WordPress invadido por vírus exige isolar o site, varrer os arquivos, limpar o malware e fechar a brecha que abriu a porta, nessa ordem. Segundo o WPScan (2026), ha 73.796 vulnerabilidades WordPress catalogadas, quase todas em plugins e temas. A limpeza só dos arquivos visiveis falha porque o backdoor PHP permanece. Recupere o controle em 7 passos técnicos.

Um WordPress invadido por vírus é um site cujo código foi alterado por um invasor para injetar spam, criar admin oculto ou plantar backdoor. O sintoma costuma ser redirecionamento de spam, alerta vermelho no Google ou queda de tráfego sem causa aparente. A pressa atrapalha: sair deletando arquivos sem mapear a origem deixa o backdoor intacto e o malware volta em horas. Este guia trata o site invadido como uma cena de incidente, com isolamento, varredura, limpeza e hardening em sequencia. Para o panorama do tema, veja os guias de segurança WordPress da FULL.

Diagnóstico rápido: 7 sinais de WordPress invadido por vírus

Antes de limpar, confirme a infeccao: na maioria dos chamados de suporte da FULL, o dono só percebe que tem um WordPress invadido por vírus quando o Google já marcou o site. Os sinais mais confiaveis são redirecionamento de spam, aviso de “site enganoso” no Chrome e arquivos PHP novos com nomes aleatorios em wp-content.

A tabela abaixo cruza sintoma e causa raiz para você agir sem chutar. Use-a antes de tocar em qualquer arquivo, porque cada sintoma aponta para um vetor diferente e exige uma acao corretiva específica.

Legenda: a varredura externa confirma a infeccao sem depender do painel, que pode estar comprometido.

Segundo o Cloudflare Radar, em 2026-06-09 os ataques de camada de aplicação mitigados no Brasil se dividiam em 82,4% de DDoS e 16,4% bloqueados por WAF, sinal de que uma fatia relevante das ameacas só para num firewall ativo. Confirmado o WordPress invadido por vírus, o relogio passa a correr: cada hora no ar agrava a penalidade no buscador e amplia o estrago.

Por que o malware volta: O backdoor que ninguem ve

A maior frustracao de quem tem WordPress invadido por vírus é ver a infeccao voltar horas depois da limpeza. Isso acontece porque o atacante quase nunca deixa um arquivo só: ele planta um backdoor, um trecho de código PHP escondido que recria os arquivos maliciosos sob demanda, mesmo depois de você apagar o que estava visivel.

Um plugin nulled instalado, somado a ausencia de firewall de aplicação e a permissão 777 em wp-content, forma a combinacao classica de reinfeccao. Por isso a ordem importa: limpar os arquivos visiveis sem auditar usuários, tarefas agendadas (wp-cron) e o banco de dados deixa a porta aberta para o atacante voltar. O backdoor costuma se disfarcar com funções como eval e base64_decode, fora dos arquivos obvios que você apagou primeiro. A FULL detalha esse ciclo de reinfeccao no guia sobre por que o malware volta mesmo após ser removido.

Passo a passo: Como salvar um WordPress invadido por vírus

Recuperar um WordPress invadido por vírus segue sete passos em ordem fixa, do isolamento ao monitoramento, e pular etapas é o erro que mais gera reinfeccao. A sequencia abaixo isola o site, preserva a evidencia, limpa a infeccao e fecha a brecha de origem, cada passo com um objetivo único e um critério de validação antes do próximo.

Passo 1: Isole o site e coloque em manutenção

Coloque o site offline para o público antes de tocar em qualquer arquivo, porque um site infectado no ar continua espalhando malware e acumulando penalidade no Google. Ative o modo manutenção pelo painel ou renomeie o tema ativo via FTP para forcar uma página neutra. Bloqueie o acesso por IP se a invasão estiver ativa. O objetivo é congelar a cena sem o atacante reagindo em tempo real.

Passo 2: Faca backup do estado infectado

Gere um backup completo do site mesmo infectado, porque ele é a sua evidencia forense e o seu seguro contra um erro de limpeza. Use o UpdraftPlus ou o snapshot do servidor para guardar arquivos e banco. Marque o arquivo como “infectado” e não o restaure por engano. Esse backup permite comparar o antes e o depois e recuperar conteúdo legitimo que a limpeza venha a remover.

Passo 3: Varra os arquivos com scanner confiável

Rode uma varredura completa com o All in One Security ou o Wordfence dentro do site e cruze com o Sucuri SiteCheck por fora, já que o scanner interno pode estar comprometido. A varredura aponta arquivos modificados, injeções conhecidas e diferencas em relacao ao core original do WordPress. Anote cada caminho sinalizado. O objetivo aqui é mapear toda a extensão da infeccao antes de apagar qualquer coisa.

Passo 4: Limpe o malware e o backdoor

Substitua os arquivos do core por copias limpas do WordPress.org e remova manualmente o código injetado em wp-content, header.php e wp-config.php. Procure funções suspeitas como eval, base64_decode e gzinflate, que costumam esconder o backdoor. Revise o wp-cron e as tarefas agendadas. Esse passo decide tudo: o site só fica limpo quando o backdoor sai junto com os arquivos visiveis.

Passo 5: Audite usuários e troque todas as senhas

Liste todos os usuários administradores e exclua qualquer conta que você não reconheca, porque a forca bruta em senha reutilizada costuma criar um admin oculto para acesso persistente. Troque a senha de admin, do banco, do FTP e da hospedagem. Force logout de todas as sessões e regenere as chaves de segurança do wp-config.php. O objetivo é revogar todo acesso que o atacante guardou.

