# WordPress hackeado: 5 passos para limpar o site

Um <strong>WordPress hackeado</strong> se resolve numa ordem fixa: isolar, diagnosticar e só então restaurar. Segundo a <a href="https://wpscan.com" rel="noopener" target="_blank">WPScan</a> (2025), há mais de 50 mil vulnerabilidades catalogadas em plugins e temas. O risco real não é o sintoma visível, é o backdoor escondido. Confirme por evidência antes de apagar qualquer arquivo.

Um WordPress hackeado quase nunca avisa com um alerta na tela: ele aparece como redirecionamentos estranhos, páginas de spam indexadas ou um aviso do Google Search Console. A causa de origem costuma ser um plugin desatualizado ou uma senha fraca, mas o sintoma quase nunca está onde a invasão começou. Você vê o redirecionamento para um site de farmácia e o backdoor está num arquivo escondido em wp-content. Por isso, num WordPress hackeado, sair apagando arquivo no susto piora o quadro: o invasor mantém mais de um ponto de retorno. Neste guia, a gente segue a sequência que o suporte da FULL usa nos tickets de invasão e que vale tanto para site institucional quanto para loja WooCommerce. Para o panorama do tema, veja os <a href="https://full.services/seguranca-wordpress/">guias de segurança WordPress da FULL</a>.

---

## Diagnóstico rápido: Sintoma e causa raiz

O diagnóstico de um WordPress hackeado começa cruzando o sintoma visível com a causa provável antes de tocar em qualquer arquivo. Os três sinais que mais aparecem nos tickets de invasão da FULL são redirecionamento externo, arquivos PHP novos na pasta uploads e queda brusca de tráfego no <a href="https://full.services/glossario/malware-wordpress/">Search Console</a> por aviso de malware. Identificar a linha certa economiza horas de limpeza às cegas.

A tabela abaixo mapeia os sintomas contra a causa raiz e a primeira ação corretiva.

<table id="diagnostico-wordpress-hackeado">
  <caption>WordPress hackeado: sintomas, causa raiz e ação corretiva</caption>
  <thead>
    <tr>
      <th scope="col">Sintoma visível</th>
      <th scope="col">Causa raiz provável</th>
      <th scope="col">Ação corretiva imediata</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row">Redirecionamento para sites de spam</th>
      <td>Injeção de JavaScript em arquivos de tema ou no banco</td>
      <td>Ativar modo de manutenção e varrer wp_options e header.PHP</td>
    </tr>
    <tr>
      <th scope="row">Páginas de farmácia indexadas</th>
      <td>Pharma hack via shell PHP em uploads</td>
      <td>Procurar arquivos .PHP em wp-content/uploads</td>
    </tr>
    <tr>
      <th scope="row">Admin novo desconhecido</th>
      <td>Acesso por força bruta ou backdoor ativo</td>
      <td>Remover o usuário e trocar todas as senhas</td>
    </tr>
    <tr>
      <th scope="row">Aviso de malware no Google</th>
      <td>Conteúdo malicioso já rastreado pelo bot</td>
      <td>Limpar e pedir revisão no Search Console</td>
    </tr>
    <tr>
      <th scope="row">Site lento e CPU no limite</th>
      <td>Script de mineração ou envio de spam</td>
      <td>Checar processos e logs de acesso do servidor</td>
    </tr>
  </tbody>
</table>

Se ainda houver dúvida, o <a href="https://security.full.services">FULL Scan</a> faz uma varredura externa gratuita e cruza os arquivos do site com a base de assinaturas, apontando código malicioso conhecido sem instalar nada.

## Como confirmar um WordPress hackeado por evidência

Antes de limpar, confirme por evidência: boa parte dos chamados de "site hackeado" que chegam ao suporte da FULL acaba sendo falso positivo, gerado por cache do navegador, plugin de SEO mal configurado ou aviso antigo do antivírus. A confirmação de um WordPress hackeado depende de três fontes cruzadas, não de uma só impressão. Sem essa checagem, você limpa um site que nunca foi invadido e perde tempo.

