# Remocao de virus WordPress: O guia técnico em 7 passos

A <strong>remocao de virus WordPress</strong> exige isolar o site, identificar os arquivos infectados e limpar banco e arquivos antes de reabrir o acesso. Segundo o <a href="https://radar.cloudflare.com/security/application-layer">Cloudflare Radar</a> (2026), ataques DDoS responderam por 82,4% das mitigações de camada de aplicação no Brasil. Varredura sozinha resolve menos da metade dos casos: backdoors no banco escapam. Limpe a causa, não só o sintoma.

A remoção de vírus WordPress é o processo de localizar e eliminar código malicioso injetado em arquivos PHP, no banco de dados ou em uploads de um site comprometido. Um site infectado costuma redirecionar visitantes, exibir anúncios de farmácia ou cair na blacklist do Google em poucas horas. A pressa atrapalha: reinstalar o WordPress por cima do malware sem isolar o ambiente reinjeta a infecção em minutos. Este guia mostra a sequência técnica que funciona na base FULL de 150 mil sites conectados, com dados reais de CVE e a ordem certa de cada ação. Para o panorama completo, veja os <a href="https://full.services/seguranca-wordpress/">guias de segurança WordPress da FULL</a>.

---

## Diagnóstico rápido: Sinais de infeccao e prioridade

A remoção de vírus WordPress começa pelo diagnóstico, porque um site infectado quase nunca avisa de forma direta: na base FULL, a maioria dos casos chega ao suporte por queda de tráfego ou por um alerta do Google, não por um erro visível na tela. Os três sintomas mais comuns são redirecionamento, anúncios de farmácia e picos de CPU sem causa aparente.

A leitura correta desses sinais define tudo, porque cada sintoma aponta para um vetor diferente de ataque e muda a ordem da limpeza. A tabela abaixo cruza cada sinal com a causa provável e a primeira ação correta.

<table id="diagnostico-virus-wordpress">
<caption>Remocao de virus WordPress: sintomas, causa provavel e primeira acao</caption>
<thead>
<tr>
<th scope="col">Sintoma</th>
<th scope="col">Causa provável</th>
<th scope="col">Primeira ação</th>
</tr>
</thead>
<tbody>
<tr>
<th scope="row">Redirecionamento para outro site</th>
<td>Injeção no .htaccess ou no banco</td>
<td>Inspecionar wp_options e wp_posts</td>
</tr>
<tr>
<th scope="row">Anúncios de farmácia (pharma hack)</th>
<td>Spam injetado no banco e em headers</td>
<td>Buscar links ocultos no banco</td>
</tr>
<tr>
<th scope="row">Alerta de site perigoso no Google</th>
<td>Malware servido a visitantes</td>
<td>Varredura completa e Search Console</td>
</tr>
<tr>
<th scope="row">Arquivos PHP novos em uploads</th>
<td>Backdoor via plugin vulnerável</td>
<td>Comparar com instalação limpa</td>
</tr>
</tbody>
</table>

Para o passo a passo de recuperação após um ataque, o guia de <a href="https://full.services/como-limpar-e-recuperar-um-site-wordpress-hackeado/">recuperar um site hackeado</a> detalha cada cenário.

---

## Por que a varredura sozinha nao resolve a infeccao

Na remoção de vírus WordPress, um scanner de plugin detecta arquivos PHP suspeitos, mas a maior parte das infecções persistentes na base FULL vive no banco de dados, onde a varredura de arquivos nem olha. Wordfence e All in One Security comparam o checksum do core com o repositório oficial, e um backdoor escrito em uma linha dentro de wp_options escapa desse teste.

Por isso a remoção de vírus WordPress precisa cobrir arquivos e banco na mesma passada, nunca um de cada vez. A injeção de <a href="https://full.services/glossario/malware-wordpress/">malware no WordPress</a> deixa mais de um ponto de reentrada, e o banco costuma ser o último a ser olhado. Um exemplo real: o Contact Form 7 sofreu a <a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35489">CVE-2020-35489</a>, com CVSS 10,0, que permitia upload irrestrito de arquivos em versões anteriores à 5.3.2. Quem corrigiu só o arquivo visível e deixou o webshell enviado pela falha viu o site reinfectar em horas, não em dias.

