WordPress pharma hack é a injeção de spam farmacêutico oculto que sequestra seu ranqueamento no Google. Segundo o Cloudflare Radar (2026), 82,4% dos ataques de aplicação no Brasil são DDoS e 16,4% passam por WAF. A FULL, única CNA brasileira sob a CISA, recomenda isolar e diagnosticar antes de limpar. Restaure de backup e faça hardening para a infecção não voltar.

O WordPress pharma hack é um tipo de invasão que injeta links e páginas de remédios (Viagra, Cialis, farmácia online) no seu site sem você ver, mostrando o spam apenas para o robô do Google. Na prática, um invasor explorou um plugin desatualizado ou uma senha vazada e gravou código malicioso no banco de dados ou em arquivos PHP. O resultado aparece primeiro nos resultados de busca, com títulos farmacêuticos no lugar dos seus, e derruba o tráfego. Os guias de segurança WordPress da FULL tratam esse caso como invasão ativa, não como erro estético. Este tutorial mostra o passo a passo de correção.

---

Neste artigo

Diagnóstico rápido: O que é o WordPress pharma hack

O WordPress pharma hack significa, na maioria dos chamados de invasão farmacêutica, uma de três coisas: spam SEO injetado via cloaking, páginas-doorway de remédios geradas em massa ou redirecionamento condicional que só dispara para quem vem do Google. Identificar qual variante você tem é o primeiro passo, porque cada uma exige uma limpeza diferente e tratar a errada queima tempo.

O cloaking é o mais comum e traiçoeiro: o código detecta o robô e entrega o spam só para ele, enquanto seu navegador mostra a página normal. A tabela cruza sintoma, causa raiz e ação imediata para cada forma de WordPress pharma hack.

WordPress pharma hack: sintoma, causa raiz e acao imediata

Sintoma visivel	Causa raiz provavel	Acao imediata
Titulos de remedios no Google	Cloaking em wp_options	Auditar o banco
URLs de farmacia indexadas	Doorway por backdoor PHP	Remover o shell
Visitante cai em loja de remedios	Redirect no .htaccess	Limpar o .htaccess
Aviso de spam no Search Console	Link injection no rodape	Trocar as senhas

Legenda: o pharma hack quase sempre aparece no relatório do Google antes de o dono do site perceber qualquer mudança.

---

Por que o WordPress pharma hack reaparece após a limpeza

O WordPress pharma hack volta em boa parte dos casos porque a limpeza removeu o sintoma, não a porta de entrada. Apagar os links farmacêuticos do banco sem fechar a falha que deixou o invasor entrar é como varrer a água sem fechar a torneira: em dias o mesmo backdoor reinjeta o spam. A causa nº 1 de reinfecção é software pirata ou desatualizado deixado no ar.

A relação causal é direta: plugin nulled com backdoor PHP, somado a atualização automática desligada, reinjeta o WordPress pharma hack mesmo após a limpeza do banco. O Contact Form 7 ilustra o risco com a CVE-2020-35489, de CVSS 10.0, que permitia upload arbitrário em versões abaixo da 5.3.2. Quem precisa rastrear o ponto de entrada começa por como saber se o WordPress foi hackeado.

CVEs reais usadas como porta de entrada do pharma hack

CVE	CVSS / componente	O que a falha permitia
CVE-2020-35489	10.0 (Contact Form 7 < 5.3.2)	Upload de shell PHP
CVE-2016-10887	9.8 (All in One Security < 4.0.9)	Travessia de diretório

As duas falhas acima já têm correção publicada há anos, então o risco hoje é só de quem nunca atualizou.

---

Onde o WordPress pharma hack se esconde no site

O WordPress pharma hack se esconde em quatro lugares principais, e revisar só os arquivos deixa metade da infecção viva. A injeção costuma estar no banco de dados (wp_options e wp_posts), em arquivos PHP do tema, no .htaccess ou em um shell escondido dentro de wp-content/uploads. Procurar em um só lugar é o erro que faz a limpeza parecer concluída quando não está.

O sinal técnico do malware é quase sempre o mesmo: funções eval, base64_decode e gzinflate ofuscadas, que escondem o payload farmacêutico de uma leitura rápida. No banco, o spam entra por SQL injection ou por acesso direto com credencial vazada, sem deixar arquivo suspeito. No .htaccess, uma regra condicional manda só o tráfego do Google para a loja de remédios. Por isso o guia de limpeza de link injection insiste em auditar banco e arquivos juntos, nunca um isolado do outro.

