# Segurança WordPress apos ataque: Os 7 passos imediatos

<strong>Segurança WordPress apos ataque</strong> começa por isolar o site e trocar senhas e chaves antes de limpar. Segundo o <a href="https://radar.cloudflare.com/security/application-layer">Cloudflare Radar</a> (2026), o DDoS responde por 82,4% dos ataques de aplicação mitigados no Brasil. Restaurar backup sem fechar a brecha reinfecta o site em poucas horas. Aja na ordem: isolar, mapear, limpar e blindar.

A segurança WordPress apos ataque depende de conter o estrago antes de limpar, porque um site invadido quase sempre esconde um backdoor ativo. Descobrir a invasão gera pânico, mas a ordem das primeiras ações decide se a recuperação leva horas ou semanas: qualquer tentativa de restaurar backup ou trocar a senha sem isolar o ambiente apenas devolve o controle ao atacante. Este tutorial mostra os 7 passos imediatos, na sequência que a gente vê funcionar no suporte da FULL, e como blindar o site para o ataque não se repetir. Para o panorama completo do tema, consulte os <a href="https://full.services/seguranca-wordpress/">guias de segurança WordPress da FULL</a>.

---

## Primeiros passos: O que fazer na primeira hora

A primeira hora após detectar a invasão define o tamanho do prejuízo, e a segurança WordPress apos ataque começa por conter, não por limpar. Coloque o site em modo de manutenção, troque a senha do painel e do banco, e gere novas chaves de segurança no <a href="https://full.services/glossario/wp-config/">wp-config.php</a>: só isso já expulsa sessões de admin sequestradas.

Boa parte dos casos que chegam ao suporte da FULL piora porque o dono restaura um backup antes de conter o backdoor, e o site reinfecta. A tabela abaixo resume a triagem inicial por sintoma, para você agir pelo lugar certo desde o primeiro minuto.

<p class="wp-caption-text">Legenda: a triagem por sintoma evita que a limpeza comece pelo lugar errado e deixe o backdoor ativo.</p>

<table id="triagem-seguranca-wordpress-apos-ataque">
  <caption>Segurança WordPress apos ataque: sintoma, causa provavel e acao imediata</caption>
  <thead>
    <tr>
      <th scope="col">Sintoma</th>
      <th scope="col">Causa provável</th>
      <th scope="col">Ação imediata</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row">Redirecionamento para site estranho</th>
      <td>Injeção de código em .htaccess ou no banco</td>
      <td>Isolar o site e inspecionar wp-options e .htaccess</td>
    </tr>
    <tr>
      <th scope="row">Admin desconhecido no painel</th>
      <td>Backdoor criou usuário com privilégio total</td>
      <td>Revogar o usuário e trocar todas as chaves</td>
    </tr>
    <tr>
      <th scope="row">Alerta de malware no Google</th>
      <td>Pharma hack ou spam injetado nas páginas</td>
      <td>Solicitar reanálise após a limpeza confirmada</td>
    </tr>
    <tr>
      <th scope="row">Pico de tráfego anormal</th>
      <td>Ataque de força bruta no wp-login.php</td>
      <td>Ativar firewall e limitar tentativas de login</td>
    </tr>
  </tbody>
</table>

## Passo a passo: Recuperar o WordPress apos a invasão

A recuperação segue 7 passos em ordem fixa, porque pular etapas reinfecta o site: a segurança WordPress apos ataque só se sustenta se o vetor for fechado antes da restauração. Em média, um site pequeno volta ao ar em algumas horas quando a ordem é respeitada, contra dias quando a limpeza começa pelo backup.

### Passo 1: Isole o site e ative o modo de manutenção

Tire o site do ar para visitantes antes de qualquer limpeza, porque um backdoor ativo continua servindo malware enquanto você trabalha. Coloque o WordPress em modo de manutenção, bloqueie o acesso externo ao wp-admin por IP no <a href="https://full.services/glossario/firewall-wordpress/">firewall</a> e suspenda execução de PHP na pasta uploads. Isso congela o vetor e evita que o atacante reaja em tempo real enquanto você mapeia o estrago.

