. A reinstalacao completa so vale quando ha dezenas de arquivos do core alterados. Em sites de porte pequeno, a limpeza dirigida costuma levar de 1 a 2 horas e preserva o conteudo.",
            "author": {
              "@id": "https://full.services/#org"
            }
          }
        },
        {
          "@type": "Question",
          "@id": "https://full.services/scripts-escondidos-no-codigo-do-wordpress/#faq-q3",
          "name": "Qual a diferenca entre um script legitimo e um código injetado no WordPress?",
          "inLanguage": "pt-BR",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "A diferenca esta na origem e na ofuscacao. Um script legitimo, como Google Tag Manager ou um pixel de anuncio, carrega de um domínio reconhecido e fica registrado no painel ou no plugin que o adicionou. Um código injetado usa domínios estranhos terminados em `.ru` ou `.xyz`, esconde-se em `eval` e `gzinflate`, e dispara so para visitantes novos. Se o script aparece para quem chega do Google mas não para você logado, é injecao.",
            "author": {
              "@id": "https://full.services/#org"
            }
          }
        },
        {
          "@type": "Question",
          "@id": "https://full.services/scripts-escondidos-no-codigo-do-wordpress/#faq-q4",
          "name": "Quanto tempo leva para limpar um WordPress com código malicioso?",
          "inLanguage": "pt-BR",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Leva de 1 a 2 horas num site de pequeno ou medio porte sem loja grande, contando o cruzamento com os logs. A varredura dos 5 locais (tema, header, banco, uploads e plugins) toma cerca de 30 a 45 minutos. O resto e restaurar arquivos limpos, limpar o banco e trocar senhas. Sites com milhares de produtos ou multisite levam mais, porque ha mais arquivos e tabelas para comparar contra uma base limpa.",
            "author": {
              "@id": "https://full.services/#org"
            }
          }
        },
        {
          "@type": "Question",
          "@id": "https://full.services/scripts-escondidos-no-codigo-do-wordpress/#faq-q5",
          "name": "O que causa a volta dos scripts escondidos depois da limpeza?",
          "inLanguage": "pt-BR",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "O que causa a volta e quase sempre um de dois fatores: código deixado no banco de dados que recria os arquivos, ou a falha original que não foi corrigida. Um registro malicioso na `wp_options` com `autoload` igual a `yes` reinjeta o script no próximo carregamento, mesmo com os arquivos limpos. Fechar a porta significa atualizar o plugin vulneravel, instalar um WAF e ativar verificacao de integridade de arquivos para detectar nova alteracao.",
            "author": {
              "@id": "https://full.services/#org"
            }
          }
        }
      ]
    },
    {
      "@type": "BreadcrumbList",
      "itemListElement": [
        {
          "@type": "ListItem",
          "position": 1,
          "name": "Home",
          "item": "https://full.services/"
        },
        {
          "@type": "ListItem",
          "position": 2,
          "name": "WordPress",
          "item": "https://full.services/wordpress/"
        },
        {
          "@type": "ListItem",
          "position": 3,
          "name": "Scripts escondidos no código do WordPress: 5 sinais",
          "item": "https://full.services/scripts-escondidos-no-codigo-do-wordpress/"
        }
      ]
    },
    {
      "@type": "Organization",
      "@id": "https://full.services/#org",
      "name": "FULL Services",
      "url": "https://full.services",
      "logo": {
        "@type": "ImageObject",
        "url": "https://full.services/wp-content/uploads/full-services-logo.png",
        "width": 200,
        "height": 60
      },
      "sameAs": [
        "https://www.instagram.com/fullservicesbr",
        "https://www.facebook.com/fullservices.br",
        "https://www.linkedin.com/company/fullservicesbr/"
      ],
      "knowsAbout": [
        "WordPress",
        "WordPress Hosting",
        "Web Development",
        "Performance Optimization",
        "WordPress Security",
        "SEO para WordPress"
      ],
      "award": [
        "Gold Medal - The WP Weekly Awards 2023 (https://thewpweekly.com/awards-2023/)",
        "Gold Medal - The WP Weekly Awards 2024 (https://thewpweekly.com/awards-2024/)"
      ],
      "hasCredential": {
        "@type": "EducationalOccupationalCredential",
        "credentialCategory": "certification",
        "name": "CVE Numbering Authority (CNA)",
        "description": "Autoridade de numeração de vulnerabilidades (CVE) para o ecossistema WordPress, autorizada a atribuir IDs CVE. Certificação válida desde 2022-05-03, com abrangência global.",
        "url": "https://www.cve.org/PartnerInformation/ListofPartners/partner/FULL",
        "recognizedBy": {
          "@type": "Organization",
          "name": "CISA — Cybersecurity and Infrastructure Security Agency",
          "url": "https://www.cisa.gov/",
          "sameAs": "https://www.cisa.gov/"
        }
      }
    },
    {
      "@type": "Person",
      "@id": "https://full.services/#person-clayton",
      "name": "Clayton Margiotti",
      "givenName": "Clayton",
      "familyName": "Margiotti",
      "jobTitle": "Fundador e CEO da FULL Services",
      "description": "Fundador e CEO da FULL Services, plataforma WordPress SaaS com 50 mil clientes e 150 mil sites conectados, e anchor do ecossistema Elevor Global. Em 2024 conduziu a FULL a se tornar a primeira e unica empresa brasileira aprovada como CVE Numbering Authority sob a CISA (DHS/EUA). Mais de 20 anos construindo empresas digitais, com 13+ reconhecimentos internacionais (Facebook, GPTW, ONU, RD Summit).",
      "url": "https://full.services/sobre-nos/",
