Segurança WordPress após ataque começa por isolar o site e trocar senhas e chaves antes de limpar. Segundo o Cloudflare Radar (2026), o DDoS responde por 82,4% dos ataques de aplicação mitigados no Brasil. Restaurar backup sem fechar a brecha reinfecta o site em poucas horas. Aja na ordem: isolar, mapear, limpar e blindar.
A segurança WordPress após ataque depende de conter o estrago antes de limpar, porque um site invadido quase sempre esconde um backdoor ativo. Descobrir a invasão gera pânico, mas a ordem das primeiras ações decide se a recuperação leva horas ou semanas: qualquer tentativa de restaurar backup ou trocar a senha sem isolar o ambiente apenas devolve o controle ao atacante. Este tutorial mostra os 7 passos imediatos, na sequência que a gente vê funcionar no suporte da FULL, e como blindar o site para o ataque não se repetir. Para o panorama completo do tema, consulte os guias de segurança WordPress da FULL.
Neste artigo
Primeiros passos: O que fazer na primeira hora
A primeira hora após detectar a invasão define o tamanho do prejuízo, e a segurança WordPress após ataque começa por conter, não por limpar. Coloque o site em modo de manutenção, troque a senha do painel e do banco, e gere novas chaves de segurança no wp-config.php: só isso já expulsa sessões de admin sequestradas.
Boa parte dos casos que chegam ao suporte da FULL piora porque o dono restaura um backup antes de conter o backdoor, e o site reinfecta. A tabela abaixo resume a triagem inicial por sintoma, para você agir pelo lugar certo desde o primeiro minuto.
Legenda: a triagem por sintoma evita que a limpeza comece pelo lugar errado e deixe o backdoor ativo.
| Sintoma | Causa provável | Ação imediata |
|---|---|---|
| Redirecionamento para site estranho | Injeção de código em .htaccess ou no banco | Isolar o site e inspecionar wp-options e .htaccess |
| Admin desconhecido no painel | Backdoor criou usuário com privilégio total | Revogar o usuário e trocar todas as chaves |
| Alerta de malware no Google | Pharma hack ou spam injetado nas páginas | Solicitar reanálise após a limpeza confirmada |
| Pico de tráfego anormal | Ataque de força bruta no wp-login.php | Ativar firewall e limitar tentativas de login |
Passo a passo: Recuperar o WordPress após a invasão
A recuperação segue 7 passos em ordem fixa, porque pular etapas reinfecta o site: a segurança WordPress após ataque só se sustenta se o vetor for fechado antes da restauração. Em média, um site pequeno volta ao ar em algumas horas quando a ordem é respeitada, contra dias quando a limpeza começa pelo backup.
Passo 1: Isole o site e ative o modo de manutenção
Tire o site do ar para visitantes antes de qualquer limpeza, porque um backdoor ativo continua servindo malware enquanto você trabalha. Coloque o WordPress em modo de manutenção, bloqueie o acesso externo ao wp-admin por IP no firewall e suspenda execução de PHP na pasta uploads. Isso congela o vetor e evita que o atacante reaja em tempo real enquanto você mapeia o estrago.
Passo 2: Troque senhas, usuários e chaves de segurança
Troque a senha do painel, do banco de dados, do FTP e do hosting, e gere novas chaves de segurança no wp-config.php pelo gerador oficial do WordPress. As chaves invalidam todos os cookies de sessão ativos: sem isso, um cookie de admin roubado mantém o atacante logado mesmo depois da senha nova. Revogue qualquer usuário administrador que você não reconhece e force o logout global.
Passo 3: Faca um backup do estado infectado
Salve uma cópia do site comprometido antes de apagar qualquer coisa, porque a cópia infectada é a única evidência do vetor do ataque. Use o UpdraftPlus ou baixe os arquivos por SFTP junto com um dump do banco. Esse backup forense permite comparar o código limpo com o injetado e identificar exatamente qual arquivo abriu a porta.
