Um site WordPress na blocklist do Google exibe uma tela vermelha e perde quase todo o tráfego orgânico até ser limpo e revisado. Segundo o Google Search Central (2026), o Safe Browsing protege mais de 5 bilhões de dispositivos com esse aviso. Limpar o malware leva horas; sair da lista exige revisão no Search Console. Siga os 5 passos abaixo.
Um site WordPress na blocklist do Google é um domínio que o Google Safe Browsing marcou como perigoso depois de detectar malware, phishing ou redirecionamento malicioso servido aos visitantes. A partir desse momento, Chrome, Firefox e Safari mostram a tela vermelha de interstício antes de carregar a página, e o tráfego orgânico despenca em horas. A boa notícia: a saída é um processo definido. Você limpa a infecção, fecha a porta que deixou o malware entrar e pede uma revisão formal ao Google. Este guia, da equipe que mantém o guias de segurança WordPress da FULL, cobre cada etapa com ferramentas reais e prazos verificados.
Diagnóstico rápido: Por que um site WordPress entra na blocklist do Google
Um site WordPress na blocklist do Google entra na lista porque o Safe Browsing encontrou conteúdo ativo que ameaça o visitante, e em 9 a cada 10 casos a origem é um plugin desatualizado. O Google rastreia bilhões de URLs e classifica o domínio em segundos quando detecta o problema.
Quando o crawler encontra malware, injeção de links ou uma página de phishing, a marca é imediata. Um site WordPress na blocklist do Google deixa um rastro claro, e a tabela abaixo resume os três gatilhos mais comuns que vemos no suporte da FULL.
| Gatilho | Sinal no navegador | Ação imediata |
|---|---|---|
| Malware injetado | Tela vermelha “Site enganoso à frente” | Varredura de arquivos e banco |
| Redirecionamento (pharma hack) | Resultado do Google com spam de farmácia | Limpar header.php e .htaccess |
| Phishing hospedado | Aviso “Páginas enganosas” | Remover diretório falso e pedir revisão |
Em quase todos os tickets, o dono só descobre o problema quando o tráfego cai. Vale conferir o status real antes de agir: a verificação começa no Search Console e no guia de limpeza de site WordPress hackeado.
Como confirmar que seu site WordPress está na blocklist do Google
Confirmar que um site WordPress está na blocklist do Google leva menos de 5 minutos com duas ferramentas gratuitas: o relatório de Problemas de Segurança do Search Console e o Sucuri SiteCheck. O primeiro mostra o veredito oficial do Google e as URLs de exemplo afetadas.
O SiteCheck complementa com uma varredura externa que cruza o domínio contra as principais blocklists do mercado. Confirmar um site WordPress na blocklist do Google com as duas fontes elimina o falso positivo de quem confunde uma penalidade de SEO com a marca de malware.
Para diagnosticar um site WordPress na blocklist do Google, não dependa só do alerta do navegador. A tela vermelha é cacheada localmente e pode persistir por horas mesmo depois da remoção, então use o veredito da fonte, não o sintoma. Quem já recebeu o aviso “malware detectado” deve seguir o passo a passo do nosso material sobre malware detectado no Search Console, que detalha cada campo do relatório. Confirme também o protocolo: um certificado SSL expirado gera outro tipo de aviso e não tem relação com a blocklist do Safe Browsing.
Passo a passo: Como remover um site WordPress da blocklist do Google
Tirar um site WordPress na blocklist do Google em 5 passos exige limpar a infecção, fechar a vulnerabilidade e só então pedir a revisão, nessa ordem. Pular a etapa de fechar a porta é o erro que faz o Google recusar a revisão: o malware volta em horas e o domínio ganha uma marca de reincidência. Os passos abaixo seguem a sequência que aplicamos no suporte da FULL.
Legenda: o relatório de Problemas de Segurança é a fonte oficial do status de blocklist, não o aviso do navegador.
Passo 1: Faça um backup do site infectado antes de tocar em qualquer arquivo
Faça um backup completo do site infectado antes de remover qualquer coisa, porque a limpeza apaga evidências que você pode precisar para achar o backdoor. Um backup de arquivos mais banco de dados, mesmo contaminado, custa minutos com o UpdraftPlus e preserva o estado para análise. Guarde esse pacote fora do servidor de produção e nunca o restaure por inteiro depois: ele ainda contém o malware.