Comece pelo Google Search Console, na seção Problemas de Segurança: segundo a <a href="https://developers.google.com/search/docs/monitor-debug/security/overview" rel="noopener" target="_blank">documentação do Google Search Central</a>, que define como o buscador sinaliza sites comprometidos, esse relatório mostra se o Google detectou conteúdo invadido. Depois rode o <a href="https://full.services/glossario/firewall-wordpress/">Sucuri SiteCheck</a>, scanner externo gratuito que verifica blacklist e injeções no HTML. Por fim, compare a data de modificação dos arquivos do core: qualquer arquivo alterado fora de uma atualização oficial é suspeito. Em <time datetime="2026">2026</time>, a varredura externa pega a maioria das injeções de redirecionamento, mas deixa passar backdoors ofuscados.

<p class="wp-caption-text">Legenda: o Search Console confirma a invasão pela ótica do Google e ainda lista as URLs que precisam de limpeza prioritária.</p>

## Como limpar um WordPress hackeado passo a passo

A limpeza segura de um WordPress hackeado leva de 2 a 6 horas num site de porte médio e segue uma ordem rígida: isolar, fazer backup do estado atual, restaurar arquivos limpos e revisar o banco. Pular o backup do estado infectado é o erro que mais gera retrabalho no suporte da FULL, porque sem ele você perde a evidência do backdoor.

### Isole o site e faça backup do estado atual

Ative o modo de manutenção para tirar o site do ar de visitantes e bots de busca enquanto trabalha. Em seguida, gere um backup completo dos arquivos e do banco mesmo infectado: ele serve de referência forense. Um <a href="https://full.services/glossario/backup-wordpress/">backup</a> só vale como salvação se estiver fora do servidor invadido, então baixe a cópia para outro lugar antes de continuar.

### Restaure o Core e os plugins de fontes oficiais

Substitua os arquivos do core do WordPress por uma cópia limpa baixada de WordPress.org, preservando apenas wp-config.PHP e a pasta wp-content depois de inspecionada. Reinstale cada plugin e tema a partir do repositório oficial, nunca de versões nulled: a causa raiz de boa parte das reinfecções é justamente o tema pirata, que carrega o backdoor de fábrica. O passo a passo detalhado está em <a href="https://full.services/como-restaurar-o-wordpress-a-partir-do-backup/">restaurar o WordPress a partir do backup</a>.

### Limpe o banco de dados e os uploads

Varra wp-content/uploads atrás de arquivos .PHP, que não deveriam existir ali, e inspecione as tabelas wp_options e wp_posts em busca de scripts injetados e iframes ocultos. O WPScan ajuda a cruzar a versão dos plugins com vulnerabilidades conhecidas. Para a remoção fina do código malicioso, o procedimento completo está em <a href="https://full.services/como-remover-malware-do-wordpress/">como remover malware do WordPress</a>, que cobre os padrões de ofuscação mais comuns.

## Por que o WordPress hackeado reinfecta após a limpeza

O WordPress hackeado reinfecta porque a limpeza tratou o sintoma e deixou o backdoor: remover o redirecionamento sem caçar o ponto de retorno é como trancar a porta da frente com a janela aberta. No suporte da FULL, a reincidência em poucos dias é um padrão recorrente, e a causa quase sempre é a mesma. A varredura padrão não inspeciona todos os esconderijos que o invasor usa.

Em sites com tema nulled e mais de 20 plugins, o backdoor costuma ficar num arquivo .ico disfarçado ou num must-use plugin dentro de wp-content/mu-plugins, que o scanner comum ignora. Some-se a isso o cron job malicioso: o invasor agenda um wp-cron que recria os arquivos apagados horas depois da limpeza. Por isso, depois de limpar, revise os usuários administradores, troque todas as chaves do wp-config.PHP e confira as tarefas agendadas. Entender as <a href="https://full.services/razoes-pelas-quais-os-sites-wordpress-sao-hackeados/">razões pelas quais sites WordPress são hackeados</a> ajuda a fechar a brecha certa, não só a aparente.

