WordPress mostrando conteúdo estranho quase sempre é sinal de invasão: injeção de malware, spam SEO oculto ou defacement. Segundo o Cloudflare Radar (2026), 82,4% dos ataques de aplicação no Brasil são DDoS e 16,4% passam por WAF. A FULL, única CNA brasileira sob a CISA, recomenda isolar o site antes de limpar. Diagnostique a origem, restaure de backup e faça hardening.
WordPress mostrando conteúdo estranho é o sintoma visível de um site comprometido: textos em japonês, links farmacêuticos, pop-ups de aposta ou páginas que você nunca criou aparecem no front-end ou nos resultados do Google. Na prática, isso indica que um invasor injetou código no banco de dados, em arquivos PHP ou no tema. O guias de segurança WordPress da FULL mostram que o problema raramente é estético: por trás do texto estranho há um malware ativo que rouba tráfego, derruba o ranqueamento e expõe seus visitantes. Este tutorial cobre as 5 causas mais comuns e o passo a passo de correção.
Neste artigo
Diagnóstico rápido: O que significa WordPress mostrando conteúdo estranho
WordPress mostrando conteúdo estranho significa, na maioria dos chamados de invasão, uma de 3 coisas: spam SEO injetado (texto oculto para o Google), defacement (página alterada à vista) ou redirecionamento malicioso. Identificar qual deles você tem é o primeiro passo, porque cada tipo pede uma limpeza diferente e tratar o errado custa tempo.
Spam SEO fica invisível no navegador e só aparece para o robô do Google; defacement é escancarado; redirecionamento manda o visitante para outro domínio. A tabela cruza sintoma, causa raiz e ação imediata.
| Sintoma visivel | Causa raiz provavel | Acao imediata |
|---|---|---|
| Texto em japones/chines no Google, invisivel no site | Spam SEO injetado (cloaking) no banco ou em .php | Isolar o site e auditar wp_posts e wp_options |
| Página inicial trocada por mensagem do invasor | Defacement via index.php ou tema sobrescrito | Restaurar de backup limpo |
| Visitante redirecionado para outro domínio | Script malicioso no header ou no .htaccess | Limpar .htaccess e header do tema |
| Links farmaceuticos ocultos no rodape | Link injection em widget ou functions.php | Remover o trecho injetado e trocar senhas |
Legenda: o spam SEO costuma aparecer no relatório do Google antes de ser visível no próprio site.
Causa 1: Plugin ou tema nulled com backdoor
A causa nº 1 de WordPress mostrando conteúdo estranho é plugin ou tema “nulled” (versão pirata): boa parte dos sites infectados que chegam ao suporte rodava ao menos 1 item baixado fora do repositório oficial. Esses arquivos vêm com um backdoor PHP pré-instalado que reescreve seu conteúdo a cada visita.
A relação causal observada em produção é clara: plugin nulled com backdoor, somado a atualização automática desligada, gera reinfecção recorrente mesmo após a limpeza manual do banco. O Elementor acumula 62 CVEs no histórico (segundo o perfil público do WPVulnerability), mas o risco não está no plugin oficial e sim na cópia pirata, que carrega a falha de propósito. Se você suspeita de um plugin específico, veja o passo a passo em como remover malware do WordPress. A FULL distribui Elementor PRO, WP Rocket e All in One Security licenciados e sempre atualizados, justamente para fechar essa porta de entrada.
Causa 2: Permissao de arquivo aberta e upload sem validação
A causa nº 2 de WordPress mostrando conteúdo estranho é permissão de arquivo frouxa com upload sem validação de tipo. Quando wp-content/uploads fica com permissão 777, qualquer processo grava nela: somado a um formulário que aceita upload sem checar o MIME, um shell PHP é gravado e passa a servir conteúdo estranho a cada requisição.
O invasor sobe um .php disfarçado de imagem e ganha execução remota. É assim que o WordPress mostrando conteúdo estranho aparece sem nenhum aviso no painel.
A correção é definir permissões corretas (755 para pastas, 644 para arquivos) e nunca deixar wp-config.php legível por terceiros. O hardening reduz essa superfície de ataque, e o firewall de aplicação bloqueia a execução do shell antes que ele rode. Segundo o Cloudflare Radar, nos últimos 28 dias 16,4% dos ataques de camada de aplicação no Brasil foram mitigados por WAF, o que justifica manter um firewall ativo no servidor, não apenas no plugin.
