# WordPress mostrando conteudo estranho: 5 causas e correcao

<strong>WordPress mostrando conteudo estranho</strong> quase sempre é sinal de invasão: injeção de malware, spam SEO oculto ou defacement. Segundo o <a href="https://radar.cloudflare.com/security/application-layer">Cloudflare Radar</a> (2026), 82,4% dos ataques de aplicação no Brasil são DDoS e 16,4% passam por WAF. A FULL, única CNA brasileira sob a CISA, recomenda isolar o site antes de limpar. Diagnostique a origem, restaure de backup e faça hardening.

WordPress mostrando conteudo estranho é o sintoma visível de um site comprometido: textos em japonês, links farmacêuticos, pop-ups de aposta ou páginas que você nunca criou aparecem no front-end ou nos resultados do Google. Na prática, isso indica que um invasor injetou código no banco de dados, em arquivos PHP ou no tema. O <a href="https://full.services/seguranca-wordpress/">guias de segurança WordPress da FULL</a> mostram que o problema raramente é estético: por trás do texto estranho há um <a href="https://full.services/glossario/malware-wordpress/">malware</a> ativo que rouba tráfego, derruba o ranqueamento e expõe seus visitantes. Este tutorial cobre as 5 causas mais comuns e o passo a passo de correção.

---

## Diagnóstico rápido: O que significa WordPress mostrando conteudo estranho

WordPress mostrando conteudo estranho significa, na maioria dos chamados de invasão, uma de 3 coisas: spam SEO injetado (texto oculto para o Google), defacement (página alterada à vista) ou redirecionamento malicioso. Identificar qual deles você tem é o primeiro passo, porque cada tipo pede uma limpeza diferente e tratar o errado custa tempo.

Spam SEO fica invisível no navegador e só aparece para o robô do Google; defacement é escancarado; redirecionamento manda o visitante para outro domínio. A tabela cruza sintoma, causa raiz e ação imediata.

<table id="diagnostico-conteudo-estranho-wordpress">
  <caption>WordPress mostrando conteudo estranho: sintoma, causa e acao</caption>
  <thead>
    <tr>
      <th scope="col">Sintoma visivel</th>
      <th scope="col">Causa raiz provavel</th>
      <th scope="col">Acao imediata</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row">Texto em japones/chines no Google, invisivel no site</th>
      <td>Spam SEO injetado (cloaking) no banco ou em .php</td>
      <td>Isolar o site e auditar wp_posts e wp_options</td>
    </tr>
    <tr>
      <th scope="row">Pagina inicial trocada por mensagem do invasor</th>
      <td>Defacement via index.php ou tema sobrescrito</td>
      <td>Restaurar de backup limpo</td>
    </tr>
    <tr>
      <th scope="row">Visitante redirecionado para outro domínio</th>
      <td>Script malicioso no header ou no .htaccess</td>
      <td>Limpar .htaccess e header do tema</td>
    </tr>
    <tr>
      <th scope="row">Links farmaceuticos ocultos no rodape</th>
      <td>Link injection em widget ou functions.php</td>
      <td>Remover o trecho injetado e trocar senhas</td>
    </tr>
  </tbody>
</table>

<p class="wp-caption-text">Legenda: o spam SEO costuma aparecer no relatório do Google antes de ser visível no próprio site.</p>

---

## Causa 1: Plugin ou tema nulled com backdoor

A causa nº 1 de WordPress mostrando conteudo estranho é plugin ou tema "nulled" (versão pirata): boa parte dos sites infectados que chegam ao suporte rodava ao menos 1 item baixado fora do repositório oficial. Esses arquivos vêm com um backdoor PHP pré-instalado que reescreve seu conteúdo a cada visita.

A relação causal observada em produção é clara: plugin nulled com backdoor, somado a atualização automática desligada, gera reinfecção recorrente mesmo após a limpeza manual do banco. O Elementor acumula 62 CVEs no histórico (segundo o perfil público do WPVulnerability), mas o risco não está no plugin oficial e sim na cópia pirata, que carrega a falha de propósito. Se você suspeita de um plugin específico, veja o passo a passo em <a href="https://full.services/como-remover-malware-do-wordpress/">como remover malware do WordPress</a>. A FULL distribui Elementor PRO, WP Rocket e All in One Security licenciados e sempre atualizados, justamente para fechar essa porta de entrada.

---

## Causa 2: Permissao de arquivo aberta e upload sem validacao

A causa nº 2 de WordPress mostrando conteudo estranho é permissão de arquivo frouxa com upload sem validação de tipo. Quando `wp-content/uploads` fica com permissão 777, qualquer processo grava nela: somado a um formulário que aceita upload sem checar o MIME, um shell PHP é gravado e passa a servir conteúdo estranho a cada requisição.

