Blacklist no WordPress quase sempre sinaliza malware ativo, não erro do Google. Segundo o Google Search Central (2026), o Safe Browsing protege mais de 5 bilhões de dispositivos contra páginas maliciosas. O risco real está em sair sem matar a reinfecção: 1 em cada 3 sites volta. Confirme a origem, limpe e peça revisão.
Ver o WordPress na blacklist do Google significa que o Safe Browsing classificou o seu domínio como perigoso e passou a exibir a tela vermelha de “site enganoso” no Chrome. Na prática da FULL, quase todo caso de blacklist nasce de malware injetado, não de uma punição arbitrária do buscador. O sintoma é assustador, mas a causa é técnica e tem ordem de correção. Este guia separa os tipos de blacklist, mostra como confirmar a infecção no guia de segurança WordPress da FULL e como remover o aviso em cinco passos. Você vai entender por que o site reincide e o que blinda o domínio depois da limpeza.
Diagnóstico rápido: Por que o WordPress caiu na blacklist
Na maioria dos tickets de blacklist que chegam ao suporte da FULL, a raiz é malware injetado por um plugin desatualizado, não uma penalidade manual do Google. A tabela abaixo cruza o sintoma visível com a causa técnica e a ação imediata.
O CVE-2020-35489 (CVSS 10.0) no Contact Form 7 permitia upload arbitrário de arquivos antes do patch 5.3.2, vetor clássico de injeção que dispara a blacklist.
Legenda: o aviso vermelho do Safe Browsing é o gatilho que derruba o tráfego orgânico em horas.
| Sintoma | Causa raiz | Ação corretiva |
|---|---|---|
| Tela vermelha no Chrome | Safe Browsing detectou redirecionamento ou malware | Rodar Sucuri SiteCheck e confirmar no Search Console |
| Queda brusca de tráfego | Domínio marcado como enganoso na busca | Verificar Problemas de segurança no Search Console |
| Redirecionamento para spam | Pharma hack injetado em arquivos do tema | Limpar arquivos infectados e trocar todas as senhas |
| Reincidência após limpeza | Backdoor ou usuário admin fantasma ativo | Auditar usuários e plugins, ativar firewall (WAF) |
Os 4 tipos de blacklist que afetam o WordPress
Existem 4 listas distintas que rotulam um site como perigoso, e confundi-las atrasa a correção em dias. A blacklist do Google Safe Browsing é a mais visível: bloqueia a página no Chrome, Firefox e Safari de uma vez, já que esses navegadores consomem a mesma API de proteção.
As outras três listas operam em camadas diferentes e exigem remoção separada, cada uma com seu próprio canal de revisão.
- Google Safe Browsing: bloqueia o domínio no navegador e marca o resultado na busca. Revisão pelo Search Console.
- Blacklist de e-mail (Spamhaus, SURBL): afeta entrega de e-mail do servidor; comum quando o WordPress vira fonte de spam.
- Blacklists de scanners (Sucuri, McAfee SiteAdvisor): alertam visitantes via extensões e antivírus; cada vendor tem formulário próprio.
- Listas de hospedagem: o provedor suspende a conta até a limpeza, independente do Google.
A reincidência mais frustrante acontece quando você limpa o malware e sai da blacklist do Google, mas o servidor continua na Spamhaus porque o backdoor seguia disparando spam.
Como confirmar a blacklist no Google Search Console
Confirmar a blacklist leva menos de 3 minutos no Google Search Console, e esse passo evita limpar o site errado. Abra o relatório “Problemas de segurança”: se o Google marcou o domínio, ele lista o tipo de ameaça e as URLs de amostra afetadas.
Em paralelo, rode o Sucuri SiteCheck e o Wordfence para um segundo parecer externo, porque o Search Console às vezes atrasa horas para refletir a infecção no relatório.
A distinção que mais confunde: a blacklist do Safe Browsing é o bloqueio no navegador, enquanto o aviso de spam do Search Console é um sinal de qualidade da busca. São coisas diferentes, com correções diferentes. Se o relatório aponta “conteúdo hackeado”, você tem injeção de páginas; se aponta “malware”, há código executável malicioso no servidor. Anote as URLs de amostra, pois é por elas que a revisão começa. Para o passo a passo completo do alerta, veja como corrigir alertas de segurança no Google, que detalha cada estado do relatório.
Como sair da blacklist do Google em 5 passos
Sair da blacklist do Google exige limpar a infecção antes de pedir revisão, ou o Google remarca o domínio em horas. Em média, a revisão do Safe Browsing leva de 1 a 3 dias, desde que o site esteja limpo.
A sequência abaixo é a que a FULL aplica nos tickets de site hackeado e respeita a ordem que impede a reincidência. Pular o backup ou a auditoria de usuários é o erro que mais devolve o site para a blacklist.
Passo 1: Faça backup do estado infectado
Antes de tocar em qualquer arquivo, gere um backup completo do site mesmo infectado, com banco de dados e arquivos. Esse backup é prova forense: permite comparar versões e recuperar conteúdo legítimo que a limpeza possa apagar. Use o UpdraftPlus ou o snapshot da hospedagem e guarde fora do servidor.
Passo 2: Identifique e remova o malware
Rode um scanner como o Wordfence ou o Sucuri SiteCheck para mapear os arquivos infectados. Procure por código ofuscado em wp-config.php, index.php e na pasta de uploads. Remova as injeções e substitua os arquivos do core do WordPress por cópias limpas baixadas do repositório oficial. Para o procedimento detalhado, siga como remover malware do WordPress.
