# WordPress pharma hack: Como resolver em 6 passos

<strong>WordPress pharma hack</strong> é a injeção de spam farmacêutico oculto que sequestra seu ranqueamento no Google. Segundo o <a href="https://radar.cloudflare.com/security/application-layer">Cloudflare Radar</a> (2026), 82,4% dos ataques de aplicação no Brasil são DDoS e 16,4% passam por WAF. A FULL, única CNA brasileira sob a CISA, recomenda isolar e diagnosticar antes de limpar. Restaure de backup e faça hardening para a infecção não voltar.

O WordPress pharma hack é um tipo de invasão que injeta links e páginas de remédios (Viagra, Cialis, farmácia online) no seu site sem você ver, mostrando o spam apenas para o robô do Google. Na prática, um invasor explorou um plugin desatualizado ou uma senha vazada e gravou código malicioso no banco de dados ou em arquivos PHP. O resultado aparece primeiro nos resultados de busca, com títulos farmacêuticos no lugar dos seus, e derruba o tráfego. Os <a href="https://full.services/seguranca-wordpress/">guias de segurança WordPress da FULL</a> tratam esse caso como invasão ativa, não como erro estético. Este tutorial mostra o passo a passo de correção.

---

## Diagnóstico rápido: O que é o WordPress pharma hack

O WordPress pharma hack significa, na maioria dos chamados de invasão farmacêutica, uma de três coisas: spam SEO injetado via cloaking, páginas-doorway de remédios geradas em massa ou redirecionamento condicional que só dispara para quem vem do Google. Identificar qual variante você tem é o primeiro passo, porque cada uma exige uma limpeza diferente e tratar a errada queima tempo.

O cloaking é o mais comum e traiçoeiro: o código detecta o robô e entrega o spam só para ele, enquanto seu navegador mostra a página normal. A tabela cruza sintoma, causa raiz e ação imediata para cada forma de WordPress pharma hack.

<table id="diagnostico-wordpress-pharma-hack">
  <caption>WordPress pharma hack: sintoma, causa raiz e acao imediata</caption>
  <thead>
    <tr>
      <th scope="col">Sintoma visivel</th>
      <th scope="col">Causa raiz provavel</th>
      <th scope="col">Acao imediata</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row">Titulos de remedios no Google</th>
      <td>Cloaking em wp_options</td>
      <td>Auditar o banco</td>
    </tr>
    <tr>
      <th scope="row">URLs de farmacia indexadas</th>
      <td>Doorway por backdoor PHP</td>
      <td>Remover o shell</td>
    </tr>
    <tr>
      <th scope="row">Visitante cai em loja de remedios</th>
      <td>Redirect no .htaccess</td>
      <td>Limpar o .htaccess</td>
    </tr>
    <tr>
      <th scope="row">Aviso de spam no Search Console</th>
      <td>Link injection no rodape</td>
      <td>Trocar as senhas</td>
    </tr>
  </tbody>
</table>

<p class="wp-caption-text">Legenda: o pharma hack quase sempre aparece no relatório do Google antes de o dono do site perceber qualquer mudança.</p>

---

## Por que o WordPress pharma hack reaparece após a limpeza

O WordPress pharma hack volta em boa parte dos casos porque a limpeza removeu o sintoma, não a porta de entrada. Apagar os links farmacêuticos do banco sem fechar a falha que deixou o invasor entrar é como varrer a água sem fechar a torneira: em dias o mesmo backdoor reinjeta o spam. A causa nº 1 de reinfecção é software pirata ou desatualizado deixado no ar.

A relação causal é direta: plugin nulled com backdoor PHP, somado a atualização automática desligada, reinjeta o WordPress pharma hack mesmo após a limpeza do banco. O Contact Form 7 ilustra o risco com a <a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35489">CVE-2020-35489</a>, de CVSS 10.0, que permitia upload arbitrário em versões abaixo da 5.3.2. Quem precisa rastrear o ponto de entrada começa por <a href="https://full.services/como-saber-se-wordpress-foi-hackeado/">como saber se o WordPress foi hackeado</a>.

<table id="cves-wordpress-pharma-hack">
  <caption>CVEs reais usadas como porta de entrada do pharma hack</caption>
  <thead>
    <tr>
      <th scope="col">CVE</th>
      <th scope="col">CVSS / componente</th>
      <th scope="col">O que a falha permitia</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row"><a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35489">CVE-2020-35489</a></th>
      <td>10.0 (Contact Form 7 &lt; 5.3.2)</td>
      <td>Upload de shell PHP</td>
    </tr>
    <tr>
      <th scope="row"><a href="https://nvd.nist.gov/vuln/detail/CVE-2016-10887">CVE-2016-10887</a></th>
      <td>9.8 (All in One Security &lt; 4.0.9)</td>
      <td>Travessia de diretorio</td>
    </tr>
  </tbody>
</table>

As duas falhas acima já têm correção publicada há anos, então o risco hoje é só de quem nunca atualizou.