      "image": "https://full.services/wp-content/uploads/2026/05/clayton-margiotti.jpg",
      "sameAs": [
        "https://www.linkedin.com/in/cmargiotti/"
      ],
      "knowsAbout": [
        "Artificial Intelligence",
        "Cybersecurity",
        "CVE Program",
        "WordPress Enterprise",
        "SaaS Platforms",
        "Digital Infrastructure",
        "Technology Entrepreneurship",
        "Company Building",
        "Business Leadership",
        "Digital Growth"
      ],
      "hasOccupation": {
        "@type": "Occupation",
        "name": "Fundador e CEO",
        "occupationalCategory": "11-1011.00"
      },
      "knowsLanguage": [
        {
          "@type": "Language",
          "name": "Portuguese",
          "alternateName": "pt-BR"
        },
        {
          "@type": "Language",
          "name": "English",
          "alternateName": "en"
        }
      ],
      "memberOf": {
        "@type": "Organization",
        "name": "CVE Numbering Authorities",
        "url": "https://www.cve.org/",
        "sameAs": "https://www.cve.org/"
      },
      "alumniOf": [
        {
          "@type": "EducationalOrganization",
          "name": "Global Scaling Academy (Blitzscaling Program)",
          "url": "https://www.blitzscalingacademy.com"
        },
        {
          "@type": "EducationalOrganization",
          "name": "Esade",
          "url": "https://www.esade.edu"
        },
        {
          "@type": "EducationalOrganization",
          "name": "Business School Sao Paulo (BSP)",
          "url": "https://bsp.edu.br/"
        },
        {
          "@type": "EducationalOrganization",
          "name": "Tera",
          "url": "https://somostera.com"
        },
        {
          "@type": "EducationalOrganization",
          "name": "Le Wagon",
          "url": "https://www.lewagon.com"
        },
        {
          "@type": "EducationalOrganization",
          "name": "FIAP",
          "url": "https://www.fiap.com.br"
        },
        {
          "@type": "EducationalOrganization",
          "name": "PUCRS",
          "url": "https://online.pucrs.br/"
        }
      ],
      "award": [
        "Digital Disruptor – Engaging Experiences Master (Globant, 2021)",
        "Maior ROI do e-commerce brasileiro – Letrissimas (Facebook, 2019)",
        "1º lugar – Melhores Empresas para Trabalhar no Brasil – Eleva Digital (Great Place to Work, 2018)",
        "Case global de educacao no Facebook – Metodo SUPERA (Facebook, 2017)",
        "Maquina de Geracao de Leads, Agencia do Ano (RD Summit / RD Station, 2015)",
        "Monthly Recurring Revenue, top performance (RD Summit / RD Station, 2015)",
        "Quality/Efficiency – Entrepreneurship Training (UNCTAD / PNUD-ONU, 2010)"
      ],
      "subjectOf": [
        {
          "@type": "NewsArticle",
          "url": "https://www.globant.com/news/globant-reveals-inaugural-digital-disruptors-award-winners",
          "publisher": {
            "@type": "Organization",
            "name": "Globant"
          }
        },
        {
          "@type": "NewsArticle",
          "url": "https://www.prnewswire.com/news-releases/letrissimas-com-e-destaque-do-e-commerce-brasileiro-com-maior-roi-de-2018-877517801.html",
          "publisher": {
            "@type": "Organization",
            "name": "PR Newswire"
          }
        },
        {
          "@type": "NewsArticle",
          "url": "https://www.segs.com.br/seguros/102599-gestao-de-pessoas-garante-mais-lucro-as-empresas",
          "publisher": {
            "@type": "Organization",
            "name": "Segs"
          }
        },
        {
          "@type": "NewsArticle",
          "url": "https://franquiaeducacional.com/negocios-inovadores-facebook-elege-supera-case-mundial-de-educacao",
          "publisher": {
            "@type": "Organization",
            "name": "Franquia Educacional"
          }
        },
        {
          "@type": "NewsArticle",
          "url": "https://acontecendoaqui.com.br/marketing/resultados-digitais-divulga-vencedores-do-premio-agencias-de-resultados-2015-durante-o-rd",
          "publisher": {
            "@type": "Organization",
            "name": "Acontecendo Aqui"
          }
        }
      ],
      "worksFor": {
        "@type": "Organization",
        "@id": "https://full.services/#org"
      }
    },
    {
      "@type": "HowTo",
      "@id": "https://full.services/scripts-escondidos-no-codigo-do-wordpress/#howto",
      "isPartOf": {
        "@id": "https://full.services/scripts-escondidos-no-codigo-do-wordpress/#article"
      },
      "name": "Passo a passo: scripts escondidos no codigo do wordpress",
      "description": "Guia passo a passo sobre scripts escondidos no codigo do wordpress para WordPress.",
      "url": "https://full.services/scripts-escondidos-no-codigo-do-wordpress/",
      "totalTime": "PT30M",
      "author": {
        "@type": "Organization",
        "@id": "https://full.services/#org"
      },
      "step": [
        {
          "@type": "HowToStep",
          "position": 1,
          "name": "Passo 1: Audite o functions.php do tema ativo",
          "text": "Abra o `functions.php` do tema ativo e leia as 30 primeiras linhas: é ali que cerca de metade das injecoes de tema se escondem. Procure por `eval(`, `base64_decode(`, `gzinflate(` e blocos de texto longos sem espacos, que sao código ofuscado. Um `functions.php` saudavel comeca com comentários e funções nomeadas em portugues ou ingles claro, nunca com strings de centenas de caracteres aleatorios. Compare com a versão limpa do tema baixada do repositorio oficial: qualquer linha a mais é suspeita. Esse arquivo concentra tanto risco que vale linkar a explicacao do <a href="https://full.services/glossario/functions-php/">functions.php</a> no glossario para entender o que cada bloco faz."
