WordPress hackeado limpeza exige isolar o site, confirmar por evidência, remover o malware e fechar a brecha, nessa ordem. Segundo a Wordfence (2024), cerca de 35% das vulnerabilidades WordPress divulgadas em 2024 seguiam sem patch. Apagar só o arquivo visível falha porque o backdoor permanece. Recupere o controle em 5 passos técnicos.

Uma WordPress hackeado limpeza é o processo de remover código malicioso de um site invadido e fechar o ponto de entrada que abriu a porta, sem perder o conteúdo legítimo. O sintoma aparece como redirecionamento de spam, página de farmácia indexada ou um aviso vermelho no Google, mas a origem quase nunca está onde a invasão se mostra. Sair apagando arquivo no susto piora o quadro: o invasor mantém mais de um ponto de retorno. Este guia segue a sequência que o suporte da FULL usa nos tickets de invasão e vale tanto para site institucional quanto para loja WooCommerce. Para o panorama do tema, veja os guias de segurança WordPress da FULL.

Diagnóstico rápido: Sintomas de WordPress hackeado limpeza

A WordPress hackeado limpeza começa cruzando o sintoma visível com a causa provável antes de tocar em qualquer arquivo. Os três sinais mais frequentes nos tickets de invasão da FULL são redirecionamento externo, arquivo PHP novo na pasta uploads e queda brusca de tráfego com aviso de malware no Search Console. Cada um aponta para um vetor diferente.

A tabela abaixo cruza cada sintoma com a causa raiz e a primeira ação corretiva, o ponto de partida de qualquer WordPress hackeado limpeza para você agir sem chutar.

Legenda: a varredura externa confirma a infecção sem depender do painel, que pode estar comprometido pelo invasor.

Se ainda houver dúvida antes da WordPress hackeado limpeza, o FULL Scan faz uma varredura externa gratuita e cruza os arquivos do site com a base de assinaturas, apontando código malicioso conhecido sem instalar nada no servidor.

Como confirmar a invasão antes de limpar

A confirmação antes da WordPress hackeado limpeza evita retrabalho: boa parte dos chamados de “site hackeado” no suporte da FULL acaba sendo falso positivo de cache, plugin de SEO mal configurado ou aviso antigo de antivírus. A confirmação depende de três fontes cruzadas, não de uma só impressão. Comece pelo Google Search Console, na seção Problemas de Segurança, que mostra se o Google detectou conteúdo invadido.

Depois rode um scanner externo como o Sucuri SiteCheck e compare a data de modificação dos arquivos do core: qualquer arquivo alterado fora de uma atualização oficial é suspeito, segundo a documentação do Google Search Central. Vale conhecer o vetor: a falha histórica de upload CVE-2020-35489 no Contact Form 7, com CVSS 10.0 (NVD), permitia subir um shell PHP para uploads em versões abaixo da 5.3.2, já corrigida. Não é risco atual, mas explica por que uploads é o primeiro lugar a checar numa infecção por malware.

Passo a passo: WordPress hackeado limpeza em 5 passos

A WordPress hackeado limpeza segura leva de 2 a 6 horas num site de porte médio e segue uma ordem rígida: isolar, fazer backup do estado infectado, remover o malware, revisar o banco e blindar. A sequência abaixo preserva a evidência forense e fecha a brecha de origem, com um objetivo único e um critério de validação por etapa antes de avançar para a próxima.

Passo 1: Isole o site e faça backup do estado infectado

Coloque o site em modo de manutenção antes de tocar em qualquer arquivo, porque um site infectado no ar continua espalhando malware e acumulando penalidade no Google. Em seguida, gere um backup completo de arquivos e banco mesmo infectado com o backup do UpdraftPlus ou o snapshot do servidor: ele é a sua evidência forense. Baixe a cópia para fora do servidor invadido e marque o arquivo como infectado para não restaurar por engano.

Passo 2: Restaure o Core e os plugins de fontes oficiais

Substitua os arquivos do core do WordPress por uma cópia limpa baixada do WordPress.org, preservando apenas wp-config.php e a pasta wp-content depois de inspecionada. Reinstale cada plugin e tema a partir do repositório oficial, nunca de versão nulled, porque o tema pirata carrega o backdoor de fábrica e é a causa raiz de boa parte das reinfecções. O passo a passo detalhado está em como restaurar o WordPress a partir do backup.

Passo 3: Remova o malware dos uploads e do banco

Varra wp-content/uploads atrás de arquivos PHP, que não deveriam existir ali, e inspecione as tabelas wp_options e wp_posts em busca de scripts injetados e iframes ocultos. Quem tem acesso SSH acelera essa etapa com o WP-CLI, que lista plugins alterados e compara hashes do core num comando só. Para a remoção fina do código ofuscado com eval e base64_decode, o procedimento completo está em como remover malware do WordPress.