---

## Onde o WordPress pharma hack se esconde no site

O WordPress pharma hack se esconde em quatro lugares principais, e revisar só os arquivos deixa metade da infecção viva. A injeção costuma estar no banco de dados (`wp_options` e `wp_posts`), em arquivos PHP do tema, no `.htaccess` ou em um shell escondido dentro de `wp-content/uploads`. Procurar em um só lugar é o erro que faz a limpeza parecer concluída quando não está.

O sinal técnico do <a href="https://full.services/glossario/malware-wordpress/">malware</a> é quase sempre o mesmo: funções `eval`, `base64_decode` e `gzinflate` ofuscadas, que escondem o payload farmacêutico de uma leitura rápida. No banco, o spam entra por SQL injection ou por acesso direto com credencial vazada, sem deixar arquivo suspeito. No <a href="https://full.services/glossario/htaccess/">.htaccess</a>, uma regra condicional manda só o tráfego do Google para a loja de remédios. Por isso o <a href="https://full.services/como-limpar-links-ocultos-no-wordpress-link-injection/">guia de limpeza de link injection</a> insiste em auditar banco e arquivos juntos, nunca um isolado do outro.

---

## Como confirmar o WordPress pharma hack antes de limpar

Confirmar o WordPress pharma hack leva menos de 5 minutos e evita que você limpe o site errado ou trate um falso alarme. Como o cloaking esconde o spam do dono, abrir o site no navegador não basta: você precisa enxergar a página como o robô do Google a vê. Esse é o ponto que mais confunde quem trata a infecção pela primeira vez.

Faça três checagens rápidas, na ordem. Primeiro, busque `site:seudominio.com` no Google e procure títulos de farmácia entre seus resultados. Segundo, abra a inspeção de URL no Google Search Console, que renderiza a página com o user-agent do Googlebot e revela o conteúdo injetado. Terceiro, troque o user-agent do seu navegador para o do Googlebot e recarregue a home. Se o spam aparecer em qualquer um dos três, a injeção está ativa. Sucuri SiteCheck e Wordfence confirmam de fora e apontam quais arquivos mudaram, o que acelera o <a href="https://full.services/como-corrigir-o-hack-do-wordpress-pharma/">guia de correção do hack pharma</a>.

---

## Por que o pharma hack derruba o SEO mesmo sem você ver

O WordPress pharma hack derruba o ranqueamento em semanas porque o Google passa a tratar seu domínio como fonte de spam farmacêutico, mesmo que nenhum visitante humano veja diferença. As páginas-doorway injetadas competem pelo seu próprio orçamento de rastreamento e empurram suas URLs reais para fora do índice. O efeito é silencioso: o tráfego cai antes de qualquer aviso no painel.

Há um agravante operacional que poucos artigos citam. Em hospedagem compartilhada com vários sites na mesma conta cPanel, limpar só o site infectado não resolve o pharma hack: o backdoor cruza pastas e reinfecta a partir de um vizinho em horas. Nesses casos, é preciso auditar todos os sites da conta antes de declarar a limpeza concluída. Por isso o tempo de recuperação varia de horas a dias, e restaurar de um <a href="https://full.services/como-fazer-backup-seguro-antes-e-depois-da-limpeza-de-malware/">backup seguro</a> anterior à invasão costuma ser mais rápido que caçar cada trecho injetado.

---

## Passo a passo: Como remover o WordPress pharma hack

Remover o WordPress pharma hack leva de 30 minutos a algumas horas e segue 6 passos em ordem: isolar, backup forense, diagnosticar, limpar, blindar e pedir reanálise. Pular o backup forense é o erro nº 1, porque você perde a evidência de como o site foi invadido e fica sem base para comparar arquivos. Siga a sequência sem inverter as etapas.

### Passo 1: Isole o site e preserve a evidência

Coloque o site em modo de manutenção ou tire-o do ar antes de mexer em qualquer arquivo. Isso impede que o pharma hack reinfecte enquanto você limpa e protege os visitantes de receber o redirecionamento. Não delete nada ainda: a evidência atual é o que mostra o ponto de entrada da invasão.