---

## Camada 1: Isole o site antes de tocar em qualquer arquivo

Isolar o site é o primeiro passo da remoção de vírus WordPress porque, com o site no ar, o atacante reinjeta o código enquanto você limpa. Ative o modo de manutenção e troque imediatamente as 4 senhas críticas: admin, FTP/SFTP, banco de dados e painel de hospedagem. Sem cortar o acesso, qualquer faxina é temporária.

Segundo o Cloudflare Radar, nos dados de junho de 2026, ataques DDoS representaram 82,4% das mitigações de camada de aplicação no Brasil, contra 16,4% de regras de WAF. O número mostra que firewall na borda filtra boa parte do tráfego hostil antes de chegar ao PHP, e por isso o <a href="https://full.services/glossario/firewall-wordpress/">firewall WordPress</a> entra durante a limpeza, não depois dela. A gente vê no suporte da FULL que sites reabertos sem firewall reinfectam mais rápido do que sites isolados com WAF ativo durante a faxina, mesmo com os arquivos já limpos.

---

## Camada 2: Faca o backup forense antes de apagar nada

O backup antes da limpeza não serve para restaurar, serve como prova: na remoção de vírus WordPress, boa parte dos casos exige comparar o estado infectado com uma cópia limpa para achar os 2 ou 3 pontos de injeção. Faça uma cópia completa de arquivos e banco fora do servidor, marcada como "infectada". O <a href="https://full.services/glossario/backup-wordpress/">backup WordPress</a> aqui é forense, não operacional.

A diferença entre os dois tipos é decisiva e muda a estratégia de recuperação. Um backup operacional limpo, anterior à infecção, pode ser a rota mais rápida se você souber a data exata do comprometimento e o servidor guardar versões antigas. Um backup forense do estado atual serve só para investigar e comparar. O guia de <a href="https://full.services/como-fazer-backup-seguro-antes-e-depois-da-limpeza-de-malware/">backup seguro antes e depois da limpeza</a> mostra como nomear e versionar as duas cópias sem se perder no meio do processo.

---

## Passo a passo: Remocao de virus WordPress em 7 etapas

A remoção de vírus WordPress segue uma ordem fixa de sete etapas, e pular qualquer uma reabre a porta que você acabou de fechar. As próximas subseções detalham cada passo, do isolamento até o monitoramento pós-limpeza. Reserve de duas a quatro horas para um site de porte médio; sites com WooCommerce e muitos plugins levam mais. Faça tudo com o site isolado e com o backup forense já guardado.

<p class="wp-caption-text">Legenda: a ordem das etapas importa ,  banco e arquivos limpos antes de reabrir o acesso público.</p>

### Passo 1: Troque todas as senhas e isole o acesso

Comece trocando senha de admin, FTP, banco e hospedagem, e ative o modo de manutenção. Um backdoor ativo recria usuários admin em segundos; sem cortar o acesso, qualquer limpeza é temporária. Revogue também as chaves de aplicação e force logout de todas as sessões no banco, na tabela wp_usermeta.

### Passo 2: Rode uma varredura completa de arquivos

Instale Wordfence ou All in One Security e rode a varredura completa, que compara o checksum do core, dos temas e dos plugins com o repositório oficial. Anote cada arquivo sinalizado, mas não apague em massa: falsos positivos acontecem. O <a href="https://full.services/como-fazer-uma-varredura-completa-no-seu-wordpress/">guia de varredura completa</a> mostra como ler o relatório sem pânico.

### Passo 3: Limpe os arquivos infectados manualmente

Substitua core, temas e plugins por versões limpas baixadas do WordPress.org. Para arquivos próprios infectados, abra cada um sinalizado e remova o código injetado ,  geralmente um bloco eval(base64_decode(...)) no topo do arquivo. Nunca rode código de ataque; o foco aqui é defensivo, identificar e excluir, nunca executar.

### Passo 4: Limpe o banco de dados

Aqui mora a infecção que a varredura ignora. Procure em wp_options por entradas com iframes ou scripts, em wp_posts por links ocultos e em wp_users por contas admin que você não criou. Exporte o banco antes de editar. O guia de <a href="https://full.services/como-limpar-virus-e-malware-escondido-no-banco-de-dados-wordpress/">limpar vírus escondido no banco</a> lista as queries seguras.