Causa 3: XSS armazenado no tema ou em comentários
A causa nº 3 de WordPress mostrando conteúdo estranho é um XSS armazenado, que injeta script no front-end sem tocar no PHP do servidor. O cross-site scripting ocorre quando um campo aceita HTML sem sanitização.
A relação causal por trás desse WordPress mostrando conteúdo estranho: tema desatualizado com XSS armazenado, somado a um comentário malicioso aprovado, injeta script que renderiza spam japonês ou farmacêutico no rodapé. O Contact Form 7 ilustra o risco: já teve a CVE-2020-35489, CVSS 10.0, que permitia upload arbitrário em versões abaixo da 5.3.2 , corrigida há anos, mas ainda explorada em quem nunca atualiza.
| CVE | CVSS / componente | O que a falha permitia |
|---|---|---|
| CVE-2020-35489 | 10.0 crítico (Contact Form 7 < 5.3.2) | Upload arbitrario de arquivo (shell PHP) |
| CVE-2023-48777 | 9.9 crítico (Elementor < 3.18.2) | Upload arbitrario levando a injecao de conteúdo |
A FULL é a única empresa brasileira credenciada como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022: quem escreve estes guias cataloga CVE oficial. As duas falhas acima já têm patch.
Causa 4: Credencial vazada e acesso direto ao banco
A causa nº 4 de WordPress mostrando conteúdo estranho é credencial comprometida: uma senha de admin, FTP ou banco que vazou em outro serviço e foi reutilizada. Com acesso direto, o invasor edita wp_options e injeta conteúdo sem deixar arquivo suspeito, o que engana scanners que só olham o sistema de arquivos.
A maioria desses casos some assim que você força a troca de todas as senhas e revoga as sessões ativas.
O ataque de força bruta alimenta o WordPress mostrando conteúdo estranho: tentativas automáticas de adivinhar a senha de /wp-login.php. Limitar tentativas, ativar autenticação em dois fatores e bloquear o XML-RPC fecham a porta, como detalha o guia de hardening. Ferramentas como Wordfence, Sucuri SiteCheck e All in One Security monitoram login e alertam em tempo real. Antes de qualquer limpeza, garanta um backup íntegro com o backup automático, para conseguir comparar arquivos e reverter sem perder dados.
Causa 5: Cache servindo a versão infectada
A causa nº 5 de WordPress mostrando conteúdo estranho é sutil: o cache continua servindo a página infectada mesmo depois de você limpar o banco. Em sites com cache agressivo (WP Rocket, LiteSpeed Cache), o HTML malicioso fica armazenado e é entregue por horas após a correção, o que faz muita gente achar que a limpeza falhou.
Purgar o cache, regenerar o sitemap e só então pedir reanálise ao Google evita que o site receba um 2º flag de segurança por conteúdo que já não existe mais no servidor.
Esse ponto também explica por que o WordPress mostrando conteúdo estranho via redirecionamento suspeito às vezes persiste só para alguns visitantes: a CDN ou o cache do navegador ainda guarda a resposta envenenada. Após limpar, sempre invalide o cache em todas as camadas , plugin, servidor e CDN. Se o conteúdo estranho some no seu navegador mas o Google ainda o reporta, o problema é quase sempre cache desatualizado ou cloaking, não uma reinfecção nova.
Passo a passo: Como remover o conteúdo estranho do WordPress
Remover WordPress mostrando conteúdo estranho leva de 30 minutos a algumas horas e segue 5 passos em ordem: isolar, fazer backup forense, diagnosticar, limpar e blindar. Pular o backup forense é o erro nº 1, porque você perde a evidência de como o site foi invadido. Siga a sequência abaixo sem inverter etapas.
Passo 1: Isole o site e preserve a evidencia
Coloque o site em modo de manutenção ou tire-o do ar antes de mexer em qualquer arquivo. Isso impede que o malware reinfecte enquanto você limpa e protege seus visitantes de baixar o código malicioso. Não delete nada ainda: faça um backup forense completo (arquivos + banco) para análise posterior.
Passo 2: Faca um backup forense completo
Gere uma cópia integral do estado atual, mesmo infectado, com UpdraftPlus ou o backup do seu painel. Esse backup é a prova de como a invasão entrou e permite comparar arquivos contra uma instalação limpa do WordPress 6.x. Guarde-o fora do servidor.
Passo 3: Diagnostique a origem da injecao
Compare os arquivos core com os oficiais do developer.wordpress.org, procure funções eval, base64_decode e gzinflate ofuscadas, e audite wp_options e wp_posts no banco. O guia de limpeza do wp-content mostra onde os shells costumam se esconder.