Passo 2: Rode uma varredura completa com Wordfence ou Sucuri
Rode uma varredura completa de arquivos e banco com o Wordfence ou o Sucuri para mapear cada arquivo modificado, injeção e usuário administrador falso. O Wordfence compara seus arquivos do core, plugins e temas contra os hashes oficiais do repositório e aponta o que foi alterado em segundos. Anote os caminhos: o pharma hack costuma esconder código no header.php e no wp-config.php.
Passo 3: Remova o malware e o backdoor manualmente
Remova o código malicioso e todo backdoor identificado, editando os arquivos limpos a partir de uma cópia oficial do WordPress. Substitua o core inteiro, reinstale plugins e temas do zero e cace shells PHP ocultos no diretório wp-content/uploads. O processo de remoção de malware sem perder posicionamento mostra como preservar o SEO durante essa limpeza.
Passo 4: Atualize tudo e feche a vulnerabilidade de entrada
Atualize WordPress, PHP, plugins e temas para a versão mais recente e troque todas as senhas, porque deixar a falha aberta garante a reinfecção. A maioria das invasões explora uma versão antiga com CVE já corrigido; aplicar o patch fecha a raiz. Instale um firewall WordPress para bloquear a próxima tentativa antes que ela chegue ao código.
Passo 5: Peça a revisão de segurança no Google Search Console
Peça a revisão de segurança no Search Console somente depois de o site estar totalmente limpo, com uma descrição clara do que foi corrigido. O Google reprocessa o pedido e, se nada suspeito persistir, remove o site WordPress na blocklist do Google da lista. O guia de correção de alertas de segurança no Google traz o texto exato que aumenta a chance de aprovação na primeira tentativa.
Quanto tempo leva para sair da blocklist e por que a tela vermelha insiste
Um site WordPress na blocklist do Google sai da lista de algumas horas a poucos dias após o pedido de revisão, mas a tela vermelha pode insistir por mais tempo por causa do cache do Safe Browsing. O Google costuma processar a revisão de malware em até 72 horas; phishing tende a ser mais rápido.
Depois da aprovação, cada navegador ainda carrega a marca antiga até atualizar sua cópia local da lista. Isso confunde o dono que acha que o site continua sujo, quando na verdade já está liberado no servidor do Google.
Esse descompasso explica boa parte dos tickets de “limpei e não saiu” que chegam à FULL. O site já saiu da lista no servidor do Google, mas o Chrome do visitante ainda não sincronizou. Nesses casos, teste em uma aba anônima antes de concluir que a revisão falhou. Para blindar o domínio contra uma segunda entrada, siga o material sobre como evitar a blacklist do Google com segurança no WordPress.
A raiz quase sempre é um CVE conhecido: O que os dados de vulnerabilidade mostram
A causa de um site WordPress na blocklist do Google quase nunca é um ataque sofisticado: é uma falha pública e já corrigida que ninguém atualizou. Plugins de segurança populares acumulam dezenas de CVEs ao longo dos anos, e o histórico prova que o problema é manutenção, não falta de defesa.
O Wordfence, por exemplo, registra 34 CVEs em todo o seu histórico, todos corrigidos por atualização, segundo o perfil público do WPVulnerability; o All in One Security soma 43, incluindo três críticas antigas já fechadas.
No caso de um site WordPress na blocklist do Google, esses números são contexto, não risco atual: um plugin com muitos CVEs todos corrigidos é sinal de auditoria ativa, não de fragilidade. O que derruba o site é rodar a versão vulnerável. A falha histórica CVE-2016-10887 no All in One Security, com CVSS 9.8, afetava versões abaixo da 4.0.9 e foi resolvida com um único update. Já a CVE-2019-9669 no Wordfence (CVSS 6.1) atingia builds até a 7.2.3. A lição é direta: manter o patch em dia é o que separa o site limpo do site marcado.
A FULL é a única empresa brasileira credenciada como CNA (CVE Numbering Authority) sob a CISA desde maio de 2022, ou seja, é autorizada a atribuir IDs CVE oficiais. Quem escreve aqui sobre vulnerabilidade literalmente cataloga CVE. Consulte o repositório de vulnerabilidades antes de reinstalar qualquer plugin.
A reputação do domínio também sofre: Reincidência e a marca de histórico
Recuperar um site WordPress na blocklist do Google exige cuidar da reputação do domínio, não só da limpeza pontual, porque o Safe Browsing guarda o histórico de cada marca anterior. Um domínio já sinalizado entra numa zona de vigilância maior: a próxima detecção tende a ser mais rápida e a revisão seguinte, mais rigorosa.