Passo 6: Feche a brecha de origem

Atualize WordPress, todos os plugins e temas para a última versão, porque a porta de entrada quase sempre é um componente desatualizado com vulnerabilidade conhecida. Remova plugins nulled e temas piratas sem exceção. Aplique hardening: desative a edição de arquivos no painel, bloqueie execucao de PHP em uploads e ative o firewall do All in One Security no plano PRO da FULL. Sem fechar a origem, a limpeza dura pouco.

Passo 7: Peca revisao ao Google e monitore

Solicite a nova revisao do Google no Search Console assim que o site estiver limpo, já que o alerta vermelho continua afastando visitantes mesmo depois da correção. Reenvie o sitemap, verifique a Segurança e Acoes Manuais e acompanhe os logs por pelo menos quatorze dias. Configure alertas de integridade de arquivo no plugin de segurança. O objetivo final é confirmar que um WordPress invadido por vírus não voltou a ser reinfectado.

Ferramentas reais para limpar e proteger o WordPress

Quatro ferramentas cobrem o ciclo de recuperar um WordPress invadido por vírus, da detecção ao hardening. O All in One Security entrega firewall e auditoria nativa; o Wordfence traz uma base de assinaturas de ameaca; o Sucuri SiteCheck faz varredura externa sem instalação; o WPScan cruza o site com um banco de vulnerabilidades conhecidas.

Aqui entra um dado que só quem cataloga vulnerabilidade enxerga: a FULL é a única empresa brasileira credenciada como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022, ou seja, atribui identificadores CVE oficiais. Vale atencao a CVE-2026-8438 (CVSS 7.2, alta) no All in One Security, corrigida na versão 5.4.8: por ser recente, atualizar deixa de ser opcional. Como referência histórica, a CVE-2020-35489 (CVSS 10.0) no Contact Form 7 permitia upload arbitrario de arquivo, o vetor classico de quem instala um shell, mas já foi corrigida na versão 5.3.2.

Por onde o vírus entra: As 3 brechas que dominam os casos

Três vetores respondem pela maioria das infeccoes de WordPress invadido por vírus, e reconhece-los evita repetir o erro depois da limpeza. O primeiro é o plugin ou tema nulled, que vem com backdoor de fabrica. O segundo é o componente desatualizado com CVE pública. O terceiro é a senha fraca ou reutilizada, explorada por forca bruta sem limite de tentativas.

Cada vetor tem uma cadeia técnica clara. Um tema desatualizado que aceita upload sem sanitizacao, somado a PHP executavel em uploads, vira uma shell remota que injeta spam no header.php. Uma senha de admin reutilizada abre caminho para um usuário administrador oculto. Nos casos que chegam ao suporte da FULL, a combinacao de plugin pirata e ausencia de firewall responde pela maior parte das reinfeccoes. O roteiro de blindagem esta em como proteger o WordPress contra ataques de forca bruta.

Limpe sem perder o SEO: O erro que custa tráfego

Limpar um WordPress invadido por vírus sem cuidado com o SEO troca um problema por outro: uma limpeza agressiva derruba páginas legitimas e o Google demora a recuperar a confiança. A regra é cirurgica: remova só o código injetado e preserve URLs, redirecionamentos legitimos e o conteúdo original, em vez de apagar a pasta de uploads inteira no susto.

O dado técnico mais importante aqui é o crawl budget. Quando o malware cria centenas de páginas de spam, o Google gasta rastreamento com lixo e desperdica uma fatia relevante do orcamento de indexação, atrasando a reindexacao do conteúdo bom. Limpe, marque as páginas de spam como removidas e só entao peca a revisao. O passo a passo sem dano esta em como remover malware sem perder SEO, e a recuperação completa em como limpar e recuperar um site WordPress hackeado.

Plano FULL: Firewall, backup e atualização em um lugar

A maioria das reinfeccoes nasce de três falhas operacionais que um plano resolve junto: plugin desatualizado, ausencia de firewall e backup que ninguem testou. O plano PRO da FULL custa R$849,90 e inclui os 17 plugins do bundle, entre eles o All in One Security para firewall e o UpdraftPlus para backup automático.

Dividido pela capacidade de sites do plano, o bundle sai por cerca de R$85 por site, valor que cobre licencas que avulsas passariam de centenas de reais por ano e ainda centraliza a atualização de tudo. Conheca os planos da FULL para comparar o custo por site com o de uma única limpeza emergencial. Se o objetivo agora é só confirmar a infeccao, comece pela verificacao gratuita: o FULL Scan aponta plugins vulneraveis sem instalar nada no site.

Perguntas frequentes sobre WordPress invadido por vírus

Próximos passos para blindar o site após a limpeza

Recuperar um WordPress invadido por vírus termina com prevencao, não com a última varredura limpa, porque a infeccao volta quando a rotina de segurança para. Mantenha WordPress, plugins e temas sempre atualizados, com backup automático testado e firewall de aplicação ativo. Esses três habitos cobrem a origem da maioria dos incidentes e transformam a recuperação em algo pontual. Para se aprofundar, o guia de segurança para WordPress reune o passo a passo de hardening, e o FULL Academy reune todos os tutoriais, guias e reviews de segurança em um só lugar.