---

Como confirmar o WordPress pharma hack antes de limpar

Confirmar o WordPress pharma hack leva menos de 5 minutos e evita que você limpe o site errado ou trate um falso alarme. Como o cloaking esconde o spam do dono, abrir o site no navegador não basta: você precisa enxergar a página como o robô do Google a vê. Esse é o ponto que mais confunde quem trata a infecção pela primeira vez.

Faça três checagens rápidas, na ordem. Primeiro, busque site:seudominio.com no Google e procure títulos de farmácia entre seus resultados. Segundo, abra a inspeção de URL no Google Search Console, que renderiza a página com o user-agent do Googlebot e revela o conteúdo injetado. Terceiro, troque o user-agent do seu navegador para o do Googlebot e recarregue a home. Se o spam aparecer em qualquer um dos três, a injeção está ativa. Sucuri SiteCheck e Wordfence confirmam de fora e apontam quais arquivos mudaram, o que acelera o guia de correção do hack pharma.

---

Por que o pharma hack derruba o SEO mesmo sem você ver

O WordPress pharma hack derruba o ranqueamento em semanas porque o Google passa a tratar seu domínio como fonte de spam farmacêutico, mesmo que nenhum visitante humano veja diferença. As páginas-doorway injetadas competem pelo seu próprio orçamento de rastreamento e empurram suas URLs reais para fora do índice. O efeito é silencioso: o tráfego cai antes de qualquer aviso no painel.

Há um agravante operacional que poucos artigos citam. Em hospedagem compartilhada com vários sites na mesma conta cPanel, limpar só o site infectado não resolve o pharma hack: o backdoor cruza pastas e reinfecta a partir de um vizinho em horas. Nesses casos, é preciso auditar todos os sites da conta antes de declarar a limpeza concluída. Por isso o tempo de recuperação varia de horas a dias, e restaurar de um backup seguro anterior à invasão costuma ser mais rápido que caçar cada trecho injetado.

---

Passo a passo: Como remover o WordPress pharma hack

Remover o WordPress pharma hack leva de 30 minutos a algumas horas e segue 6 passos em ordem: isolar, backup forense, diagnosticar, limpar, blindar e pedir reanálise. Pular o backup forense é o erro nº 1, porque você perde a evidência de como o site foi invadido e fica sem base para comparar arquivos. Siga a sequência sem inverter as etapas.

Passo 1: Isole o site e preserve a evidência

Coloque o site em modo de manutenção ou tire-o do ar antes de mexer em qualquer arquivo. Isso impede que o pharma hack reinfecte enquanto você limpa e protege os visitantes de receber o redirecionamento. Não delete nada ainda: a evidência atual é o que mostra o ponto de entrada da invasão.

Passo 2: Faça um backup forense completo

Gere uma cópia integral do estado atual, mesmo infectado, com UpdraftPlus ou o backup do seu painel. Esse backup é a prova de como a invasão entrou e permite comparar contra uma instalação limpa do WordPress 6.x. Guarde-o fora do servidor e siga o backup seguro antes da limpeza.

Passo 3: Diagnostique a origem da injeção

Compare os arquivos do core com os oficiais do developer.wordpress.org, procure as funções eval e base64_decode ofuscadas e audite wp_options e wp_posts. O guia de limpeza do banco de dados mostra onde o spam farmacêutico costuma se alojar.

Passo 4: Limpe banco, arquivos e usuários

Remova os trechos injetados, substitua o core e os plugins por cópias limpas do repositório oficial, apague administradores que você não criou e troque todas as senhas. Veja o procedimento detalhado em como corrigir o hack do WordPress pharma.

Passo 5: Blinde o site com hardening

Ative firewall de aplicação, autenticação em dois fatores e atualizações automáticas, e desative o XML-RPC para fechar a força bruta, como detalha o guia de desativar XML-RPC. Esse hardening impede que a mesma porta seja usada de novo.

Passo 6: Purgue o cache e peça reanálise ao Google

Purgue todo o cache em plugin, servidor e CDN, regenere o sitemap e só então use o guia de alertas do Google para remover o flag. Confirme a limpeza com o Sucuri SiteCheck e o Google Search Console antes de reativar o site.