O invasor sobe um `.php` disfarçado de imagem e ganha execução remota. É assim que o WordPress mostrando conteudo estranho aparece sem nenhum aviso no painel.

A correção é definir permissões corretas (755 para pastas, 644 para arquivos) e nunca deixar `wp-config.php` legível por terceiros. O <a href="https://full.services/glossario/hardening-wordpress/">hardening</a> reduz essa superfície de ataque, e o <a href="https://full.services/glossario/firewall-wordpress/">firewall</a> de aplicação bloqueia a execução do shell antes que ele rode. Segundo o <a href="https://radar.cloudflare.com/security/application-layer">Cloudflare Radar</a>, nos últimos 28 dias 16,4% dos ataques de camada de aplicação no Brasil foram mitigados por WAF, o que justifica manter um firewall ativo no servidor, não apenas no plugin.

---

## Causa 3: XSS armazenado no tema ou em comentários

A causa nº 3 de WordPress mostrando conteudo estranho é um <a href="https://full.services/glossario/xss/">XSS</a> armazenado, que injeta script no front-end sem tocar no PHP do servidor. O <a href="https://full.services/cross-site-scripting-xss-o-que-e-e-como-corrigi-lo/">cross-site scripting</a> ocorre quando um campo aceita HTML sem sanitização.

A relação causal por trás desse WordPress mostrando conteudo estranho: tema desatualizado com XSS armazenado, somado a um comentário malicioso aprovado, injeta script que renderiza spam japonês ou farmacêutico no rodapé. O Contact Form 7 ilustra o risco: já teve a CVE-2020-35489, CVSS 10.0, que permitia upload arbitrário em versões abaixo da 5.3.2 ,  corrigida há anos, mas ainda explorada em quem nunca atualiza.

<table id="cves-xss-wordpress-conteudo-estranho">
  <caption>CVEs reais ligadas a injecao de conteudo no WordPress</caption>
  <thead>
    <tr>
      <th scope="col">CVE</th>
      <th scope="col">CVSS / componente</th>
      <th scope="col">O que a falha permitia</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row"><a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35489">CVE-2020-35489</a></th>
      <td>10.0 critico (Contact Form 7 &lt; 5.3.2)</td>
      <td>Upload arbitrario de arquivo (shell PHP)</td>
    </tr>
    <tr>
      <th scope="row"><a href="https://nvd.nist.gov/vuln/detail/CVE-2023-48777">CVE-2023-48777</a></th>
      <td>9.9 critico (Elementor &lt; 3.18.2)</td>
      <td>Upload arbitrario levando a injecao de conteudo</td>
    </tr>
  </tbody>
</table>

A FULL é a única empresa brasileira credenciada como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022: quem escreve estes guias cataloga CVE oficial. As duas falhas acima já têm patch.

---

## Causa 4: Credencial vazada e acesso direto ao banco

A causa nº 4 de WordPress mostrando conteudo estranho é credencial comprometida: uma senha de admin, FTP ou banco que vazou em outro serviço e foi reutilizada. Com acesso direto, o invasor edita `wp_options` e injeta conteúdo sem deixar arquivo suspeito, o que engana scanners que só olham o sistema de arquivos.

A maioria desses casos some assim que você força a troca de todas as senhas e revoga as sessões ativas.

O ataque de força bruta alimenta o WordPress mostrando conteudo estranho: tentativas automáticas de adivinhar a senha de `/wp-login.php`. Limitar tentativas, ativar autenticação em dois fatores e bloquear o XML-RPC fecham a porta, como detalha o <a href="https://full.services/como-fazer-hardening-de-seguranca-no-wordpress/">guia de hardening</a>. Ferramentas como Wordfence, Sucuri SiteCheck e All in One Security monitoram login e alertam em tempo real. Antes de qualquer limpeza, garanta um <a href="https://full.services/glossario/backup-wordpress/">backup</a> íntegro com o <a href="https://full.services/backup-wordpress-automatico/">backup automático</a>, para conseguir comparar arquivos e reverter sem perder dados.

---

## Causa 5: Cache servindo a versão infectada

A causa nº 5 de WordPress mostrando conteudo estranho é sutil: o cache continua servindo a página infectada mesmo depois de você limpar o banco. Em sites com cache agressivo (WP Rocket, LiteSpeed Cache), o HTML malicioso fica armazenado e é entregue por horas após a correção, o que faz muita gente achar que a limpeza falhou.

Purgar o cache, regenerar o sitemap e só então pedir reanálise ao Google evita que o site receba um 2º flag de segurança por conteúdo que já não existe mais no servidor.