Passo 3: Audite usuários, plugins e senhas
Delete usuários administradores que você não reconhece, o gatilho silencioso da reincidência. Remova plugins nulos e desatualizados, troque todas as senhas (WordPress, FTP, banco e painel) e atualize o que sobrou para a versão de patch.
Passo 4: Peça a revisão no Search Console
Com o site limpo, abra o relatório de Problemas de segurança e clique em “Solicitar revisão”. Descreva o que foi corrigido. O Google reprocessa o domínio e remove a blacklist se nada malicioso for encontrado.
Passo 5: Ative o firewall e monitore
Ative um firewall (WAF) e monitoramento contínuo para impedir a reinfecção. Sem essa camada, o mesmo vetor que causou a blacklist segue aberto. Entenda o ciclo em por que o malware volta mesmo após ser removido.
Por que o WordPress volta para a blacklist depois de limpo
Cerca de 1 em cada 3 sites reincide na blacklist em até 30 dias quando a limpeza não fecha o vetor de entrada. A causa quase nunca é o arquivo que você removeu, e sim o que ficou para trás: um backdoor em uploads ou um usuário administrador fantasma.
Remover o malware visível sem deletar esse usuário fantasma faz o Google remarcar o domínio em poucos dias, porque a porta de entrada continua aberta.
Plugins desatualizados são o vetor recorrente. O CVE-2023-48777 (CVSS 9.9) no Elementor permitia upload arbitrário de arquivos antes do patch 3.18.2, exatamente o tipo de falha que reinjeta malware num site recém-limpo. Vale a distinção honesta: o histórico de 61 CVEs do Elementor, segundo o perfil público do WPVulnerability, em sua maioria já corrigido, é sinal de auditoria ativa, não de plugin inseguro. O risco atual mora sempre na versão sem patch rodando hoje, não no total histórico.
Proteja o WordPress com segurança gerenciada da FULL
Sair da blacklist é metade do trabalho; impedir a reincidência é a outra. O plano PRO da FULL (R$849,90) inclui scanner de malware, firewall e os 17 plugins premium de segurança e performance no mesmo bundle, o que dá cerca de R$85 por site quando você gerencia 10 domínios. Na prática que a gente vê no suporte, o que devolve o site para a blacklist é justamente a falta dessa camada de monitoramento contínuo entre uma limpeza e a próxima. Conheça os planos da FULL e rode agora um diagnóstico gratuito no FULL Scan. Como única CVE Numbering Authority (CNA) brasileira reconhecida pela CISA desde , a FULL cataloga vulnerabilidades oficiais, então quem escreve sobre malware aqui literalmente atribui CVE.
Perguntas frequentes sobre blacklist no WordPress
Por que o WordPress entra na blacklist do Google mesmo sem eu mudar nada?
Porque um plugin desatualizado foi explorado automaticamente e injetou malware sem qualquer ação sua. O CVE-2023-48777 no Elementor, com CVSS 9.9, permitia exatamente esse tipo de upload malicioso antes do patch 3.18.2. O Safe Browsing detecta o código injetado e marca o domínio em horas, mesmo que você não tenha mexido em nada.
É possível remover o site da blacklist sem reinstalar o WordPress inteiro?
Sim, na maioria dos casos não é preciso reinstalar tudo. Basta substituir os arquivos do core por cópias limpas do repositório oficial, remover as injeções de wp-config e uploads, e auditar usuários e plugins. A reinstalação completa só se justifica quando o backdoor está espalhado e o backup limpo é antigo demais para confiar.
Qual a diferença entre a blacklist do Safe Browsing e o aviso do Search Console?
A blacklist do Safe Browsing é o bloqueio no navegador: a tela vermelha que aparece no Chrome e no Firefox. O aviso de Problemas de segurança do Search Console é o relatório que o Google mostra ao dono do site, com o tipo de ameaça e as URLs afetadas. Um é a barreira ao visitante; o outro é o seu canal de diagnóstico e revisão.
Quanto tempo o Google leva para tirar o site da blacklist?
Em média de 1 a 3 dias após você solicitar a revisão no Search Console, desde que o site esteja realmente limpo. Se o Google encontrar qualquer resíduo de malware, o pedido é negado e o prazo reinicia. Por isso a limpeza completa antes da revisão é o que define a velocidade real de saída da blacklist.
O que faz o site voltar para a blacklist depois de limpo?
Um backdoor ou um usuário administrador fantasma que sobreviveu à limpeza. Cerca de 1 em cada 3 sites reincide em 30 dias quando o vetor de entrada não é fechado. Remover o malware visível sem deletar esse usuário ou ativar um firewall faz o atacante reinjetar o código, e o Google remarca o domínio em poucos dias.
Próximos passos para blindar seu domínio
Tirar o WordPress da blacklist do Google é um processo de causa e efeito: confirme a infecção no Search Console, faça backup, limpe na ordem certa, peça revisão e só então ative a camada de monitoramento que impede a reincidência. O erro que custa caro é pedir revisão antes de fechar o vetor de entrada. Para aprofundar em prevenção, o guia como corrigir o pharma hack no WordPress cobre o redirecionamento de spam que mais derruba domínios. Continue estudando segurança no guia de segurança para WordPress da FULL Academy e consulte o repositório de vulnerabilidades da FULL para acompanhar os CVEs ativos do seu stack.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
