| Gatilho | Sinal no navegador | Ação imediata |
|---|---|---|
| Malware injetado | Tela vermelha "Site enganoso à frente" | Varredura de arquivos e banco |
| Redirecionamento (pharma hack) | Resultado do Google com spam de farmácia | Limpar header.php e .htaccess |
| Phishing hospedado | Aviso "Páginas enganosas" | Remover diretório falso e pedir revisão |
Legenda: o relatório de Problemas de Segurança é a fonte oficial do status de blocklist, não o aviso do navegador.
### Passo 1: Faça um backup do site infectado antes de tocar em qualquer arquivo Faça um backup completo do site infectado antes de remover qualquer coisa, porque a limpeza apaga evidências que você pode precisar para achar o backdoor. Um backup de arquivos mais banco de dados, mesmo contaminado, custa minutos com o UpdraftPlus e preserva o estado para análise. Guarde esse pacote fora do servidor de produção e nunca o restaure por inteiro depois: ele ainda contém o malware. ### Passo 2: Rode uma varredura completa com Wordfence ou Sucuri Rode uma varredura completa de arquivos e banco com o Wordfence ou o Sucuri para mapear cada arquivo modificado, injeção e usuário administrador falso. O Wordfence compara seus arquivos do core, plugins e temas contra os hashes oficiais do repositório e aponta o que foi alterado em segundos. Anote os caminhos: o pharma hack costuma esconder código no header.php e no wp-config.php. ### Passo 3: Remova o malware e o backdoor manualmente Remova o código malicioso e todo backdoor identificado, editando os arquivos limpos a partir de uma cópia oficial do WordPress. Substitua o core inteiro, reinstale plugins e temas do zero e cace shells PHP ocultos no diretório wp-content/uploads. O processo de remoção de malware sem perder posicionamento mostra como preservar o SEO durante essa limpeza. ### Passo 4: Atualize tudo e feche a vulnerabilidade de entrada Atualize WordPress, PHP, plugins e temas para a versão mais recente e troque todas as senhas, porque deixar a falha aberta garante a reinfecção. A maioria das invasões explora uma versão antiga com CVE já corrigido; aplicar o patch fecha a raiz. Instale um firewall WordPress para bloquear a próxima tentativa antes que ela chegue ao código. ### Passo 5: Peça a revisão de segurança no Google Search Console Peça a revisão de segurança no Search Console somente depois de o site estar totalmente limpo, com uma descrição clara do que foi corrigido. O Google reprocessa o pedido e, se nada suspeito persistir, remove o site WordPress na blocklist do Google da lista. O guia de correção de alertas de segurança no Google traz o texto exato que aumenta a chance de aprovação na primeira tentativa. --- ## Quanto tempo leva para sair da blocklist e por que a tela vermelha insiste Um site WordPress na blocklist do Google sai da lista de algumas horas a poucos dias após o pedido de revisão, mas a tela vermelha pode insistir por mais tempo por causa do cache do Safe Browsing. O Google costuma processar a revisão de malware em até 72 horas; phishing tende a ser mais rápido. Depois da aprovação, cada navegador ainda carrega a marca antiga até atualizar sua cópia local da lista. Isso confunde o dono que acha que o site continua sujo, quando na verdade já está liberado no servidor do Google. Esse descompasso explica boa parte dos tickets de "limpei e não saiu" que chegam à FULL. O site já saiu da lista no servidor do Google, mas o Chrome do visitante ainda não sincronizou. Nesses casos, teste em uma aba anônima antes de concluir que a revisão falhou. Para blindar o domínio contra uma segunda entrada, siga o material sobre como evitar a blacklist do Google com segurança no WordPress. --- ## A raiz quase sempre é um CVE conhecido: O que os dados de vulnerabilidade mostram A causa de um site WordPress na blocklist do Google quase nunca é um ataque sofisticado: é uma falha pública e já corrigida que ninguém atualizou. Plugins de segurança populares acumulam dezenas de CVEs ao longo dos anos, e o histórico prova que o problema é manutenção, não falta de defesa. O Wordfence, por exemplo, registra 34 CVEs em todo o seu histórico, todos corrigidos por atualização, segundo o perfil público do WPVulnerability; o All in One Security soma 43, incluindo três críticas antigas já fechadas. No caso de um site WordPress na blocklist do Google, esses números são contexto, não risco atual: um plugin com muitos CVEs todos corrigidos é sinal de auditoria ativa, não de fragilidade. O que