Um WordPress infectado por vírus exibe redirecionamentos, spam e queda de SEO porque um plugin ou tema vulneravel virou porta de entrada. Segundo a Wordfence (2024), foram mais de 9 bilhoes de tentativas de XSS bloqueadas no ano. O nucleo raramente é o culpado. Identifique os 7 sinais e limpe.
Um WordPress infectado por vírus é um site cujo código legitimo passou a hospedar scripts maliciosos, quase sempre injetados por uma falha de plugin ou tema desatualizado. O termo popular “vírus” descreve, na prática, malware: backdoors em PHP, redirecionamentos ocultos e spam que o atacante grava no seu servidor. O problema raramente nasce no WordPress em si, e sim em uma extensão que parou de receber atualizações de segurança. Antes de aplicar qualquer correção pontual, vale entender o cenario completo no guia de segurança WordPress da FULL, porque limpar sem fechar a brecha so adia a próxima infeccao.
Neste artigo
Diagnóstico rápido: Os 7 sinais de um WordPress infectado por vírus
Um WordPress infectado por vírus quase sempre se denuncia por pelo menos um dos 7 sinais abaixo antes de o dono perceber. O mais comum, em boa parte dos tickets que chegam ao suporte da FULL, é o redirecionamento: o visitante clica no site e cai numa página de aposta ou farmacia falsa.
A tabela a seguir cruza cada sintoma com a causa raiz mais provavel e a primeira acao de contencao, para você não perder tempo tratando efeito em vez de origem.
| Sintoma observado | Causa raiz provavel | Acao imediata |
|---|---|---|
| Redirecionamento para spam | Backdoor em PHP injetado via plugin com CVE | Tirar do ar e rodar scanner |
| Alerta vermelho no Google | URL na blacklist por conteúdo malicioso | Limpar e pedir revisao no Search Console |
| Usuário admin desconhecido | Forca bruta via xmlrpc.php sem limite | Remover usuário e trocar senhas |
| Arquivos .php estranhos em uploads | Upload sem validação de tipo | Apagar e auditar wp-content |
| Picos de tráfego e e-mail spam | Servidor usado como relay de spam | Bloquear envio e limpar cron |
Os outros dois sinais classicos são a queda subita de posicoes no Google e a lentidao sem explicacao, ambos efeito do mesmo backdoor consumindo recursos. Se você reconhece dois ou mais, trate como confirmado.
Por que o WordPress é alvo: A brecha está no plugin, não no nucleo
A maior parte dos casos de WordPress infectado por vírus nasce de uma extensão vulneravel, não de uma falha do nucleo. O perfil público do WPVulnerability mostra que o Elementor acumula 62 CVEs ao longo dos anos, com 4 correcoes recentes, e o All in One Security soma 44 registros historicos.
Isso não é sinal ruim: muitas CVEs corrigidas indicam um plugin auditado, o oposto de uma extensão abandonada. O que separa risco real de histórico é uma so coisa: importa a vulnerabilidade sem patch hoje, nunca o total acumulado. A CVE-2023-48777 do Elementor, com CVSS 9.9, permitia upload arbitrario de arquivo abaixo da versão 3.18.2, conforme o registro no NVD. Ela foi corrigida: quem atualizou está seguro; quem travou numa versão antiga segue exposto. Por isso site desatualizado é a causa número um de um WordPress infectado por vírus, e o motivo de a FULL priorizar gestão de vulnerabilidade continua.
Como o malware entra e se esconde no servidor
Um WordPress infectado por vírus quase nunca tem um único arquivo comprometido: o atacante planta vários pontos de persistencia para sobreviver a uma limpeza superficial. O vetor mais comum combina 3 fatores: um plugin desatualizado com CVE conhecida, ausencia de firewall e um formulário de upload sem validação de tipo. O resultado é um backdoor PHP em wp-content/uploads.