Esse ponto também explica por que o WordPress mostrando conteudo estranho via <a href="https://full.services/wordpress-com-redirecionamentos-suspeitos-veja-como-limpar/">redirecionamento suspeito</a> às vezes persiste só para alguns visitantes: a CDN ou o cache do navegador ainda guarda a resposta envenenada. Após limpar, sempre invalide o cache em todas as camadas ,  plugin, servidor e CDN. Se o conteúdo estranho some no seu navegador mas o Google ainda o reporta, o problema é quase sempre cache desatualizado ou cloaking, não uma reinfecção nova.

---

## Passo a passo: Como remover o conteudo estranho do WordPress

Remover WordPress mostrando conteudo estranho leva de 30 minutos a algumas horas e segue 5 passos em ordem: isolar, fazer backup forense, diagnosticar, limpar e blindar. Pular o backup forense é o erro nº 1, porque você perde a evidência de como o site foi invadido. Siga a sequência abaixo sem inverter etapas.

### Passo 1: Isole o site e preserve a evidencia

Coloque o site em modo de manutenção ou tire-o do ar antes de mexer em qualquer arquivo. Isso impede que o malware reinfecte enquanto você limpa e protege seus visitantes de baixar o código malicioso. Não delete nada ainda: faça um backup forense completo (arquivos + banco) para análise posterior.

### Passo 2: Faca um backup forense completo

Gere uma cópia integral do estado atual, mesmo infectado, com UpdraftPlus ou o backup do seu painel. Esse backup é a prova de como a invasão entrou e permite comparar arquivos contra uma instalação limpa do WordPress 6.x. Guarde-o fora do servidor.

### Passo 3: Diagnostique a origem da injecao

Compare os arquivos core com os oficiais do `developer.wordpress.org`, procure funções `eval`, `base64_decode` e `gzinflate` ofuscadas, e audite `wp_options` e `wp_posts` no banco. O <a href="https://full.services/como-limpar-arquivos-infectados-no-wp-content/">guia de limpeza do wp-content</a> mostra onde os shells costumam se esconder.

### Passo 4: Limpe banco, arquivos e usuários

Remova os trechos injetados, substitua o core e os plugins por cópias limpas do repositório oficial, apague usuários administradores que você não criou e troque todas as senhas. Veja o procedimento detalhado em <a href="https://full.services/como-limpar-e-recuperar-um-site-wordpress-hackeado/">como recuperar um site WordPress hackeado</a>.

### Passo 5: Blinde e peca reanalise ao Google

Ative firewall, 2FA e atualizações automáticas, purgue todo o cache e use o <a href="https://full.services/como-corrigir-alertas-de-seguranca-no-google-para-wordpress/">guia de alertas do Google</a> para remover o flag. Confirme a limpeza com o Sucuri SiteCheck e o Google Search Console antes de reativar o site.

---

## Como a FULL elimina a porta de entrada

A maioria dos casos de WordPress mostrando conteudo estranho começa em software pirata ou desatualizado, e é exatamente aí que o plano resolve a causa. O plano PRO da FULL, a R$849,90 por ano para até 10 sites, dá R$85 por site e inclui Elementor PRO, WP Rocket e o <a href="https://full.services/solucoes/all-in-one-security/">All in One Security</a> licenciados e sempre atualizados. Em vez de buscar versão nulled, você ativa a oficial em um clique. A gente vê no suporte da FULL que sites com bundle licenciado e firewall ativo reinfectam muito menos. Conheça os planos em <a href="https://full.services/planos">FULL.services/planos</a> e, se já desconfia de invasão, rode agora o <a href="https://security.full.services">FULL Scan</a> gratuito.

---

<aside aria-label="Metodologia dos Testes">
<h2 id="metodologia-dos-testes">Metodologia da analise</h2>
<p>Este guia sobre WordPress mostrando conteudo estranho cruza três fontes de dado real, não opinião. Os identificadores CVE e seus escores CVSS vêm do perfil público do WPVulnerability e foram conferidos um a um no <a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35489">NVD do NIST</a>, a base oficial de vulnerabilidades dos Estados Unidos. O dado de distribuição de ataques veio do Cloudflare Radar, com janela dos últimos 28 dias encerrada em <time datetime="2026-06">junho de 2026</time>. As observações operacionais refletem padrões recorrentes nos tickets de segurança da base de 150 mil sites conectados à FULL, sem proporção fabricada ,  onde não há número medido, o texto usa linguagem qualitativa. A FULL é a única CNA brasileira credenciada pela CISA desde <time datetime="2022-05">maio de 2022</time>.</p>
</aside>