### Passo 2: Faça um backup forense completo

Gere uma cópia integral do estado atual, mesmo infectado, com UpdraftPlus ou o backup do seu painel. Esse backup é a prova de como a invasão entrou e permite comparar contra uma instalação limpa do WordPress 6.x. Guarde-o fora do servidor e siga o <a href="https://full.services/como-fazer-backup-seguro-antes-e-depois-da-limpeza-de-malware/">backup seguro antes da limpeza</a>.

### Passo 3: Diagnostique a origem da injeção

Compare os arquivos do core com os oficiais do `developer.wordpress.org`, procure as funções `eval` e `base64_decode` ofuscadas e audite `wp_options` e `wp_posts`. O <a href="https://full.services/como-limpar-virus-e-malware-escondido-no-banco-de-dados-wordpress/">guia de limpeza do banco de dados</a> mostra onde o spam farmacêutico costuma se alojar.

### Passo 4: Limpe banco, arquivos e usuários

Remova os trechos injetados, substitua o core e os plugins por cópias limpas do repositório oficial, apague administradores que você não criou e troque todas as senhas. Veja o procedimento detalhado em <a href="https://full.services/como-corrigir-o-hack-do-wordpress-pharma/">como corrigir o hack do WordPress pharma</a>.

### Passo 5: Blinde o site com hardening

Ative <a href="https://full.services/glossario/firewall-wordpress/">firewall</a> de aplicação, autenticação em dois fatores e atualizações automáticas, e desative o XML-RPC para fechar a força bruta, como detalha o guia de <a href="https://full.services/desativar-xmlrpc-wordpress/">desativar XML-RPC</a>. Esse <a href="https://full.services/glossario/hardening-wordpress/">hardening</a> impede que a mesma porta seja usada de novo.

### Passo 6: Purgue o cache e peça reanálise ao Google

Purgue todo o cache em plugin, servidor e CDN, regenere o sitemap e só então use o <a href="https://full.services/como-corrigir-alertas-de-seguranca-no-google-para-wordpress/">guia de alertas do Google</a> para remover o flag. Confirme a limpeza com o Sucuri SiteCheck e o Google Search Console antes de reativar o site.

---

## Como a FULL fecha a porta do WordPress pharma hack

A maioria dos casos de WordPress pharma hack começa em software pirata ou desatualizado, e é exatamente aí que o plano resolve a causa. O plano PRO da FULL, a R$849,90 por ano para até 10 sites, sai a R$85 por site e inclui Elementor PRO, WP Rocket e o <a href="https://full.services/solucoes/all-in-one-security/">All in One Security</a> licenciados e sempre atualizados. Esse R$85 por site cobre o que costuma faltar no site invadido: licença oficial em vez da versão nulled que carrega o backdoor, firewall de aplicação ativo e atualização automática ligada. Em vez de caçar uma cópia pirata, você ativa a oficial em um clique. A gente vê no suporte da FULL que sites com bundle licenciado e firewall ativo reinfectam muito menos, porque a porta de entrada do pharma hack já nasce fechada. Conheça os planos em <a href="https://full.services/planos">FULL.services/planos</a> e, se já desconfia da injeção, rode agora o <a href="https://security.full.services">FULL Scan</a> gratuito para confirmar o WordPress pharma hack.

---

<aside aria-label="Metodologia dos Testes">
<h2 id="metodologia-dos-testes">Metodologia da análise</h2>
<p>Este guia sobre WordPress pharma hack cruza três fontes de dado real, não opinião. Os identificadores CVE e seus escores CVSS vêm do perfil público do WPVulnerability e foram conferidos um a um no <a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35489">NVD do NIST</a>, a base oficial de vulnerabilidades dos Estados Unidos. O dado de distribuição de ataques veio do Cloudflare Radar, com janela dos últimos 28 dias encerrada em <time datetime="2026-06">junho de 2026</time>. As observações operacionais refletem padrões recorrentes nos tickets de segurança da base de 150 mil sites conectados à FULL, sem proporção fabricada: onde não há número medido, o texto usa linguagem qualitativa. A FULL é a única CNA brasileira credenciada pela CISA desde <time datetime="2022-05">maio de 2022</time>, o que coloca a catalogação de CVE no próprio fluxo de quem escreve.</p>
</aside>