Quando um domínio reincide, o Google pode estender o tempo de análise da revisão, o oposto das 72 horas típicas de um primeiro caso. A reincidência também afeta antivírus e provedores de e-mail, que consomem as mesmas listas de reputação do Safe Browsing.
Na prática, vemos no suporte da FULL que o domínio reincidente quase sempre é o que limpou o malware mas não fechou a porta de entrada. Manter o patch em dia, o backdoor eliminado e a varredura ativa impede a segunda marca. O caminho técnico está no guia sobre remover malware sem perder SEO, e o aprofundamento vive no guia de segurança para WordPress.
Recupere e blinde seu site com o plano certo
Tirar um site da blocklist é urgente, mas evitar a próxima entrada é o que protege o faturamento, e é aí que o bundle da FULL muda a conta. O plano PRO da FULL custa R$849 e reúne os 17 plugins premium que sustentam um WordPress seguro e rápido, incluindo o All in One Security e ferramentas de backup.
Distribuído pelo limite de sites do plano, isso sai por cerca de R$85 por site, contra dezenas de dólares por licença avulsa de cada plugin. A gente vê no suporte que o site reincidente quase sempre é o que economizou na camada de prevenção. Conheça os planos da FULL e ative o stack completo de uma vez.
Antes de qualquer coisa, rode um diagnóstico gratuito: o FULL Scan verifica seu WordPress contra a base global de CVEs e aponta o que precisa de patch, sem instalação.
Perguntas frequentes sobre site WordPress na blocklist do Google
O que significa um site WordPress na blocklist do Google e como ele entra nessa lista?
Um site WordPress na blocklist do Google é um domínio que o Safe Browsing marcou como perigoso após detectar malware, phishing ou redirecionamento malicioso servido aos visitantes. O site entra na lista de forma automática quando o crawler encontra código ativo que ameaça o usuário, e a partir daí Chrome, Firefox e Safari exibem a tela vermelha de aviso antes de carregar qualquer página do domínio.
Por que meu site continua com a tela vermelha mesmo depois de eu limpar o malware?
Porque a remoção do malware não avisa o Google sozinha: é preciso pedir a revisão no Search Console e esperar a recontagem do Safe Browsing. Além disso, cada navegador mantém um cache local da blocklist por horas, então a tela vermelha pode insistir mesmo com o domínio já liberado no servidor do Google. Teste em uma aba anônima para confirmar o status real.
Qual a diferença entre a blocklist do Safe Browsing e uma penalidade manual no Search Console?
A blocklist do Safe Browsing trata de segurança: bloqueia o acesso com a tela vermelha porque o site ameaça o visitante. A penalidade manual trata de qualidade ou spam de SEO e apenas rebaixa o ranking, sem bloquear o acesso. São relatórios diferentes no Search Console, com causas e processos de revisão distintos; um site pode ter um, outro, ou ambos ao mesmo tempo.
É possível tirar um site da blocklist do Google sem contratar um especialista em segurança?
Sim, é possível recuperar um site WordPress na blocklist do Google sozinho para quem segue o processo na ordem certa: backup, varredura com Wordfence ou Sucuri, remoção do malware e do backdoor, atualização de tudo e pedido de revisão no Search Console. O risco de fazer sozinho está em deixar um backdoor ativo, o que causa reinfecção e recusa da revisão. Um scanner como o FULL Scan reduz esse risco ao apontar o que ficou aberto.
Quanto tempo o Google leva para remover um site WordPress da blocklist após o pedido de revisão?
Um site WordPress na blocklist do Google costuma sair em até 72 horas após a revisão de malware ser processada, e casos de phishing tendem a ser mais rápidos. O prazo só conta depois que o pedido é enviado no Search Console com o site totalmente limpo. Se houver qualquer resíduo ou backdoor ativo, o Google recusa a revisão e o domínio ganha uma marca de reincidência que torna a próxima análise mais lenta.
Próximos passos para manter o domínio fora da lista
Resolver um site WordPress na blocklist do Google encerra a emergência, mas o site só fica seguro quando a prevenção vira rotina: patch em dia, firewall ativo e varredura periódica. O domínio que entrou uma vez tende a entrar de novo se a falha de origem continuar aberta, então trate a limpeza como o começo, não o fim. Configure o monitoramento contínuo seguindo o guia de configuração do Wordfence e mantenha backups automáticos testados.
Para continuar aprendendo, o FULL Academy reúne tutoriais, guias e reviews de WordPress em um só lugar. Um site limpo, atualizado e monitorado raramente volta a ver a tela vermelha do Google Search Console.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