Junte os três e você tem esse backdoor servindo redirecionamento de spam, invisivel no painel. O segundo vetor é o tema nulled, que carrega código ofuscado dentro de functions.php e recria o malware depois de cada limpeza manual. Um detalhe que so aparece em operacao de escala: em sites com WP-Cron pendurado por hospedagem compartilhada, o malware reagenda a si mesmo via wp_schedule_event. Remover o arquivo infectado sem limpar a tabela wp_options, onde moram cron e transients, faz o backdoor renascer no próximo ciclo. Por isso a limpeza tem que ser de banco e de arquivo ao mesmo tempo.
Contexto de ameaca: O que os ataques no brasil mostram
A pressao sobre sites brasileiros é mensuravel e justifica tratar firewall como item obrigatório. Segundo o Cloudflare Radar, em 9 de junho de 2026 a distribuicao de ataques de camada de aplicação no Brasil ficou em 82,4% de DDoS e 16,4% bloqueados por WAF (Web Application Firewall).
A leitura técnica importa: quando quase um sexto dos ataques de aplicação é interceptado por regra de firewall, um site sem WAF está recebendo essa fatia direto no PHP. Esse é o número fresco que justifica blindar o servidor antes de a infeccao acontecer.
É exatamente essa camada que um plugin como o All in One Security adiciona ao WordPress. Vale um registro de autoridade aqui: a FULL é a única empresa brasileira credenciada como CNA (CVE Numbering Authority) sob a CISA desde maio de 2022, autorizada a atribuir identificadores CVE oficiais. Na prática, quem escreve este passo a passo cataloga vulnerabilidade no mesmo padrão global que o NVD usa. Isso muda o nível de quem orienta a limpeza do seu site.
Passo a passo: Como limpar um WordPress infectado por vírus
Limpar um WordPress infectado por vírus exige seguir uma ordem rigida, porque pular o backup ou a troca de senhas costuma custar o site inteiro. O processo de remover o WordPress infectado por vírus tem 5 passos e funciona tanto para infeccao leve de redirecionamento quanto para defacement completo. Antes de comecar, garanta acesso por SFTP ou ao gerenciador de arquivos da hospedagem, porque o painel pode estar comprometido. Para casos graves, o roteiro completo está em como remover malware do WordPress.
Passo 1: Isole o site e faca um backup do estado infectado
Coloque o site em modo de manutenção e gere um backup completo antes de tocar em qualquer arquivo. Parece contraintuitivo salvar um site infectado, mas esse snapshot é a sua rede de segurança: se a limpeza quebrar algo, você volta e tenta de novo, sem perder dados. Ferramentas como UpdraftPlus exportam arquivos e banco juntos. Guarde o backup fora do servidor.
Passo 2: Rode um scanner e mapeie os arquivos comprometidos
Use um scanner externo e um interno para cruzar resultados antes de apagar nada. O Sucuri SiteCheck varre a parte pública do site pelo navegador e o Wordfence faz varredura de assinatura dentro do WordPress, comparando seus arquivos com os originais do repositorio. A combinacao reduz falso negativo. Anote cada caminho sinalizado, porque a remoção cega de arquivo legitimo derruba o site.
Passo 3: Substitua nucleo, plugins e temas por versões limpas
Reinstale o nucleo do WordPress e cada plugin a partir das fontes oficiais, nunca editando o arquivo infectado no lugar. Baixar a versão limpa e sobrescrever elimina injecoes em arquivos legitimos do core. Apague qualquer tema nulled de imediato: ele é a causa mais comum de reinfeccao. Plugins sem atualização ha mais de um ano devem sair também.
Passo 4: Limpe o banco de dados e a tabela de cron
Inspecione wp_options e wp_posts em busca de scripts injetados e eventos de cron maliciosos. Como o malware se reagenda pelo WP-Cron, limpar so o arquivo não basta: procure por entradas suspeitas em wp_options e remova usuários administradores que você não criou. Troque todas as senhas e as chaves de segurança do wp-config.php nesta etapa.
Passo 5: Peca a revisao do Google e ative o firewall
Solicite a revisao de segurança no Google Search Console e ligue um firewall antes de tirar o modo de manutenção. Depois de confirmar que o scanner está limpo, use a opção de revisao de segurança no Search Console para remover o alerta de site perigoso, o que costuma levar de 1 a 3 dias. Ative um firewall de aplicação para que a mesma brecha não seja explorada de novo.