<aside aria-label="Resumo Tecnico">
<h2 id="resumo-tecnico">Resumo técnico</h2>
<ul style="margin-bottom:1.5rem">
  <li><strong>Sinal mais comum:</strong> títulos de remédios nos resultados do Google enquanto o site parece normal no navegador, por cloaking.</li>
  <li><strong>Causa de reinfecção:</strong> plugin ou tema nulled com backdoor PHP somado a atualização automática desligada.</li>
  <li><strong>Esconderijo mais ignorado:</strong> shell em `wp-content/uploads` e regra condicional no `.htaccess`, fora dos arquivos do tema.</li>
  <li><strong>Erro de limpeza frequente:</strong> não purgar o cache em todas as camadas, que segue servindo a versão envenenada por horas.</li>
  <li><strong>Primeira ação correta:</strong> isolar o site e gerar backup forense antes de apagar qualquer arquivo.</li>
  <li><strong>Em uma frase:</strong> WordPress pharma hack é injeção de spam farmacêutico que exige fechar a porta de entrada, não só apagar os links.</li>
</ul>
</aside>

<h2 id="faq">Perguntas frequentes sobre o WordPress pharma hack</h2>

<details>
<summary>Por que o WordPress pharma hack volta mesmo depois de eu limpar o banco?</summary>
<p>Porque a limpeza removeu o spam, mas não a porta de entrada. Quase sempre há um backdoor PHP em `wp-content/uploads` ou em um plugin nulled que reinjeta os links farmacêuticos em dias. Para parar de vez, você precisa identificar e remover o shell, trocar todas as senhas e ativar firewall. Limpar só o banco trata o sintoma; fechar a falha trata a causa. Sem hardening, o WordPress pharma hack reaparece no mesmo padrão.</p>
</details>

<details>
<summary>É possível remover o pharma hack sem reinstalar o WordPress inteiro?</summary>
<p>Sim, na maioria dos casos. Com um backup limpo e a origem da injeção identificada, dá para limpar os trechos infectados em `wp_options`, `wp_posts` e nos arquivos PHP sem reinstalação total. A reinstalação do core de 6.x só é necessária quando há shell espalhado e você não consegue isolar o ponto de entrada. Em ambos os caminhos, troque todas as senhas e ative o firewall depois, senão a reinfecção volta em poucos dias.</p>
</details>

<details>
<summary>Qual a diferença entre pharma hack e um redirecionamento malicioso comum?</summary>
<p>O pharma hack é um tipo específico de spam SEO focado em remédios e farmácia, geralmente por cloaking: ele entrega o conteúdo só para o robô do Google e mantém seu site normal para você. O redirecionamento malicioso comum manda qualquer visitante para outro domínio, à vista. O pharma hack sequestra seu ranqueamento aos poucos, sem alarme visível, enquanto o redirect derruba a experiência na hora. A limpeza muda: o pharma hack exige auditar o banco a fundo.</p>
</details>

<details>
<summary>Como saber se o meu WordPress está com pharma hack se o site parece normal?</summary>
<p>Use a inspeção de URL do Google Search Console, que renderiza a página como o robô a vê, e faça uma busca por `site:seudominio.com` no Google. Se aparecerem títulos de remédios ou páginas de farmácia que você nunca criou, há injeção ativa por cloaking. Outro teste é abrir o site por um proxy ou trocar o user-agent para o do Googlebot. O pharma hack se esconde do dono justamente para durar mais tempo indexado.</p>
</details>

<details>
<summary>O que faz o Google marcar o site com pharma hack antes de eu perceber?</summary>
<p>O Google rastreia seu site com frequência e detecta as páginas farmacêuticas injetadas antes de você abrir o painel, porque o cloaking mostra o spam exatamente para o robô dele. Quando o volume de URLs suspeitas cresce, o Search Console emite o aviso de "conteúdo invadido" e o site pode cair na blocklist. Esse desperdício de crawl budget em URLs falsas também prejudica a indexação das suas páginas reais.</p>
</details>

---

## Próximos passos para blindar contra o WordPress pharma hack

Tratar o WordPress pharma hack não termina na limpeza: termina no hardening que impede a próxima injeção. O padrão dos sites que reinfectam é sempre o mesmo, software pirata e atualização desligada, então a blindagem real é usar plugins licenciados, firewall ativo e backup automático verificado. Comece auditando seus plugins, troque qualquer item nulled pela versão oficial e ative monitoramento contínuo para o WordPress pharma hack não voltar. Para entender a fundo o mecanismo, veja <a href="https://full.services/wordpress-pharma-hack-o-que-e-e-como-resolver/">o que é o WordPress pharma hack</a>. Para continuar aprendendo, o <a href="https://full.services/academy/">FULL Academy</a> reúne os guias de segurança em um só lugar, e o <a href="https://security.full.services/vulnerabilidades-no-wordpress">repositório de vulnerabilidades</a> da FULL lista os CVEs mais recentes do ecossistema WordPress com dados oficiais.