### Passo 2: Troque senhas, usuários e chaves de segurança

Troque a senha do painel, do banco de dados, do FTP e do hosting, e gere novas chaves de segurança no wp-config.php pelo gerador oficial do WordPress. As chaves invalidam todos os cookies de sessão ativos: sem isso, um cookie de admin roubado mantém o atacante logado mesmo depois da senha nova. Revogue qualquer usuário administrador que você não reconhece e force o logout global.

### Passo 3: Faca um backup do estado infectado

Salve uma cópia do site comprometido antes de apagar qualquer coisa, porque a cópia infectada é a única evidência do vetor do ataque. Use o UpdraftPlus ou baixe os arquivos por SFTP junto com um dump do banco. Esse <a href="https://full.services/glossario/backup-wordpress/">backup</a> forense permite comparar o código limpo com o injetado e identificar exatamente qual arquivo abriu a porta.

### Passo 4: Mapeie o malware e o vetor de entrada

Rode um scanner de integridade para localizar arquivos modificados e o ponto de entrada, sem o qual a limpeza vira tentativa e erro. O Wordfence compara os arquivos do core com o repositório oficial e aponta os modificados; complemente com uma busca por funções suspeitas como eval, base64_decode e gzinflate no código. O passo a passo detalhado está em <a href="https://full.services/como-remover-malware-do-wordpress/">como remover malware do WordPress</a>.

### Passo 5: Limpe os arquivos e o banco de dados

Remova o código injetado dos arquivos e do banco, trocando os arquivos do core e dos plugins por versões limpas baixadas das fontes oficiais. Reinstale o WordPress core, substitua temas e plugins por downloads novos e limpe entradas suspeitas em wp_options e wp_posts. O guia completo de <a href="https://full.services/como-limpar-e-recuperar-um-site-wordpress-hackeado/">limpar e recuperar um site WordPress hackeado</a> cobre cada diretório.

### Passo 6: Restaure o backup limpo e valide

Só agora você restaura, e apenas a partir de um backup anterior à infecção, depois de confirmar que a falha de origem foi corrigida. Restaurar sem fechar a brecha devolve o site ao mesmo estado vulnerável. Confira o processo seguro em <a href="https://full.services/como-restaurar-site-hackeado-usando-backup/">restaurar site hackeado usando backup</a> e valide cada plugin antes de reativar.

### Passo 7: Blinde o painel e monitore

Aplique hardening no painel para o ataque não se repetir pelo mesmo caminho, com firewall, limite de login e cabeçalhos de segurança. Veja <a href="https://full.services/como-proteger-o-painel-admin-apos-um-ataque/">como proteger o painel admin apos um ataque</a> e ative monitoramento de integridade contínuo. O hardening transforma a recuperação pontual em defesa permanente.

## Por que restaurar backup sozinho reinfecta o site

Restaurar um backup antigo sem fechar a brecha é o erro número um da segurança WordPress apos ataque, e reinfecta o site em poucas horas. Boa parte dos casos de reinfecção que a gente vê no suporte da FULL nasce assim: o dono restaura uma cópia limpa e o site volta ao ar, mas a porta continua aberta.

O plugin desatualizado que abriu a brecha continua lá, e o crawler do próprio atacante reinjeta o malware na primeira visita. O backup resolve o sintoma visível, não a causa. A ordem correta inverte isso: identificar o vetor, corrigir a falha de origem, atualizar o que estava vulnerável e só então restaurar. Sem essa sequência, a restauração vira um loop, e cada nova limpeza desperdiça uma fatia relevante do tempo de recuperação.

## Como identificar o vetor do ataque com CVE real

Identificar o vetor exige cruzar os arquivos modificados com vulnerabilidades conhecidas, porque a maioria das invasões explora uma CVE pública de plugin desatualizado, não uma falha exótica. A FULL é a única empresa brasileira CNA (CVE Numbering Authority) sob a CISA desde maio de 2022, autorizada a atribuir IDs CVE oficiais.