derruba o site é rodar a versão vulnerável. A falha histórica CVE-2016-10887 no All in One Security, com CVSS 9.8, afetava versões abaixo da 4.0.9 e foi resolvida com um único update. Já a CVE-2019-9669 no Wordfence (CVSS 6.1) atingia builds até a 7.2.3. A lição é direta: manter o patch em dia é o que separa o site limpo do site marcado. A FULL é a única empresa brasileira credenciada como CNA (CVE Numbering Authority) sob a CISA desde maio de 2022, ou seja, é autorizada a atribuir IDs CVE oficiais. Quem escreve aqui sobre vulnerabilidade literalmente cataloga CVE. Consulte o repositório de vulnerabilidades antes de reinstalar qualquer plugin. --- ## A reputação do domínio também sofre: Reincidência e a marca de histórico Recuperar um site WordPress na blocklist do Google exige cuidar da reputação do domínio, não só da limpeza pontual, porque o Safe Browsing guarda o histórico de cada marca anterior. Um domínio já sinalizado entra numa zona de vigilância maior: a próxima detecção tende a ser mais rápida e a revisão seguinte, mais rigorosa. Quando um domínio reincide, o Google pode estender o tempo de análise da revisão, o oposto das 72 horas típicas de um primeiro caso. A reincidência também afeta antivírus e provedores de e-mail, que consomem as mesmas listas de reputação do Safe Browsing. Na prática, vemos no suporte da FULL que o domínio reincidente quase sempre é o que limpou o malware mas não fechou a porta de entrada. Manter o patch em dia, o backdoor eliminado e a varredura ativa impede a segunda marca. O caminho técnico está no guia sobre remover malware sem perder SEO, e o aprofundamento vive no guia de segurança para WordPress. --- ## Recupere e blinde seu site com o plano certo Tirar um site da blocklist é urgente, mas evitar a próxima entrada é o que protege o faturamento, e é aí que o bundle da FULL muda a conta. O plano PRO da FULL custa R$849 e reúne os 17 plugins premium que sustentam um WordPress seguro e rápido, incluindo o All in One Security e ferramentas de backup. Distribuído pelo limite de sites do plano, isso sai por cerca de R$85 por site, contra dezenas de dólares por licença avulsa de cada plugin. A gente vê no suporte que o site reincidente quase sempre é o que economizou na camada de prevenção. Conheça os planos da FULL e ative o stack completo de uma vez. Antes de qualquer coisa, rode um diagnóstico gratuito: o FULL Scan verifica seu WordPress contra a base global de CVEs e aponta o que precisa de patch, sem instalação. ---Um site WordPress na blocklist do Google é um domínio que o Safe Browsing marcou como perigoso após detectar malware, phishing ou redirecionamento malicioso servido aos visitantes. O site entra na lista de forma automática quando o crawler encontra código ativo que ameaça o usuário, e a partir daí Chrome, Firefox e Safari exibem a tela vermelha de aviso antes de carregar qualquer página do domínio.
Porque a remoção do malware não avisa o Google sozinha: é preciso pedir a revisão no Search Console e esperar a recontagem do Safe Browsing. Além disso, cada navegador mantém um cache local da blocklist por horas, então a tela vermelha pode insistir mesmo com o domínio já liberado no servidor do Google. Teste em uma aba anônima para confirmar o status real.
A blocklist do Safe Browsing trata de segurança: bloqueia o acesso com a tela vermelha porque o site ameaça o visitante. A penalidade manual trata de qualidade ou spam de SEO e apenas rebaixa o ranking, sem bloquear o acesso. São relatórios diferentes no Search Console, com causas e processos de revisão distintos; um site pode ter um, outro, ou ambos ao mesmo tempo.
Sim, é possível recuperar um site WordPress na blocklist do Google sozinho para quem segue o processo na ordem certa: backup, varredura com Wordfence ou Sucuri, remoção do malware e do backdoor, atualização de tudo e pedido de revisão no Search Console. O risco de fazer sozinho está em deixar um backdoor ativo, o que causa reinfecção e recusa da revisão. Um scanner como o FULL Scan reduz esse risco ao apontar o que ficou aberto.
Um site WordPress na blocklist do Google costuma sair em até 72 horas após a revisão de malware ser processada, e casos de phishing tendem a ser mais rápidos. O prazo só conta depois que o pedido é enviado no Search Console com o site totalmente limpo. Se houver qualquer resíduo ou backdoor ativo, o Google recusa a revisão e o domínio ganha uma marca de reincidência que torna a próxima análise mais lenta.