Passo 4: Mapeie o malware e o vetor de entrada
Rode um scanner de integridade para localizar arquivos modificados e o ponto de entrada, sem o qual a limpeza vira tentativa e erro. O Wordfence compara os arquivos do core com o repositório oficial e aponta os modificados; complemente com uma busca por funções suspeitas como eval, base64_decode e gzinflate no código. O passo a passo detalhado está em como remover malware do WordPress.
Passo 5: Limpe os arquivos e o banco de dados
Remova o código injetado dos arquivos e do banco, trocando os arquivos do core e dos plugins por versões limpas baixadas das fontes oficiais. Reinstale o WordPress core, substitua temas e plugins por downloads novos e limpe entradas suspeitas em wp_options e wp_posts. O guia completo de limpar e recuperar um site WordPress hackeado cobre cada diretório.
Passo 6: Restaure o backup limpo e valide
Só agora você restaura, e apenas a partir de um backup anterior à infecção, depois de confirmar que a falha de origem foi corrigida. Restaurar sem fechar a brecha devolve o site ao mesmo estado vulnerável. Confira o processo seguro em restaurar site hackeado usando backup e valide cada plugin antes de reativar.
Passo 7: Blinde o painel e monitore
Aplique hardening no painel para o ataque não se repetir pelo mesmo caminho, com firewall, limite de login e cabeçalhos de segurança. Veja como proteger o painel admin após um ataque e ative monitoramento de integridade contínuo. O hardening transforma a recuperação pontual em defesa permanente.
Por que restaurar backup sozinho reinfecta o site
Restaurar um backup antigo sem fechar a brecha é o erro número um da segurança WordPress após ataque, e reinfecta o site em poucas horas. Boa parte dos casos de reinfecção que a gente vê no suporte da FULL nasce assim: o dono restaura uma cópia limpa e o site volta ao ar, mas a porta continua aberta.
O plugin desatualizado que abriu a brecha continua lá, e o crawler do próprio atacante reinjeta o malware na primeira visita. O backup resolve o sintoma visível, não a causa. A ordem correta inverte isso: identificar o vetor, corrigir a falha de origem, atualizar o que estava vulnerável e só então restaurar. Sem essa sequência, a restauração vira um loop, e cada nova limpeza desperdiça uma fatia relevante do tempo de recuperação.
Como identificar o vetor do ataque com CVE real
Identificar o vetor exige cruzar os arquivos modificados com vulnerabilidades conhecidas, porque a maioria das invasões explora uma CVE pública de plugin desatualizado, não uma falha exótica. A FULL é a única empresa brasileira CNA (CVE Numbering Authority) sob a CISA desde maio de 2022, autorizada a atribuir IDs CVE oficiais.
Quem escreve sobre vulnerabilidade aqui literalmente cataloga CVE no padrão global. Um exemplo clássico de vetor é o CVE-2020-35489 no Contact Form 7 (CVSS 10.0, corrigido na versão 5.3.2), que permitia upload irrestrito de arquivos e, com ele, a instalação direta de um backdoor. Outro caso histórico é o CVE-2018-20979, também no Contact Form 7 (CVSS 9.8, corrigido na 5.0.4). Ambas já estão corrigidas: o risco hoje vem de quem não atualizou. Confirmar a versão de cada plugin contra o repositório de CVEs é parte da investigação.
Firewall: A barreira que evita o segundo ataque
Ativar um firewall de aplicação é o que separa um incidente único de uma série de ataques, porque a maioria das tentativas chega automatizada. Segundo o Cloudflare Radar, nos dados de junho de 2026, o DDoS responde por 82,4% dos ataques de aplicação mitigados no Brasil e o WAF por 16,4%.
