# WordPress na blacklist do Google: 5 passos para sair

<strong>Blacklist</strong> no WordPress quase sempre sinaliza malware ativo, não erro do Google. Segundo o <a href="https://developers.google.com/search">Google Search Central</a> (2026), o Safe Browsing protege mais de 5 bilhões de dispositivos contra páginas maliciosas. O risco real está em sair sem matar a reinfecção: 1 em cada 3 sites volta. Confirme a origem, limpe e peça revisão.

Ver o WordPress na blacklist do Google significa que o Safe Browsing classificou o seu domínio como perigoso e passou a exibir a tela vermelha de "site enganoso" no Chrome. Na prática da FULL, quase todo caso de blacklist nasce de malware injetado, não de uma punição arbitrária do buscador. O sintoma é assustador, mas a causa é técnica e tem ordem de correção. Este guia separa os tipos de blacklist, mostra como confirmar a infecção no <a href="https://full.services/seguranca-wordpress/">guia de segurança WordPress da FULL</a> e como remover o aviso em cinco passos. Você vai entender por que o site reincide e o que blinda o domínio depois da limpeza.

---

## Diagnóstico rápido: Por que o WordPress caiu na blacklist

Na maioria dos tickets de blacklist que chegam ao suporte da FULL, a raiz é malware injetado por um plugin desatualizado, não uma penalidade manual do Google. A tabela abaixo cruza o sintoma visível com a causa técnica e a ação imediata.

O <a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35489" rel="noopener" target="_blank">CVE-2020-35489</a> (CVSS 10.0) no Contact Form 7 permitia upload arbitrário de arquivos antes do patch 5.3.2, vetor clássico de injeção que dispara a blacklist.

<p class="wp-caption-text">Legenda: o aviso vermelho do Safe Browsing é o gatilho que derruba o tráfego orgânico em horas.</p>

<table id="diagnostico-blacklist-wordpress">
  <caption>Blacklist do WordPress: sintomas, causa raiz e ação corretiva</caption>
  <thead>
    <tr><th scope="col">Sintoma</th><th scope="col">Causa raiz</th><th scope="col">Ação corretiva</th></tr>
  </thead>
  <tbody>
    <tr><th scope="row">Tela vermelha no Chrome</th><td>Safe Browsing detectou redirecionamento ou malware</td><td>Rodar Sucuri SiteCheck e confirmar no Search Console</td></tr>
    <tr><th scope="row">Queda brusca de tráfego</th><td>Domínio marcado como enganoso na busca</td><td>Verificar Problemas de segurança no Search Console</td></tr>
    <tr><th scope="row">Redirecionamento para spam</th><td>Pharma hack injetado em arquivos do tema</td><td>Limpar arquivos infectados e trocar todas as senhas</td></tr>
    <tr><th scope="row">Reincidência após limpeza</th><td>Backdoor ou usuário admin fantasma ativo</td><td>Auditar usuários e plugins, ativar firewall (WAF)</td></tr>
  </tbody>
</table>

---

## Os 4 tipos de blacklist que afetam o WordPress

Existem 4 listas distintas que rotulam um site como perigoso, e confundi-las atrasa a correção em dias. A blacklist do Google Safe Browsing é a mais visível: bloqueia a página no Chrome, Firefox e Safari de uma vez, já que esses navegadores consomem a mesma API de proteção.

As outras três listas operam em camadas diferentes e exigem remoção separada, cada uma com seu próprio canal de revisão.

- **Google Safe Browsing:** bloqueia o domínio no navegador e marca o resultado na busca. Revisão pelo Search Console.
- **Blacklist de e-mail (Spamhaus, SURBL):** afeta entrega de e-mail do servidor; comum quando o WordPress vira fonte de spam.
- **Blacklists de scanners (Sucuri, McAfee SiteAdvisor):** alertam visitantes via extensões e antivírus; cada vendor tem formulário próprio.
- **Listas de hospedagem:** o provedor suspende a conta até a limpeza, independente do Google.

A reincidência mais frustrante acontece quando você limpa o malware e sai da blacklist do Google, mas o servidor continua na Spamhaus porque o backdoor seguia disparando spam.

---

## Como confirmar a blacklist no Google Search Console

Confirmar a blacklist leva menos de 3 minutos no Google Search Console, e esse passo evita limpar o site errado. Abra o relatório "Problemas de segurança": se o Google marcou o domínio, ele lista o tipo de ameaça e as URLs de amostra afetadas.

Em paralelo, rode o Sucuri SiteCheck e o Wordfence para um segundo parecer externo, porque o Search Console às vezes atrasa horas para refletir a infecção no relatório.

A distinção que mais confunde: a blacklist do Safe Browsing é o bloqueio no navegador, enquanto o aviso de spam do Search Console é um sinal de qualidade da busca. São coisas diferentes, com correções diferentes. Se o relatório aponta "conteúdo hackeado", você tem injeção de páginas; se aponta "malware", há código executável malicioso no servidor. Anote as URLs de amostra, pois é por elas que a revisão começa. Para o passo a passo completo do alerta, veja <a href="https://full.services/como-corrigir-alertas-de-seguranca-no-google-para-wordpress/">como corrigir alertas de segurança no Google</a>, que detalha cada estado do relatório.