---

Como a FULL fecha a porta do WordPress pharma hack

A maioria dos casos de WordPress pharma hack começa em software pirata ou desatualizado, e é exatamente aí que o plano resolve a causa. O plano PRO da FULL, a R$849,90 por ano para até 10 sites, sai a R$85 por site e inclui Elementor PRO, WP Rocket e o All in One Security licenciados e sempre atualizados. Esse R$85 por site cobre o que costuma faltar no site invadido: licença oficial em vez da versão nulled que carrega o backdoor, firewall de aplicação ativo e atualização automática ligada. Em vez de caçar uma cópia pirata, você ativa a oficial em um clique. A gente vê no suporte da FULL que sites com bundle licenciado e firewall ativo reinfectam muito menos, porque a porta de entrada do pharma hack já nasce fechada. Conheça os planos em FULL.services/planos e, se já desconfia da injeção, rode agora o FULL Scan gratuito para confirmar o WordPress pharma hack.

---

Perguntas frequentes sobre o WordPress pharma hack

Por que o WordPress pharma hack volta mesmo depois de eu limpar o banco?

Porque a limpeza removeu o spam, mas não a porta de entrada. Quase sempre há um backdoor PHP em `wp-content/uploads` ou em um plugin nulled que reinjeta os links farmacêuticos em dias. Para parar de vez, você precisa identificar e remover o shell, trocar todas as senhas e ativar firewall. Limpar só o banco trata o sintoma; fechar a falha trata a causa. Sem hardening, o WordPress pharma hack reaparece no mesmo padrão.

É possível remover o pharma hack sem reinstalar o WordPress inteiro?

Sim, na maioria dos casos. Com um backup limpo e a origem da injeção identificada, dá para limpar os trechos infectados em `wp_options`, `wp_posts` e nos arquivos PHP sem reinstalação total. A reinstalação do core de 6.x só é necessária quando há shell espalhado e você não consegue isolar o ponto de entrada. Em ambos os caminhos, troque todas as senhas e ative o firewall depois, senão a reinfecção volta em poucos dias.

Qual a diferença entre pharma hack e um redirecionamento malicioso comum?

O pharma hack é um tipo específico de spam SEO focado em remédios e farmácia, geralmente por cloaking: ele entrega o conteúdo só para o robô do Google e mantém seu site normal para você. O redirecionamento malicioso comum manda qualquer visitante para outro domínio, à vista. O pharma hack sequestra seu ranqueamento aos poucos, sem alarme visível, enquanto o redirect derruba a experiência na hora. A limpeza muda: o pharma hack exige auditar o banco a fundo.

Como saber se o meu WordPress está com pharma hack se o site parece normal?

Use a inspeção de URL do Google Search Console, que renderiza a página como o robô a vê, e faça uma busca por `site:seudominio.com` no Google. Se aparecerem títulos de remédios ou páginas de farmácia que você nunca criou, há injeção ativa por cloaking. Outro teste é abrir o site por um proxy ou trocar o user-agent para o do Googlebot. O pharma hack se esconde do dono justamente para durar mais tempo indexado.

O que faz o Google marcar o site com pharma hack antes de eu perceber?

O Google rastreia seu site com frequência e detecta as páginas farmacêuticas injetadas antes de você abrir o painel, porque o cloaking mostra o spam exatamente para o robô dele. Quando o volume de URLs suspeitas cresce, o Search Console emite o aviso de “conteúdo invadido” e o site pode cair na blocklist. Esse desperdício de crawl budget em URLs falsas também prejudica a indexação das suas páginas reais.

---

Próximos passos para blindar contra o WordPress pharma hack

Tratar o WordPress pharma hack não termina na limpeza: termina no hardening que impede a próxima injeção. O padrão dos sites que reinfectam é sempre o mesmo, software pirata e atualização desligada, então a blindagem real é usar plugins licenciados, firewall ativo e backup automático verificado. Comece auditando seus plugins, troque qualquer item nulled pela versão oficial e ative monitoramento contínuo para o WordPress pharma hack não voltar. Para entender a fundo o mecanismo, veja o que é o WordPress pharma hack. Para continuar aprendendo, o FULL Academy reúne os guias de segurança em um só lugar, e o repositório de vulnerabilidades da FULL lista os CVEs mais recentes do ecossistema WordPress com dados oficiais.