## Como evitar que o WordPress seja hackeado de novo

Manter o WordPress atualizado reduz em grande parte a superfície de ataque, porque a maioria das invasões explora vulnerabilidades já corrigidas em versões mais novas de plugins e temas. A prevenção real combina <a href="https://full.services/glossario/hardening-wordpress/">hardening</a>, firewall e limite de login, em vez de depender de um único plugin mágico. Cada camada cobre uma falha que a outra deixa passar.

Comece com um <a href="https://full.services/glossario/firewall-wordpress/">firewall</a> de aplicação. O Wordfence oferece firewall em tempo real e varredura agendada; o All in One Security entrega hardening, limite de tentativas de login e bloqueio por país. Plugin desatualizado com vulnerabilidade conhecida mais um bot de varredura automática resulta em injeção de shell PHP em poucos minutos, então a atualização automática de segurança é a defesa de maior retorno. Configure também a <a href="https://full.services/glossario/brute-force/">proteção contra força bruta</a>: senha de admin reutilizada somada à ausência de limite de tentativas leva a acesso por força bruta em poucas horas. Quem prefere o guia completo encontra o caminho em <a href="https://full.services/como-configurar-wordfence/">como configurar o Wordfence</a>.

## Quanto custa blindar o site com a FULL

A FULL inclui o plugin All in One Security em todos os planos, do Essential ao PRO, dentro do bundle de 17 plugins premium que sai a partir de R$849 por ano no plano PRO. Diluído na carteira de sites de uma agência, isso representa cerca de R$85 por site por ano para ter firewall, limite de login e hardening configurados, em vez de pagar licença avulsa de cada ferramenta. A gente vê no suporte que quem trata segurança como assinatura, e não como conserto de emergência, raramente volta com o mesmo site invadido. Como única CNA brasileira reconhecida sob a CISA, a FULL acompanha CVEs oficiais e aplica a correção antes do bot encontrar a brecha. Conheça o <a href="https://full.services/planos">plano PRO em FULL.services/planos</a> para ver o bundle completo.

<aside aria-label="Metodologia dos Testes">

## Metodologia: Como avaliamos os casos de invasão

<p>Este guia consolida o padrão de atendimento aplicado pelo suporte da FULL aos tickets de invasão recebidos entre <time datetime="2025-01">janeiro de 2025</time> e <time datetime="2026-05">maio de 2026</time>, em sites WordPress nas versões 6.x rodando PHP 8.1 e 8.2. As observações descrevem o que a equipe vê de forma recorrente nos chamados, sem cravar percentuais que não tenham origem medida. Os números quantitativos citados no corpo vêm de fontes externas identificadas, como o Google Search Central e o WPScan. As referências de comportamento de malware foram cruzadas com a base de assinaturas usada pelo FULL Scan, que monitora código malicioso conhecido em escala.</p>
</aside>

<aside aria-label="Resumo Técnico">

## Resumo técnico da recuperação

<ul style="margin-bottom:1.5rem">
  <li><strong>Primeiro sinal mais comum:</strong> redirecionamento externo ou aviso de malware no Google Search Console, recorrente nos tickets de invasão da FULL.</li>
  <li><strong>Causa raiz dominante:</strong> plugin ou tema desatualizado com vulnerabilidade conhecida, explorado por bots de varredura automática em minutos.</li>
  <li><strong>Erro que mais gera retrabalho:</strong> limpar o sintoma e deixar o backdoor ativo num arquivo oculto ou cron job, o que provoca reinfecção em poucos dias.</li>
  <li><strong>Tempo médio de limpeza:</strong> de 2 a 6 horas num site de porte médio, mais 1 a 3 dias para o Google remover o aviso após reavaliação.</li>
  <li><strong>Defesa de maior retorno:</strong> atualização automática de segurança mais firewall com limite de login, como o All in One Security incluso no plano FULL.</li>
  <li><strong>Em uma frase:</strong> um WordPress hackeado se recupera quando você fecha a brecha de origem, não só limpa o sintoma visível.</li>
</ul>
</aside>