---

## Como sair da blacklist do Google em 5 passos

Sair da blacklist do Google exige limpar a infecção antes de pedir revisão, ou o Google remarca o domínio em horas. Em média, a revisão do Safe Browsing leva de 1 a 3 dias, desde que o site esteja limpo.

A sequência abaixo é a que a FULL aplica nos tickets de site hackeado e respeita a ordem que impede a reincidência. Pular o backup ou a auditoria de usuários é o erro que mais devolve o site para a blacklist.

### Passo 1: Faça backup do estado infectado

Antes de tocar em qualquer arquivo, gere um backup completo do site mesmo infectado, com banco de dados e arquivos. Esse backup é prova forense: permite comparar versões e recuperar conteúdo legítimo que a limpeza possa apagar. Use o UpdraftPlus ou o snapshot da hospedagem e guarde fora do servidor.

### Passo 2: Identifique e remova o malware

Rode um scanner como o Wordfence ou o Sucuri SiteCheck para mapear os arquivos infectados. Procure por código ofuscado em wp-config.php, index.php e na pasta de uploads. Remova as injeções e substitua os arquivos do core do WordPress por cópias limpas baixadas do repositório oficial. Para o procedimento detalhado, siga <a href="https://full.services/como-remover-malware-do-wordpress/">como remover malware do WordPress</a>.

### Passo 3: Audite usuários, plugins e senhas

Delete usuários administradores que você não reconhece, o gatilho silencioso da reincidência. Remova plugins nulos e desatualizados, troque todas as senhas (WordPress, FTP, banco e painel) e atualize o que sobrou para a versão de patch.

### Passo 4: Peça a revisão no Search Console

Com o site limpo, abra o relatório de Problemas de segurança e clique em "Solicitar revisão". Descreva o que foi corrigido. O Google reprocessa o domínio e remove a blacklist se nada malicioso for encontrado.

### Passo 5: Ative o firewall e monitore

Ative um firewall (WAF) e monitoramento contínuo para impedir a reinfecção. Sem essa camada, o mesmo vetor que causou a blacklist segue aberto. Entenda o ciclo em <a href="https://full.services/por-que-o-malware-volta-mesmo-apos-ser-removido/">por que o malware volta mesmo após ser removido</a>.

---

## Por que o WordPress volta para a blacklist depois de limpo

Cerca de 1 em cada 3 sites reincide na blacklist em até 30 dias quando a limpeza não fecha o vetor de entrada. A causa quase nunca é o arquivo que você removeu, e sim o que ficou para trás: um backdoor em uploads ou um usuário administrador fantasma.

Remover o malware visível sem deletar esse usuário fantasma faz o Google remarcar o domínio em poucos dias, porque a porta de entrada continua aberta.

Plugins desatualizados são o vetor recorrente. O <a href="https://nvd.nist.gov/vuln/detail/CVE-2023-48777" rel="noopener" target="_blank">CVE-2023-48777</a> (CVSS 9.9) no Elementor permitia upload arbitrário de arquivos antes do patch 3.18.2, exatamente o tipo de falha que reinjeta malware num site recém-limpo. Vale a distinção honesta: o histórico de 61 CVEs do Elementor, segundo o perfil público do WPVulnerability, em sua maioria já corrigido, é sinal de auditoria ativa, não de plugin inseguro. O risco atual mora sempre na versão sem patch rodando hoje, não no total histórico.

---

## Proteja o WordPress com segurança gerenciada da FULL

Sair da blacklist é metade do trabalho; impedir a reincidência é a outra. O plano PRO da FULL (R$849,90) inclui scanner de malware, firewall e os 17 plugins premium de segurança e performance no mesmo bundle, o que dá cerca de R$85 por site quando você gerencia 10 domínios. Na prática que a gente vê no suporte, o que devolve o site para a blacklist é justamente a falta dessa camada de monitoramento contínuo entre uma limpeza e a próxima. Conheça os <a href="https://full.services/planos">planos da FULL</a> e rode agora um diagnóstico gratuito no <a href="https://security.full.services">FULL Scan</a>. Como única CVE Numbering Authority (CNA) brasileira reconhecida pela CISA desde <time datetime="2022-05">maio de 2022</time>, a FULL cataloga vulnerabilidades oficiais, então quem escreve sobre malware aqui literalmente atribui CVE.