Passo 4: Troque chaves, senhas e usuários

Gere novas chaves de segurança no wp-config.php, troque todas as senhas de administrador e do banco e revogue as sessões ativas para derrubar qualquer login que o invasor ainda mantenha. Remova usuários administradores desconhecidos e confira as tarefas agendadas (wp-cron), porque o invasor costuma agendar um job que recria os arquivos apagados horas depois. Encontrar o ponto de retorno aqui é o que separa uma limpeza definitiva de uma recaída.

Passo 5: Valide e peça revisão ao Google

Rode uma segunda varredura externa para confirmar que nenhum arquivo malicioso sobrou e cheque o site em uma janela anônima atrás de redirecionamento residual. Com o site limpo, peça a revisão de segurança no Google Search Console: a remoção do aviso depende do bot reavaliar e costuma levar de 1 a 3 dias. Documente o que foi alterado para fechar a WordPress hackeado limpeza com rastreabilidade.

Por que o malware volta após a limpeza

O malware volta após a limpeza numa fração dos sites porque a faxina tratou o sintoma e deixou o backdoor: remover o redirecionamento sem caçar o ponto de retorno é como trancar a porta da frente com a janela aberta. No suporte da FULL, a reincidência em poucos dias é um padrão recorrente, e a causa quase sempre é a mesma combinação que a varredura padrão não inspeciona.

Em site com tema nulled e mais de 20 plugins, o backdoor costuma ficar num must-use plugin dentro de wp-content/mu-plugins ou num arquivo .ico disfarçado, que o scanner comum ignora. Some-se a isso o cron job malicioso que recria os arquivos horas depois: por isso toda WordPress hackeado limpeza audita as tarefas agendadas. A CVE-2023-48777 no Elementor, com CVSS 9.9 (NVD), permitia upload arbitrário em versões abaixo da 3.18.2 antes do patch. Entender as razões pelas quais sites WordPress são hackeados ajuda a fechar a brecha certa.

Como blindar o site após a WordPress hackeado limpeza

Concluída a WordPress hackeado limpeza, a blindagem reduz a superfície de ataque porque a maioria das invasões explora vulnerabilidade já corrigida em versão mais nova de plugin ou tema. Sem ela, a faxina vira ciclo: o mesmo site volta invadido pela mesma porta. A prevenção real combina hardening, firewall e limite de login, em vez de um único plugin mágico.

Toda WordPress hackeado limpeza só se completa com essa camada preventiva ativa. Cada defesa cobre uma falha que a outra deixa passar.

Comece com firewall de aplicação e atualização automática, a defesa de maior retorno: plugin desatualizado com vulnerabilidade conhecida somado a um bot de varredura resulta em injeção de shell em minutos. O Wordfence oferece firewall em tempo real; o All in One Security entrega hardening e limite de login. Segundo o Cloudflare Radar, em 2026-06-09 os ataques de camada de aplicação mitigados no Brasil se dividiam em 82,4% de DDoS e 16,4% bloqueados por WAF, sinal de que parte das ameaças só para num firewall. O guia completo está em como configurar o Wordfence e no guia de segurança.

Quanto custa blindar o site com a FULL

A FULL inclui o plugin All in One Security em todos os planos, do Essential ao PRO, dentro do bundle de 17 plugins premium que sai a partir de R$849 por ano no plano PRO. Diluído na carteira de sites de uma agência, isso representa cerca de R$85 por site por ano para ter firewall, limite de login e hardening configurados, em vez de pagar licença avulsa de cada ferramenta.

A gente vê no suporte que quem trata segurança como assinatura, e não como conserto de emergência, raramente volta com o mesmo site invadido. Como única CNA brasileira reconhecida sob a CISA desde maio de 2022, a FULL acompanha CVEs oficiais e aplica a correção antes de o bot encontrar a brecha. Conheça o plano PRO em FULL.services/planos para ver o bundle completo.

Perguntas frequentes sobre WordPress hackeado limpeza

Próximos passos para manter o site protegido

Recuperar um site invadido é uma sequência, não um clique: a WordPress hackeado limpeza confirma a invasão por evidência, isola o site, faz backup do estado infectado, remove o malware e só então blinda e reabre ao público. O erro que mais custa é parar na faxina visível e ignorar o backdoor, porque é ele que traz o malware de volta. Depois de recuperar, trate a prevenção como rotina: atualização automática, firewall com limite de login e backup externo testado.

Se quiser uma verificação imediata, rode o FULL Scan agora e consulte o repositório de vulnerabilidades para saber se algum plugin do seu site já tem CVE conhecido, com base nos dados oficiais de mais de 12 mil vulnerabilidades catalogadas. Para aprofundar a detecção, o guia de site invadido: o que fazer imediatamente cobre os cenários mais delicados. Para continuar aprendendo, o FULL Academy reúne tutoriais, guias e checklists em um só lugar.