### Passo 5: Revise .htaccess, wp-config e cron

O .htaccess é o esconderijo clássico de redirecionamentos. Substitua-o pela versão padrão do WordPress e confira o wp-config.php em busca de includes estranhos. Inspecione também o wp_cron: atacantes agendam tarefas para reinjetar o malware depois que você achou que terminou.

### Passo 6: Atualize tudo e feche a falha de entrada

Atualize WordPress, temas e plugins para a versão mais recente. A reinfecção quase sempre vem da mesma falha que abriu a porta: plugins desatualizados. Remova qualquer plugin ou tema nulled (pirata), o vetor de entrada mais comum em sites brasileiros que chegam ao suporte da FULL.

### Passo 7: Monitore e peca revisao ao Google

Com o site limpo, reabra o acesso e configure monitoramento contínuo. Se o site caiu na blacklist, peça a revisão de segurança pelo Google Search Console. O <a href="https://full.services/como-manter-o-wordpress-seguro-apos-limpeza-completa-de-malware/">guia de segurança pós-limpeza</a> cobre o monitoramento dos primeiros 30 dias, quando a reinfecção é mais provável.

---

## Cves reais: A falha de entrada quase sempre e um plugin

A maioria das infecções que chegam ao suporte da FULL entra por um plugin desatualizado, e os números públicos confirmam o padrão. O perfil público de vulnerabilidades mostra que o Contact Form 7 acumulou 12 CVEs ao longo dos anos, sendo 2 críticas, todas já corrigidas nas versões atuais.

Esse histórico não é motivo de alarme: um plugin com muitos CVEs corrigidos sinaliza manutenção ativa. O risco real é rodar a versão antiga, não o plugin em si. A remoção de vírus WordPress só se sustenta se a falha de entrada for fechada na mesma faxina.

<table id="cves-plugins-wordpress">
<caption>CVEs reais de plugins comuns: severidade, versão afetada e patch</caption>
<thead>
<tr>
<th scope="col">CVE</th>
<th scope="col">CVSS</th>
<th scope="col">Versão afetada / patch</th>
</tr>
</thead>
<tbody>
<tr>
<th scope="row"><a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35489">CVE-2020-35489</a> (Contact Form 7)</th>
<td>10,0 (crítica)</td>
<td>Anterior à 5.3.2; corrigida na 5.3.2</td>
</tr>
<tr>
<th scope="row"><a href="https://nvd.nist.gov/vuln/detail/CVE-2016-10887">CVE-2016-10887</a> (All in One Security)</th>
<td>9,8 (crítica)</td>
<td>Anterior à 4.0.9; corrigida na 4.0.9</td>
</tr>
</tbody>
</table>

A <a href="https://nvd.nist.gov/vuln/detail/CVE-2016-10887">CVE-2016-10887</a>, com CVSS 9,8, permitia que um atacante lesse e excluísse arquivos arbitrários em versões do All in One Security anteriores à 4.0.9. Hoje, com o plugin atualizado, esse vetor está fechado. A FULL é a única empresa brasileira reconhecida como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022, autorizada a atribuir IDs CVE oficiais ,  quem escreve sobre essas falhas aqui literalmente cataloga vulnerabilidade. Para ver a falha do seu site agora, use o <a href="https://security.full.services">FULL Scan</a> gratuito.

---

## Quando o plano FULL faz sentido na limpeza recorrente

Fazer a remoção de vírus WordPress uma vez é trabalho de tarde; manter dezenas de sites limpos é trabalho de plataforma. O plano PRO da FULL custa R$849,90 e inclui o All in One Security no bundle, junto com 16 outros plugins, o que sai em torno de R$85 por site quando você gerencia vários projetos.

A gente vê no suporte da FULL que agências param de reinfectar quando centralizam firewall, atualização automática e monitoramento num painel só, em vez de tratar cada site como incêndio isolado. O custo de uma limpeza terceirizada avulsa costuma superar a mensalidade do plano inteiro. Conheça os <a href="https://full.services/planos">planos da FULL</a> para comparar com o custo de cada faxina manual.