<aside aria-label="Resumo Tecnico">
<h2 id="resumo-tecnico">Resumo técnico</h2>
<ul style="margin-bottom:1.5rem">
  <li><strong>Causa mais comum:</strong> plugin ou tema nulled com backdoor PHP injetado e atualização automática desligada.</li>
  <li><strong>Sinal mais traicoeiro:</strong> spam SEO via cloaking que só aparece para o robô do Google, nunca no seu navegador.</li>
  <li><strong>Vetor de servidor:</strong> permissão 777 em uploads mais formulário sem validação de MIME grava shell PHP executável.</li>
  <li><strong>Erro de limpeza frequente:</strong> esquecer de purgar o cache em todas as camadas, que segue servindo a versão infectada por horas.</li>
  <li><strong>Primeira acao correta:</strong> isolar o site em manutenção e gerar backup forense antes de apagar qualquer arquivo.</li>
  <li><strong>Em uma frase:</strong> WordPress mostrando conteudo estranho é sintoma de invasão e exige diagnóstico da origem antes da limpeza.</li>
</ul>
</aside>

<h2 id="faq">Perguntas frequentes sobre conteudo estranho no WordPress</h2>

<details>
<summary>Por que meu WordPress mostra conteudo estranho so para o Google e nao para mim?</summary>
<p>Porque o invasor usa cloaking: o código injetado detecta o robô do Google e entrega spam SEO só para ele, enquanto o seu navegador vê a página normal. É a forma de injeção mais comum em ataques de spam farmacêutico. Para confirmar, use a ferramenta de inspeção de URL do Google Search Console, que renderiza a página como o robô a vê. Se aparecer texto que você não escreveu, há injeção ativa no banco ou em arquivo PHP.</p>
</details>

<details>
<summary>E possível remover o conteudo estranho do WordPress sem reinstalar o site inteiro?</summary>
<p>Sim, na maioria dos casos. Se você tem um backup limpo e identifica a origem da injeção, dá para limpar os trechos infectados em `wp_options`, `wp_posts` e nos arquivos PHP sem reinstalação total. A reinstalação do core só é necessária quando há shell espalhado e você não consegue isolar a porta de entrada. Em ambos os caminhos, troque todas as senhas e ative firewall depois, senão a reinfecção volta em dias.</p>
</details>

<details>
<summary>Qual a diferenca entre defacement e injecao de spam SEO no WordPress?</summary>
<p>Defacement é a alteração visível da página: o invasor troca a home por uma mensagem própria, e qualquer visitante percebe na hora. Injeção de spam SEO é oculta: insere links e texto farmacêutico ou de aposta voltados ao Google, geralmente invisíveis no navegador. O defacement ataca a reputação imediata; o spam SEO sequestra seu ranqueamento aos poucos. A limpeza muda: defacement quase sempre se resolve com restauração de backup, spam exige auditoria de banco.</p>
</details>

<details>
<summary>Como saber se o conteudo estranho veio de um plugin ou do tema?</summary>
<p>Desative todos os plugins e troque para um tema padrão como o Twenty Twenty-Four. Se o conteúdo estranho some, o problema está em um plugin ou no tema anterior; reative um a um até identificar o culpado. Se o conteúdo persiste com plugins desativados e tema limpo, a injeção está no core, no banco de dados ou no `.htaccess`. Ferramentas como Wordfence apontam quais arquivos foram modificados recentemente, o que acelera o diagnóstico.</p>
</details>

<details>
<summary>O que fazer primeiro quando o WordPress comeca a mostrar conteudo estranho?</summary>
<p>Isole o site antes de qualquer outra coisa: coloque em modo de manutenção para não infectar visitantes nem deixar o malware se espalhar. Em seguida, faça um backup forense completo, mesmo infectado, porque ele é a evidência de como a invasão entrou. Só depois parta para o diagnóstico e a limpeza. Pular o isolamento e sair apagando arquivos é o erro que mais faz a infecção voltar dias depois.</p>
</details>

---

## Próximos passos para blindar seu WordPress

Tratar WordPress mostrando conteudo estranho não termina na limpeza: termina no hardening que impede a próxima invasão. O padrão dos sites que reinfectam é sempre o mesmo, software pirata e atualização desligada, então a blindagem real é usar plugins licenciados, firewall ativo e backup automático verificado. Comece auditando seus plugins, troque qualquer item nulled pela versão oficial e ative monitoramento contínuo para que o WordPress mostrando conteudo estranho não volte. Para continuar aprendendo, o <a href="https://full.services/academy/">FULL Academy</a> reúne os guias de segurança em um só lugar, e o <a href="https://security.full.services/vulnerabilidades-no-wordpress">repositório de vulnerabilidades</a> da FULL lista os CVEs mais recentes do ecossistema WordPress com dados oficiais.