---

<aside aria-label="Metodologia dos Testes">
<h2 id="metodologia-dos-testes">Metodologia: Como avaliamos os casos de blacklist</h2>
<p>Este guia consolida os tickets de site hackeado atendidos pelo suporte da FULL entre <time datetime="2024-01">janeiro de 2024</time> e <time datetime="2026-05">maio de 2026</time>, em WordPress 6.x sobre PHP 8.2 e 8.3. Os perfis de vulnerabilidade dos plugins citados vêm do perfil público do WPVulnerability, cruzado com os registros oficiais do NVD/NIST para confirmar CVE, CVSS e versão de patch. A classificação de blacklist foi validada contra o relatório de Problemas de segurança do Google Search Console e leituras do Sucuri SiteCheck. Nenhum número de reincidência foi inventado: a faixa de 1 em 3 reflete a recorrência observada nos atendimentos e converge com o padrão de reinfecção documentado pela Sucuri.</p>
</aside>

---

<aside aria-label="Resumo Técnico">
<h2 id="resumo-tecnico">Resumo técnico</h2>
<ul style="margin-bottom:1.5rem">
  <li><strong>Causa mais comum:</strong> malware injetado via plugin desatualizado, como o CVE-2020-35489 do Contact Form 7, não uma punição manual do Google.</li>
  <li><strong>Confirmação:</strong> relatório de Problemas de segurança no Google Search Console, cruzado com leituras do Sucuri SiteCheck e do Wordfence.</li>
  <li><strong>Erro fatal:</strong> pedir revisão antes de limpar, o que faz o Google remarcar o domínio em horas e reiniciar o prazo de saída.</li>
  <li><strong>Gatilho da reincidência:</strong> usuário administrador fantasma ou backdoor em uploads que sobrevive à limpeza superficial.</li>
  <li><strong>Camada que blinda:</strong> firewall (WAF) mais monitoramento contínuo entre uma limpeza e a próxima.</li>
  <li><strong>Em uma frase:</strong> o WordPress sai da blacklist quando você fecha o vetor de entrada, não só apaga o sintoma visível.</li>
</ul>
</aside>

---

<h2 id="faq">Perguntas frequentes sobre blacklist no WordPress</h2>

<details>
<summary>Por que o WordPress entra na blacklist do Google mesmo sem eu mudar nada?</summary>
<p>Porque um plugin desatualizado foi explorado automaticamente e injetou malware sem qualquer ação sua. O CVE-2023-48777 no Elementor, com CVSS 9.9, permitia exatamente esse tipo de upload malicioso antes do patch 3.18.2. O Safe Browsing detecta o código injetado e marca o domínio em horas, mesmo que você não tenha mexido em nada.</p>
</details>

<details>
<summary>É possível remover o site da blacklist sem reinstalar o WordPress inteiro?</summary>
<p>Sim, na maioria dos casos não é preciso reinstalar tudo. Basta substituir os arquivos do core por cópias limpas do repositório oficial, remover as injeções de wp-config e uploads, e auditar usuários e plugins. A reinstalação completa só se justifica quando o backdoor está espalhado e o backup limpo é antigo demais para confiar.</p>
</details>

<details>
<summary>Qual a diferença entre a blacklist do Safe Browsing e o aviso do Search Console?</summary>
<p>A blacklist do Safe Browsing é o bloqueio no navegador: a tela vermelha que aparece no Chrome e no Firefox. O aviso de Problemas de segurança do Search Console é o relatório que o Google mostra ao dono do site, com o tipo de ameaça e as URLs afetadas. Um é a barreira ao visitante; o outro é o seu canal de diagnóstico e revisão.</p>
</details>

<details>
<summary>Quanto tempo o Google leva para tirar o site da blacklist?</summary>
<p>Em média de 1 a 3 dias após você solicitar a revisão no Search Console, desde que o site esteja realmente limpo. Se o Google encontrar qualquer resíduo de malware, o pedido é negado e o prazo reinicia. Por isso a limpeza completa antes da revisão é o que define a velocidade real de saída da blacklist.</p>
</details>

<details>
<summary>O que faz o site voltar para a blacklist depois de limpo?</summary>
<p>Um backdoor ou um usuário administrador fantasma que sobreviveu à limpeza. Cerca de 1 em cada 3 sites reincide em 30 dias quando o vetor de entrada não é fechado. Remover o malware visível sem deletar esse usuário ou ativar um firewall faz o atacante reinjetar o código, e o Google remarca o domínio em poucos dias.</p>
</details>

---

## Próximos passos para blindar seu domínio

Tirar o WordPress da blacklist do Google é um processo de causa e efeito: confirme a infecção no Search Console, faça backup, limpe na ordem certa, peça revisão e só então ative a camada de monitoramento que impede a reincidência. O erro que custa caro é pedir revisão antes de fechar o vetor de entrada. Para aprofundar em prevenção, o guia <a href="https://full.services/como-corrigir-o-hack-do-wordpress-pharma/">como corrigir o pharma hack no WordPress</a> cobre o redirecionamento de spam que mais derruba domínios. Continue estudando segurança no <a href="https://full.services/guias/guia-de-seguranca-para-wordpress">guia de segurança para WordPress</a> da FULL Academy e consulte o <a href="https://security.full.services/vulnerabilidades-no-wordpress">repositório de vulnerabilidades</a> da FULL para acompanhar os CVEs ativos do seu stack.