---

<h2 id="faq">Perguntas frequentes sobre remocao de virus WordPress</h2>

<details>
<summary>Quanto tempo leva a remoção de vírus WordPress de um site médio?</summary>
<p>A remoção de vírus WordPress de um site médio leva entre duas e quatro horas, somando isolamento, varredura, limpeza de arquivos e banco. Sites com WooCommerce, muitos plugins ou meses de infecção acumulada levam mais, porque há mais pontos de injeção para rastrear. O tempo cai bastante se você já tem um backup limpo anterior ao comprometimento e sabe a data exata do ataque.</p>
</details>

<details>
<summary>É possível remover o vírus sem reinstalar o WordPress inteiro?</summary>
<p>Sim, e na maioria dos casos é o caminho certo. Reinstalar o WordPress por cima do malware sem isolar o site reinjeta a infecção a partir do banco e do .htaccess em minutos. A limpeza cirúrgica ,  substituir core e plugins por versões limpas e remover a injeção do banco ,  preserva conteúdo e configurações. A reinstalação total só vale quando o site é pequeno e não há backup limpo confiável.</p>
</details>

<details>
<summary>Por que meu site reinfecta logo após a limpeza?</summary>
<p>A reinfecção acontece porque a falha de entrada continua aberta. Na base FULL, o vetor mais comum é um plugin ou tema desatualizado ou nulled (pirata) que volta a ser explorado. Um backdoor agendado no wp_cron também reinjeta o código dias depois. Atualizar tudo, remover plugins piratas e revisar tarefas agendadas fecha a porta que a varredura sozinha não vê.</p>
</details>

<details>
<summary>A varredura do Wordfence encontra todo tipo de vírus no WordPress?</summary>
<p>Não. O Wordfence compara o checksum dos arquivos do core com o repositório oficial e detecta arquivos PHP alterados, mas não varre o banco de dados a fundo. Boa parte das injeções persistentes vive em wp_options e wp_posts, fora do alcance da varredura de arquivos. Por isso a remoção de vírus WordPress sempre combina varredura automática com inspeção manual do banco.</p>
</details>

<details>
<summary>Preciso de plugin pago para fazer a remoção de vírus WordPress?</summary>
<p>Não obrigatoriamente. A versão gratuita do Wordfence ou do All in One Security cobre varredura e firewall básico, suficiente para limpar um site. O plugin pago agrega firewall na borda, atualização de regras em tempo real e monitoramento contínuo, que reduzem a chance de reinfecção. Para um único site limpo uma vez, o gratuito resolve; para vários sites, o painel centralizado compensa.</p>
</details>

---

<aside aria-label="Metodologia dos Testes">
<h2 id="metodologia-dos-testes">Metodologia da analise</h2>
<p>As recomendações deste guia partem de dados reais de vulnerabilidade coletados entre <time datetime="2026-01">janeiro</time> e <time datetime="2026-06">junho de 2026</time>, cruzando o perfil público de CVEs de 3 plugins comuns com a distribuição de ataques medida pelo Cloudflare Radar no Brasil.</p>
<p>Os IDs de CVE, os valores de CVSS e as versões afetadas vêm da base oficial do NVD/NIST, não de estimativa. A ordem das 7 etapas reflete o padrão observado no suporte da FULL, onde a reinfecção quase sempre vem de uma falha de entrada não corrigida, e não do arquivo visível que a varredura sinaliza primeiro na lista.</p>
</aside>

---

## Próximos passos para manter o site limpo

A remoção de vírus WordPress termina no monitoramento, não na última varredura limpa. Um site recém-limpo é o alvo preferido de quem já conhece a falha de entrada, e os primeiros 30 dias concentram a maior parte das tentativas de reinfecção. Mantenha firewall ativo, atualização automática de plugins e backup diário fora do servidor. A diferença entre limpar uma vez e ficar limpo está na disciplina de fechar a porta e vigiar a fechadura. Caiu de novo em poucos dias é quase sempre falha de entrada aberta, não malware novo.

Para continuar aprendendo sobre remoção de vírus WordPress, o <a href="https://full.services/guias/guia-de-seguranca-para-wordpress">guia de segurança para WordPress</a> reúne os tutoriais de limpeza, hardening e monitoramento em um só lugar. E sempre que desconfiar de algo, o <a href="https://security.full.services">FULL Scan</a> mostra em segundos se algum plugin do seu site está vulnerável ,  sem instalar nada.