Esse volume mostra o tráfego hostil que um site enfrenta sem proteção de borda. Um WAF como o do All in One Security filtra requisições maliciosas antes de chegarem ao PHP, bloqueia padrões de força bruta no wp-login.php e barra payloads de SQL injection conhecidos. Para ataques de força bruta, vale combinar o firewall com limite de tentativas, como detalha o guia de hardening de segurança no WordPress. A barreira não elimina o risco, mas reduz a superfície exposta de forma mensurável.
Recupere e blinde com o bundle da FULL
A recuperação de um site invadido fica mais rápida quando as ferramentas de segurança já estão no plano, sem licença avulsa comprada no susto depois do ataque. No plano PRO da FULL, por R$849, você ativa o All in One Security, o UpdraftPlus e os demais plugins de proteção em até 10 sites, o que sai por R$85 por site.
A gente vê no suporte que quem já tinha firewall, backup automático e hardening ativos recupera o site em uma fração do tempo de quem montou tudo às pressas, com licenças separadas e configuração feita sob pressão. Conheça os planos da FULL e o All in One Security no painel. Para escanear o site agora e ver se algum plugin está vulnerável, use o FULL Scan e consulte o repositório de vulnerabilidades.
Perguntas frequentes sobre segurança WordPress após ataque
Por que restaurar um backup antigo nem sempre resolve o ataque ao WordPress?
Porque o backup limpa o sintoma, não a causa. Se o plugin ou tema que abriu a brecha continuar desatualizado, o site reinfecta pela mesma falha em poucas horas, muitas vezes na primeira visita do crawler do atacante. A ordem correta é identificar o vetor, corrigir a versão vulnerável e atualizar tudo antes de restaurar. Só então o backup devolve um site realmente limpo e fechado.
E possível limpar um site WordPress hackeado sem perder o posicionamento no Google?
Sim, é possível preservar o ranking se a limpeza for rápida e a reanálise correta. Solicite a revisão no Google Search Console assim que o malware sair, mantenha as URLs e os redirecionamentos 301 intactos e evite apagar páginas legítimas no susto. O Google costuma remover o alerta em poucos dias após confirmar o site limpo, e a perda de tráfego é temporária quando a estrutura de URLs é mantida.
Qual a primeira acao depois de descobrir que o WordPress foi invadido?
A primeira ação é isolar o site, não limpar. Coloque o WordPress em modo de manutenção, bloqueie o wp-admin por IP e troque as chaves de segurança do wp-config.php para invalidar sessões ativas. Isolar primeiro impede que o backdoor reaja enquanto você investiga. Limpar antes de conter só devolve o controle ao atacante, que volta pela porta ainda aberta.
Quanto tempo leva para recuperar um WordPress depois de um ataque?
Um site de porte pequeno costuma voltar ao ar em algumas horas quando a ordem isolar, mapear, limpar e restaurar é respeitada. Quando a limpeza começa pelo backup, sem fechar o vetor, o processo se arrasta por dias com reinfecções sucessivas. O tempo depende menos do tamanho do site e mais da disciplina da sequência e de ter backup limpo e firewall prontos.
O que são as chaves de segurança e por que troca-las após o ataque?
As chaves de segurança, ou salts, são constantes no wp-config.php que assinam os cookies de sessão do WordPress. Trocá-las invalida todos os cookies ativos de uma vez. Após um ataque, isso é decisivo: um cookie de admin roubado mantém o atacante logado mesmo depois de trocar a senha. Gerar novas chaves pelo gerador oficial corta esse acesso residual em um único passo.
Próximos passos para manter o site blindado
Recuperar o site é metade do trabalho, manter a segurança WordPress após ataque exige rotina, não reação. Com firewall ativo, backup automático testado e plugins sempre atualizados, o próximo ataque encontra uma superfície muito menor para explorar. A blindagem que parecia urgente vira manutenção de fundo, e o site deixa de depender da pressa de uma madrugada de limpeza. Para aprofundar a segurança WordPress após ataque, o FULL Academy reúne tutoriais, guias e reviews de segurança em um só lugar, e o guia de segurança para WordPress organiza o caminho do básico ao hardening avançado.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