Escaneie de graca antes de pagar por limpeza
Antes de contratar qualquer serviço, o FULL Scan diz em segundos se algum plugin do seu site tem vulnerabilidade conhecida, sem instalar nada. Rode o FULL Scan e consulte o repositorio de vulnerabilidades, que cruza CVEs oficiais com a base que a FULL ajuda a catalogar como CNA. É o diagnóstico que mostra a porta de entrada antes da limpeza.
A prevencao continua é mais barata que a emergencia. No plano PRO da FULL, por R$849, você ativa em um clique o bundle com All in One Security, firewall, backup automático e mais 14 plugins premium; são R$85 por site quando você gerencia os 10 sites do plano. A gente ve no suporte que site com firewall e atualização em dia simplesmente não vira aquele ticket de madrugada. Conheca tudo em FULL.services/planos.
O que fazer para o WordPress nunca mais ser infectado
Evitar um WordPress infectado por vírus depende de 3 habitos baratos que cobrem a maior parte do vetor de ataque: atualizar na mesma semana do patch, manter backup diario e rodar um firewall. Atualizar nucleo, plugins e temas fecha a janela das CVEs conhecidas, que respondem por boa parte das invasoes.
Ter backup automático diario garante que, no pior caso, você restaura em minutos em vez de pagar limpeza. E rodar um firewall com limite de tentativas de login corta a forca bruta antes de ela acertar a senha.
Se o site já foi infectado uma vez, a recuperação completa e a prevencao do retorno estão detalhadas em como limpar e recuperar um site WordPress hackeado e em por que o malware volta mesmo após ser removido. Para aprofundar, o FULL Academy reune todos os tutoriais e guias de segurança em um so lugar: FULL Academy. Saber identificar o WordPress infectado por vírus cedo é o que separa um susto de uma reconstrucao.
Perguntas frequentes sobre WordPress infectado por vírus
Quais são os primeiros sinais de um WordPress infectado por vírus?
Redirecionamento para páginas de spam é o sinal mais comum, seguido de alerta vermelho do Google ao abrir o site. Outros indicios são usuários administradores que você não criou, arquivos .php estranhos na pasta wp-content/uploads e queda subita de posicoes no Google. Se dois ou mais aparecem juntos, trate como infeccao confirmada e tire o site do ar para limpar.
Por que o malware volta mesmo depois de eu limpar o site?
Porque a limpeza removeu o arquivo visivel, mas deixou um backdoor escondido que se reinstala. O código malicioso costuma se reagendar pelo WP-Cron via wp_schedule_event e gravar copias em functions.php de tema nulled. Sem limpar a tabela wp_options no banco e sem trocar o tema pirateado, o WordPress infectado por vírus renasce no próximo ciclo de cron, geralmente em poucas horas.
E possível limpar um WordPress infectado por vírus sem perder o conteúdo?
Sim, na maioria dos casos o conteúdo é preservado se você fizer um backup completo antes de comecar. A limpeza correta sobrescreve nucleo, plugins e temas por versões oficiais e remove apenas o código injetado, mantendo posts, páginas e imagens intactos. O risco de perda existe quando a infeccao corrompe o banco de dados, e é justamente por isso que o backup do estado atual é o passo 1 inegociavel.
Qual a diferenca entre limpar manualmente e usar um plugin de segurança?
A limpeza manual via SFTP da controle total, mas exige ler código e identificar injecao arquivo por arquivo, o que leva horas. Um plugin como o Wordfence automatiza a varredura comparando seus arquivos com os originais do repositorio e aponta o que mudou em minutos. Para a maioria dos sites, a combinacao funciona melhor: o scanner mapeia e você confirma a remoção, evitando apagar arquivo legitimo por engano.
Quanto tempo leva para o Google remover o alerta de site perigoso?
Depois que o site está limpo e você pede a revisao no Google Search Console, a remoção do alerta costuma levar de 1 a 3 dias. O prazo so comeca a contar quando o scanner do Google não encontra mais malware, entao limpar de forma incompleta reinicia o relogio. Manter um firewall ativo depois evita reincidencia, que faz o Google aplicar penalidade mais longa na segunda vez.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