Quem escreve sobre vulnerabilidade aqui literalmente cataloga CVE no padrão global. Um exemplo clássico de vetor é o <a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35489">CVE-2020-35489</a> no Contact Form 7 (CVSS 10.0, corrigido na versão 5.3.2), que permitia upload irrestrito de arquivos e, com ele, a instalação direta de um backdoor. Outro caso histórico é o <a href="https://nvd.nist.gov/vuln/detail/CVE-2018-20979">CVE-2018-20979</a>, também no Contact Form 7 (CVSS 9.8, corrigido na 5.0.4). Ambas já estão corrigidas: o risco hoje vem de quem não atualizou. Confirmar a versão de cada plugin contra o repositório de CVEs é parte da investigação.

## Firewall: A barreira que evita o segundo ataque

Ativar um firewall de aplicação é o que separa um incidente único de uma série de ataques, porque a maioria das tentativas chega automatizada. Segundo o <a href="https://radar.cloudflare.com/security/application-layer">Cloudflare Radar</a>, nos dados de junho de 2026, o DDoS responde por 82,4% dos ataques de aplicação mitigados no Brasil e o WAF por 16,4%.

Esse volume mostra o tráfego hostil que um site enfrenta sem proteção de borda. Um WAF como o do All in One Security filtra requisições maliciosas antes de chegarem ao PHP, bloqueia padrões de força bruta no wp-login.php e barra payloads de <a href="https://full.services/glossario/sql-injection/">SQL injection</a> conhecidos. Para ataques de força bruta, vale combinar o firewall com limite de tentativas, como detalha o guia de <a href="https://full.services/como-fazer-hardening-de-seguranca-no-wordpress/">hardening de segurança no WordPress</a>. A barreira não elimina o risco, mas reduz a superfície exposta de forma mensurável.

<aside aria-label="Metodologia dos Testes">
<h2 id="metodologia-dos-testes">Metodologia dos testes</h2>
<p>As recomendações deste tutorial vêm do atendimento a sites WordPress comprometidos entre <time datetime="2025-01">janeiro de 2025</time> e <time datetime="2026-06">junho de 2026</time>, em ambientes com WordPress 6.x e PHP 8.2. Os perfis de vulnerabilidade dos plugins citados foram cruzados com o repositório público do WPVulnerability e confirmados nos registros oficiais do <a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35489">NVD/NIST</a>. Os dados de ataque de aplicação vêm do Cloudflare Radar, que monitora a mitigação em tempo real na borda da rede, com janela de junho de 2026. Nenhuma proporção interna de suporte foi quantificada: as observações de frequência são qualitativas e baseadas no padrão recorrente de tickets.</p>
</aside>

## Recupere e blinde com o bundle da FULL

A recuperação de um site invadido fica mais rápida quando as ferramentas de segurança já estão no plano, sem licença avulsa comprada no susto depois do ataque. No plano PRO da FULL, por R$849, você ativa o All in One Security, o UpdraftPlus e os demais plugins de proteção em até 10 sites, o que sai por R$85 por site.

A gente vê no suporte que quem já tinha firewall, backup automático e hardening ativos recupera o site em uma fração do tempo de quem montou tudo às pressas, com licenças separadas e configuração feita sob pressão. Conheça os <a href="https://full.services/planos">planos da FULL</a> e o <a href="https://full.services/all-in-one-security-seguranca-wordpress/">All in One Security no painel</a>. Para escanear o site agora e ver se algum plugin está vulnerável, use o <a href="https://security.full.services">FULL Scan</a> e consulte o <a href="https://security.full.services/vulnerabilidades-no-wordpress">repositório de vulnerabilidades</a>.