<h2 id="faq">Perguntas frequentes sobre WordPress hackeado</h2>

<details>
  <summary>Como saber se o WordPress foi realmente hackeado?</summary>
  <p>Confirme cruzando três fontes: o Google Search Console na aba Problemas de Segurança, um scanner externo como o Sucuri SiteCheck e a data de modificação dos arquivos do core. No suporte da FULL, uma parcela relevante dos chamados de invasão é falso positivo causado por cache ou plugin mal configurado, então a confirmação exige evidência técnica, não apenas um aviso do navegador.</p>
</details>

<details>
  <summary>É possível limpar um WordPress hackeado sem perder o conteúdo?</summary>
  <p>Sim, é possível preservar posts, páginas e mídia durante a limpeza, desde que você faça um backup do estado atual antes de mexer em qualquer arquivo. O conteúdo fica no banco de dados e na pasta uploads; a limpeza substitui o core e os plugins, que são reinstaláveis a partir de fontes oficiais. Na prática, raramente algum post precisa ser apagado.</p>
</details>

<details>
  <summary>Por que o malware volta mesmo depois de limpar o site?</summary>
  <p>O malware volta porque a limpeza removeu o sintoma e deixou o backdoor ativo. Para impedir a reinfecção, você deve trocar todas as chaves do wp-config.PHP, apagar os cron jobs maliciosos e substituir qualquer tema nulled. A ação certa é caçar o ponto de retorno, não só apagar o redirecionamento visível, que é o que mais provoca recaída em poucos dias.</p>
</details>

<details>
  <summary>Quanto tempo leva para recuperar um site WordPress hackeado?</summary>
  <p>A limpeza completa de um site de porte médio leva de 2 a 6 horas de trabalho técnico, incluindo isolamento, backup forense, restauração do core e revisão do banco. A remoção do aviso de malware no Google, porém, depende da revisão pelo bot e costuma levar de 1 a 3 dias após o pedido de reavaliação no Search Console. Quem tem backup externo recente encurta esse prazo.</p>
</details>

<details>
  <summary>Vale a pena pagar uma empresa para remover o malware?</summary>
  <p>Vale quando o site é fonte de receita ou quando o malware já reincidiu, porque o custo de um e-commerce fora do ar por dias supera o da remoção gerenciada. Para quem gerencia vários sites, o caminho mais barato é prevenir: o bundle FULL inclui firewall e hardening por cerca de R$85 por site ao ano, contra licenças avulsas que passam de US$59 cada por ferramenta.</p>
</details>

## Próximos passos para blindar o site WordPress

Recuperar um WordPress hackeado é uma sequência, não um clique: confirme o WordPress hackeado por evidência, isole o site, faça backup do estado infectado, restaure a partir de fontes limpas e só então reabra ao público. O erro que mais custa é parar na limpeza visível e ignorar o backdoor, porque é ele que traz o malware de volta. Depois de recuperar, trate a prevenção como rotina: atualização automática, firewall com limite de login e backup externo testado.

Se quiser uma verificação imediata, rode o <a href="https://security.full.services">FULL Scan</a> agora e consulte o <a href="https://security.full.services/vulnerabilidades-no-wordpress">repositório de vulnerabilidades</a> para saber se algum plugin do seu site já tem CVE conhecido, com base nos dados oficiais de mais de 12 mil vulnerabilidades catalogadas. Para aprofundar a detecção e a recuperação, o passo a passo de um <a href="https://full.services/site-wordpress-hackeado/">site WordPress hackeado</a> e o guia de <a href="https://full.services/site-wordpress-invadido-o-que-fazer-imediatamente/">site invadido: o que fazer imediatamente</a> cobrem os cenários mais delicados. Para continuar aprendendo segurança, o <a href="https://full.services/academy/">FULL Academy</a> reúne tutoriais, guias e checklists em um só lugar.