Um site redirecionando sozinho quase sempre indica malware injetado em plugin, tema ou banco. Segundo o WPScan (2025), cerca de 90% das vulnerabilidades WordPress vêm de plugins. O redirect costuma ser condicional, só para quem vem do Google. Limpe a origem antes do sintoma.
Um site WordPress redirecionando sozinho leva o visitante para uma URL estranha sem que ninguém tenha configurado isso. O sintoma clássico: você digita seu domínio, mas cai numa página de farmácia, cassino ou golpe. Na grande maioria dos casos que chegam ao suporte da FULL, a causa não é bug, é malware que sequestrou o redirecionamento. O código malicioso vive escondido num plugin nulo, no arquivo functions.php ou direto na tabela wp_options. Este guia mostra como diagnosticar a origem, limpar e impedir a reinfecção, com apoio do hub de guias de segurança WordPress da FULL.
Diagnóstico rápido do site redirecionando: Sintoma e causa
O site redirecionando tem 4 origens dominantes, e identificar a certa economiza horas de trabalho perdido. A mais traiçoeira é o redirect condicional: ele dispara só para quem chega da busca ou no celular, e por isso engana o administrador logado, que abre o painel e não vê nada de errado.
Essa esperteza do malware é o que mais atrasa o diagnóstico no suporte. A tabela abaixo cruza cada sintoma com a causa raiz e a primeira ação corretiva, para você não perder tempo testando hipótese errada.
| Sintoma observado | Causa raiz provável | Ação corretiva inicial |
|---|---|---|
| Redireciona só quando vem do Google | Malware condicional no .htaccess ou em mu-plugins | Inspecionar .htaccess e wp-content/mu-plugins |
| Home aponta para outro domínio | siteurl e home alterados em wp_options | Corrigir wp-config.php com WP_HOME e WP_SITEURL |
| Redireciona só no celular | Script JavaScript injetado no rodapé ou no tema | Auditar functions.php e footer do tema ativo |
| Redirect legítimo não planejado | Regra 301 antiga no plugin Redirection ou Rank Math | Revisar regras no plugin de redirecionamento |
Legenda: o redirect condicional preserva o painel admin acessível, o que mascara a infecção por dias.
Por que o WordPress fica redirecionando sozinho
O WordPress fica redirecionando sozinho quando um vetor de entrada conhecido é explorado: um plugin desatualizado, um tema nulo ou uma senha fraca que deu acesso ao invasor. Basta 1 versão vulnerável exposta para o atacante injetar o redirect e sequestrar o tráfego do site, sem deixar erro visível no painel.
Segundo o perfil público do WPVulnerability, o ecossistema acumula dezenas de CVEs em plugins populares de alto alcance. Um exemplo real é o CVE-2023-48777, falha crítica (CVSS 9.9) no Elementor que afetava versões abaixo da 3.18.2 e permitia upload arbitrário de arquivo, o tipo de brecha que termina em script de redirecionamento. Outro caso é o CVE-2020-35489 no Contact Form 7 (CVSS 10.0, versões abaixo de 5.3.2), que abria upload irrestrito. Ambas já estão corrigidas: são risco histórico, não risco atual de quem mantém tudo atualizado. O perigo real é rodar a versão antiga.
Onde o código que deixa o site redirecionando se esconde
O malware que deixa o site redirecionando se aloja em 4 lugares previsíveis, e conhecer cada um acelera a limpeza. O detalhe que pega a maioria: o invasor planta o redirect em mais de 1 ponto ao mesmo tempo, para sobreviver a uma limpeza parcial. Por isso remover só o primeiro arquivo suspeito quase nunca resolve, e o redirect volta em horas.
Os esconderijos são o arquivo .htaccess na raiz, o functions.php do tema ativo, registros injetados na tabela wp_options (campos siteurl e home) e plugins falsos dentro de wp-content/mu-plugins, que carregam automaticamente e não aparecem na lista normal de plugins. Auditar os quatro de uma vez evita o ciclo de reinfecção. Ferramentas como Wordfence, Sucuri SiteCheck e o scanner do firewall WordPress apontam o caminho.
Como remover o redirecionando do WordPress em 5 etapas
Remover o redirect exige uma ordem que primeiro contém o dano e depois elimina a raiz, em geral em menos de 60 minutos para um site de porte médio. Pular o backup ou a troca de senhas é o erro que faz o malware voltar e o site seguir redirecionando.
Os 3 passos abaixo seguem a sequência validada nos atendimentos da FULL e em qualquer processo sério de remoção de malware, na ordem que minimiza o risco de perder dado legítimo.
Passo 1: Faça backup completo antes de tocar em qualquer arquivo
Antes de remover qualquer linha, gere um backup automático do site completo, arquivos e banco. Um site comprometido ainda contém evidência, e se a limpeza apagar algo legítimo você precisa do ponto de restauração. Guarde o backup fora do servidor, em local isolado, nunca na mesma pasta do site.
Passo 2: Restaure o .htaccess e cheque o wp-config.php
Substitua o .htaccess da raiz pelo padrão do WordPress e confirme em wp-config.php se WP_HOME e WP_SITEURL apontam para o seu domínio. Linhas de RewriteRule com domínios estranhos são o redirect plantado. Salve e teste numa aba anônima, vindo de uma busca, para validar.
Passo 3: Escaneie e limpe arquivos e banco de dados
Rode um scanner como Wordfence ou Sucuri SiteCheck para localizar arquivos modificados e injeções em wp_options. Remova plugins falsos de mu-plugins, limpe o functions.php e troque todas as senhas (admin, FTP, banco e hospedagem). Reinstale o WordPress core limpo por cima para fechar o ciclo.