        },
        {
          "@type": "HowToStep",
          "position": 2,
          "name": "Passo 2: Inspecione o header e o footer renderizados",
          "text": "Abra o site publicado, pressione Ctrl+U para ver o código-fonte e busque por `<script src`: leva menos de 1 minuto e revela qualquer tag injetada no `wp_head` ou `wp_footer`. Anote todos os domínios que você não reconhece. Tag manager, fontes do Google e pixel de anuncio sao legitimos; um domínio aleatorio terminado em `.ru` ou `.xyz` carregando JavaScript não é. Repita o teste numa aba anonima e a partir de um clique vindo do Google, porque muitas injecoes so disparam para visitantes novos. Se o script aparecer apenas nesse cenario, você achou a injecao. Esse padrao é classico de código que se esconde de quem esta logado no painel."
        },
        {
          "@type": "HowToStep",
          "position": 3,
          "name": "Passo 3: Procure código malicioso no banco de dados",
          "text": "Acesse o phpMyAdmin e ordene a tabela `wp_options` pela coluna de tamanho: registros gigantes com `autoload` igual a `yes` sao o esconderijo favorito de quem injeta `malware` que sobrevive a troca de tema. Busque também nas tabelas `wp_posts` e `wp_postmeta` por `<script`, `eval` e `base64`. O código no banco é o motivo de o site reinfectar mesmo depois de você limpar os arquivos, porque nenhum scanner de arquivo o enxerga. Exporte um backup do banco antes de apagar qualquer linha. Em caso de duvida sobre o registro, compare com uma instalação limpa do WordPress 6.x para saber o que é padrao."
        },
        {
          "@type": "HowToStep",
          "position": 4,
          "name": "Passo 4: Varra a pasta de uploads e os plugins",
          "text": "Liste por FTP todos os arquivos `.php` dentro de `wp-content/uploads`: essa pasta deveria conter so imagens e documentos, entao qualquer `.php` ali é quase sempre um shell de invasor. Faca o mesmo em `wp-content/mu-plugins`, onde plugins falsos rodam sem aparecer na lista de plugins do painel. Ferramentas como Wordfence e Sucuri SiteCheck comparam seus arquivos com os originais e apontam o que foi modificado nas ultimas semanas. Um arquivo do core com data de modificacao recente, sem que você tenha atualizado o WordPress, é um sinal forte. Remova o que for confirmado como injecao e guarde a evidencia."
        },
        {
          "@type": "HowToStep",
          "position": 5,
          "name": "Passo 5: Cruze os achados com os logs de acesso",
          "text": "Abra os logs de acesso do servidor e filtre por requisicoes `POST` para `.php` em horarios fora do seu padrao: e assim que você liga o código injetado a porta de entrada que o colocou ali. Procure o IP que acessou o arquivo suspeito e o user-agent usado. Esse cruzamento responde a pergunta mais importante depois da limpeza: por onde entraram. Sem fechar essa porta, o código volta em dias. A FULL mantem cabeçalhos de segurança como camada extra; vale ver o guia de <a href="https://full.services/como-adicionar-cabecalhos-de-seguranca-http-no-wordpress-guia-do-iniciante/">cabeçalhos de segurança HTTP no WordPress</a> para reduzir a superficie de ataque. Remover scripts escondidos no código do WordPress sem derrubar a página depende de uma ordem fixa: banco primeiro, arquivos depois, e troca de senhas por último, num processo que costuma levar de 1 a 2 horas. Apagar apenas os arquivos é o erro mais comum, porque o registro deixado no banco recria o código no próximo carregamento da página. Comece restaurando o `functions.php` e os arquivos do core a partir de cópias oficiais, depois limpe os registros confirmados na `wp_options`. Em seguida, troque todas as senhas, incluindo a do"
        }
      ]
    }
  ]
}
```