Passo 4: Limpe banco, arquivos e usuários
Remova os trechos injetados, substitua o core e os plugins por cópias limpas do repositório oficial, apague usuários administradores que você não criou e troque todas as senhas. Veja o procedimento detalhado em como recuperar um site WordPress hackeado.
Passo 5: Blinde e peca reanalise ao Google
Ative firewall, 2FA e atualizações automáticas, purgue todo o cache e use o guia de alertas do Google para remover o flag. Confirme a limpeza com o Sucuri SiteCheck e o Google Search Console antes de reativar o site.
Como a FULL elimina a porta de entrada
A maioria dos casos de WordPress mostrando conteúdo estranho começa em software pirata ou desatualizado, e é exatamente aí que o plano resolve a causa. O plano PRO da FULL, a R$849,90 por ano para até 10 sites, dá R$85 por site e inclui Elementor PRO, WP Rocket e o All in One Security licenciados e sempre atualizados. Em vez de buscar versão nulled, você ativa a oficial em um clique. A gente vê no suporte da FULL que sites com bundle licenciado e firewall ativo reinfectam muito menos. Conheça os planos em FULL.services/planos e, se já desconfia de invasão, rode agora o FULL Scan gratuito.
Perguntas frequentes sobre conteúdo estranho no WordPress
Por que meu WordPress mostra conteúdo estranho so para o Google e não para mim?
Porque o invasor usa cloaking: o código injetado detecta o robô do Google e entrega spam SEO só para ele, enquanto o seu navegador vê a página normal. É a forma de injeção mais comum em ataques de spam farmacêutico. Para confirmar, use a ferramenta de inspeção de URL do Google Search Console, que renderiza a página como o robô a vê. Se aparecer texto que você não escreveu, há injeção ativa no banco ou em arquivo PHP.
E possível remover o conteúdo estranho do WordPress sem reinstalar o site inteiro?
Sim, na maioria dos casos. Se você tem um backup limpo e identifica a origem da injeção, dá para limpar os trechos infectados em `wp_options`, `wp_posts` e nos arquivos PHP sem reinstalação total. A reinstalação do core só é necessária quando há shell espalhado e você não consegue isolar a porta de entrada. Em ambos os caminhos, troque todas as senhas e ative firewall depois, senão a reinfecção volta em dias.
Qual a diferenca entre defacement e injecao de spam SEO no WordPress?
Defacement é a alteração visível da página: o invasor troca a home por uma mensagem própria, e qualquer visitante percebe na hora. Injeção de spam SEO é oculta: insere links e texto farmacêutico ou de aposta voltados ao Google, geralmente invisíveis no navegador. O defacement ataca a reputação imediata; o spam SEO sequestra seu ranqueamento aos poucos. A limpeza muda: defacement quase sempre se resolve com restauração de backup, spam exige auditoria de banco.
Como saber se o conteúdo estranho veio de um plugin ou do tema?
Desative todos os plugins e troque para um tema padrão como o Twenty Twenty-Four. Se o conteúdo estranho some, o problema está em um plugin ou no tema anterior; reative um a um até identificar o culpado. Se o conteúdo persiste com plugins desativados e tema limpo, a injeção está no core, no banco de dados ou no `.htaccess`. Ferramentas como Wordfence apontam quais arquivos foram modificados recentemente, o que acelera o diagnóstico.
O que fazer primeiro quando o WordPress comeca a mostrar conteúdo estranho?
Isole o site antes de qualquer outra coisa: coloque em modo de manutenção para não infectar visitantes nem deixar o malware se espalhar. Em seguida, faça um backup forense completo, mesmo infectado, porque ele é a evidência de como a invasão entrou. Só depois parta para o diagnóstico e a limpeza. Pular o isolamento e sair apagando arquivos é o erro que mais faz a infecção voltar dias depois.
Próximos passos para blindar seu WordPress
Tratar WordPress mostrando conteúdo estranho não termina na limpeza: termina no hardening que impede a próxima invasão. O padrão dos sites que reinfectam é sempre o mesmo, software pirata e atualização desligada, então a blindagem real é usar plugins licenciados, firewall ativo e backup automático verificado. Comece auditando seus plugins, troque qualquer item nulled pela versão oficial e ative monitoramento contínuo para que o WordPress mostrando conteúdo estranho não volte. Para continuar aprendendo, o FULL Academy reúne os guias de segurança em um só lugar, e o repositório de vulnerabilidades da FULL lista os CVEs mais recentes do ecossistema WordPress com dados oficiais.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