Quando o site redirecionando é legítimo, não malware
Nem todo site redirecionando é ataque: parte dos chamados de redirect que a FULL recebe são regras 301 esquecidas, não infecção. Uma migração antiga ou 1 redirecionamento 301 mal configurado mandam todo o tráfego para a URL errada, e o efeito parece idêntico ao do malware para quem não investiga a origem.
Um plugin como Redirection ou Rank Math com uma regra ampla demais produz o mesmo redirect sem nenhum hacker envolvido. A diferença prática é clara: malware redireciona para domínios externos suspeitos e some quando você limpa o banco; regra legítima aponta para uma URL do próprio site ou para um destino que você reconhece, e aparece listada no painel do plugin. Antes de declarar guerra a um hacker, confira as regras ativas no .htaccess e no plugin de redirecionamento. Se a regra está documentada e o destino é seu, é configuração, não invasão.
Proteja seu site no plano certo: A conta do r$85 por site
Limpar o site redirecionando uma vez resolve o sintoma; impedir a próxima infecção exige segurança gerenciada contínua. O plano PRO da FULL custa R$849,90 e inclui o bundle com scanner de malware, firewall e os 17 plugins premium ativados em um clique, entre eles All in One Security, Wordfence e UpdraftPlus.
Como o PRO cobre até 10 sites, a conta fecha em cerca de R$85 por site, valor que paga sozinho na primeira limpeza de malware que você não precisa contratar avulsa. A gente vê no suporte da FULL que site com segurança gerenciada raramente volta a ser sequestrado. Conheça os planos da FULL e mantenha o redirect longe.
Como evitar que o site volte a ficar redirecionando
Evitar que o site volte a ficar redirecionando depende de fechar o vetor de entrada, não apenas de limpar o que já entrou. Sites com atualização automática e firewall ativo reduzem drasticamente a chance de reinjeção, porque a maioria dos ataques explora versão antiga conhecida, nunca falha nova.
A rotina mínima tem 4 pilares: manter core, temas e plugins sempre atualizados; rodar um firewall como Wordfence ou All in One Security; exigir senhas fortes com autenticação em duas etapas; e nunca instalar plugin ou tema nulo, que é a porta de entrada número um do malware de redirect. Vale também escanear o site periodicamente e revisar a lista de usuários administradores. A FULL atua como CNA, a única empresa brasileira autorizada pela CISA a atribuir IDs CVE oficiais desde , ou seja, quem escreve sobre essas falhas aqui literalmente cataloga vulnerabilidade. Para um plano estruturado, siga o guia de segurança para WordPress.
Para um diagnóstico imediato, escaneie seu WordPress gratuitamente com o FULL Scan e veja se algum plugin está vulnerável, ou consulte o repositório de vulnerabilidades. Se o redirect persistir mesmo após a limpeza, o passo seguinte é a recuperação completa de site hackeado.
Perguntas frequentes sobre site WordPress redirecionando sozinho
É possível remover o redirecionando sem reinstalar o WordPress inteiro?
Sim, na maioria dos casos. Se o malware está isolado no .htaccess, no functions.php ou em wp_options, limpar esses pontos e trocar as senhas resolve sem reinstalar o core. A reinstalação do core limpo só vira obrigatória quando o scanner aponta arquivos do próprio WordPress modificados. Faça backup antes e teste em aba anônima vindo de uma busca para confirmar.
Por que o site redireciona só para quem vem do Google e não para mim?
Porque o redirect é condicional. O código malicioso lê o cabeçalho referer e o user-agent: dispara o redirecionamento apenas para visitantes vindos de busca ou em celular, e deixa o administrador logado passar. Essa tática mascara a infecção por dias. Por isso o diagnóstico exige testar em aba anônima simulando uma visita do Google, nunca só abrir o painel admin.
Qual a diferença entre redirect por malware e um redirecionamento 301 legítimo?
O redirect por malware aponta para domínios externos suspeitos, dispara de forma condicional e some quando você limpa wp_options e o .htaccess. O redirecionamento 301 legítimo aponta para uma URL do próprio site, aparece listado no plugin Redirection ou Rank Math e foi criado por alguém da equipe. Se o destino é seu e a regra está documentada, é configuração, não invasão.
Como sei se o malware ainda está deixando o site redirecionando depois da limpeza?
Rode um scanner externo como Sucuri SiteCheck ou Wordfence e cheque a lista do Google Search Console por avisos de segurança. Confirme que siteurl e home na tabela wp_options apontam para o seu domínio e que não restou plugin falso em mu-plugins. Teste por 48 horas em aba anônima vindo de busca: se não redireciona e o scanner aponta limpo, a remoção funcionou.
Por que o redirecionando volta mesmo depois de eu remover o código?
Porque o malware planta redundância em mais de um lugar ao mesmo tempo. Em muitos sites hackeados o código vive simultaneamente no .htaccess, no functions.php e em mu-plugins, então remover só um ponto deixa os outros reinjetarem. Sem trocar todas as senhas, o invasor também volta a entrar. A limpeza só se sustenta auditando os quatro esconderijos de uma vez e fechando o vetor de acesso.
Próximos passos para manter o site fora do redirecionando
Um site WordPress redirecionando sozinho raramente é bug: é sinal de malware aproveitando uma versão vulnerável ou uma senha fraca. O caminho é sempre o mesmo: diagnostique a origem com scanner, faça backup, limpe os quatro esconderijos de uma vez, troque todas as senhas e feche o vetor de entrada com atualização automática e firewall. A maioria das infecções que a FULL atende explora falha conhecida e já corrigida, o que torna a prevenção mais barata que a limpeza. Para aprofundar, o FULL Academy reúne os tutoriais e guias de segurança em um só lugar.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