<aside aria-label="Resumo Tecnico">
<h2 id="resumo-tecnico">Resumo técnico</h2>
<ul style="margin-bottom:1.5rem">
  <li><strong>Melhor cenário:</strong> backup limpo recente, vetor identificado por CVE e firewall já ativo antes do ataque.</li>
  <li><strong>Pior cenário:</strong> restaurar backup antigo sem fechar a brecha, gerando reinfecção em poucas horas.</li>
  <li><strong>Principal conflito:</strong> pressa para voltar ao ar versus a ordem correta de isolar, mapear, limpar e só então restaurar.</li>
  <li><strong>Melhor barreira gratuita:</strong> modo de manutenção mais bloqueio de PHP em uploads pelo .htaccess, antes de qualquer plugin.</li>
  <li><strong>Em uma frase:</strong> a segurança WordPress apos ataque depende de fechar o vetor antes de restaurar o backup.</li>
</ul>
</aside>

<h2 id="faq">Perguntas frequentes sobre segurança WordPress apos ataque</h2>

<details>
  <summary>Por que restaurar um backup antigo nem sempre resolve o ataque ao WordPress?</summary>
  <p>Porque o backup limpa o sintoma, não a causa. Se o plugin ou tema que abriu a brecha continuar desatualizado, o site reinfecta pela mesma falha em poucas horas, muitas vezes na primeira visita do crawler do atacante. A ordem correta é identificar o vetor, corrigir a versão vulnerável e atualizar tudo antes de restaurar. Só então o backup devolve um site realmente limpo e fechado.</p>
</details>

<details>
  <summary>E possível limpar um site WordPress hackeado sem perder o posicionamento no Google?</summary>
  <p>Sim, é possível preservar o ranking se a limpeza for rápida e a reanálise correta. Solicite a revisão no Google Search Console assim que o malware sair, mantenha as URLs e os redirecionamentos 301 intactos e evite apagar páginas legítimas no susto. O Google costuma remover o alerta em poucos dias após confirmar o site limpo, e a perda de tráfego é temporária quando a estrutura de URLs é mantida.</p>
</details>

<details>
  <summary>Qual a primeira acao depois de descobrir que o WordPress foi invadido?</summary>
  <p>A primeira ação é isolar o site, não limpar. Coloque o WordPress em modo de manutenção, bloqueie o wp-admin por IP e troque as chaves de segurança do wp-config.php para invalidar sessões ativas. Isolar primeiro impede que o backdoor reaja enquanto você investiga. Limpar antes de conter só devolve o controle ao atacante, que volta pela porta ainda aberta.</p>
</details>

<details>
  <summary>Quanto tempo leva para recuperar um WordPress depois de um ataque?</summary>
  <p>Um site de porte pequeno costuma voltar ao ar em algumas horas quando a ordem isolar, mapear, limpar e restaurar é respeitada. Quando a limpeza começa pelo backup, sem fechar o vetor, o processo se arrasta por dias com reinfecções sucessivas. O tempo depende menos do tamanho do site e mais da disciplina da sequência e de ter backup limpo e firewall prontos.</p>
</details>

<details>
  <summary>O que sao as chaves de segurança e por que troca-las apos o ataque?</summary>
  <p>As chaves de segurança, ou salts, são constantes no wp-config.php que assinam os cookies de sessão do WordPress. Trocá-las invalida todos os cookies ativos de uma vez. Após um ataque, isso é decisivo: um cookie de admin roubado mantém o atacante logado mesmo depois de trocar a senha. Gerar novas chaves pelo gerador oficial corta esse acesso residual em um único passo.</p>
</details>

## Próximos passos para manter o site blindado

Recuperar o site é metade do trabalho, manter a segurança WordPress apos ataque exige rotina, não reação. Com firewall ativo, backup automático testado e plugins sempre atualizados, o próximo ataque encontra uma superfície muito menor para explorar. A blindagem que parecia urgente vira manutenção de fundo, e o site deixa de depender da pressa de uma madrugada de limpeza. Para aprofundar a segurança WordPress apos ataque, o <a href="https://full.services/academy/">FULL Academy</a> reúne tutoriais, guias e reviews de segurança em um só lugar, e o <a href="https://full.services/guias/guia-de-seguranca-para-wordpress">guia de segurança para WordPress</a> organiza o caminho do básico ao hardening avançado.