Como saber se seu WordPress foi hackeado

Um site WordPress hackeado nem sempre mostra sinais óbvios. Às vezes o único indício é que o Google marca seu site como “não seguro” ou que seus visitantes são redirecionados para páginas suspeitas — enquanto tudo parece normal para você como administrador. Isso é deliberado: muitos ataques são projetados para permanecer ocultos do dono do site pelo maior tempo possível.

Estes são os sinais de alerta mais comuns:

  • Redirecionamentos para outros sites: ao entrar na sua página, o navegador leva para outro lugar — sites de cassino, farmácias falsas ou outros conteúdos maliciosos
  • Páginas em japonês ou chinês: aparecem páginas indexadas no Google com caracteres asiáticos que você não criou — é o clássico “Japanese keyword hack”, usado para posicionar conteúdo spam sob o seu domínio
  • Google mostra “Este site pode ser perigoso”: um aviso vermelho no Chrome ou alerta do Safe Browsing antes que os usuários cheguem ao seu site — um dos impactos mais severos para o tráfego e a reputação
  • Lentidão extrema: o site carrega muito mais devagar do que o normal sem razão aparente — frequentemente causado por malware rodando processos no servidor em segundo plano
  • Usuários administradores desconhecidos: você encontra contas de admin na lista de usuários do WordPress que não criou — sinal de que um atacante já estabeleceu acesso persistente
  • Arquivos modificados: arquivos do core do WordPress, do seu tema ou de plugins foram alterados — detectável comparando checksums com a distribuição oficial
  • Reclamações de spam por e-mail: seu provedor de hospedagem ou monitores de reputação de e-mail sinalizam seu domínio por envio de spam — o malware já está usando seu servidor como relay

Se você reconhecer qualquer um desses sinais, não espere. O tempo entre a descoberta e a ação determina diretamente quanto dano o ataque causa.

O que fazer imediatamente

1. Não entre em pânico, mas aja rápido

Cada minuto que passa, o malware pode estar enviando spam do seu servidor, infectando dispositivos de visitantes, criando backdoors adicionais ou acumulando danos de SEO sob o seu domínio. Aja com calma, mas sem demora. Uma resposta estruturada é sempre mais eficaz do que uma apressada.

2. Mude todas as senhas

Antes de limpar qualquer coisa, mude todas as credenciais associadas ao site. Se um atacante tem suas senhas, qualquer limpeza que você fizer será desfeita no momento em que ele fizer login novamente.

Mude:

  • Senha do WordPress (todos os usuários administradores — não só a sua conta)
  • Senha da hospedagem (cPanel, Plesk ou o painel que você usa)
  • Senha do banco de dados
  • Credenciais de FTP/SFTP
  • Chaves de segurança no wp-config.php (SALT keys) — o WordPress oferece um gerador oficial para regenerá-las instantaneamente

Faça isso antes de qualquer outra coisa. É o passo que a maioria das pessoas pula porque quer começar a limpar logo — e é o motivo pelo qual muitas limpezas falham quando o atacante simplesmente faz login de volta.

3. Faça um backup do estado atual

Sim, mesmo do site infectado. Esse backup permite analisar o que aconteceu: quais arquivos foram modificados, qual código foi injetado e como o atacante provavelmente entrou. Essa informação é essencial para evitar que o mesmo aconteça de novo. Não use esse backup para restaurar o site — guarde-o apenas para investigação.

4. Identifique o tipo de hack

Entender com qual tipo de ataque você está lidando determina a abordagem de limpeza. Os tipos de hack mais comuns no WordPress são:

  • Injeção de malware em arquivos PHP: código malicioso inserido diretamente em arquivos do tema, de plugins ou do core do WordPress — frequentemente ofuscado com codificação base64 para não ser lido facilmente
  • Backdoors: arquivos ocultos ou trechos de código que dão ao atacante acesso persistente mesmo depois que você muda as senhas — estes são os mais perigosos de deixar passar, pois permitem que o atacante reinfecte o site dias depois de você achar que estava limpo
  • SEO spam (Japanese keyword hack): páginas fantasma criadas para posicionar conteúdo spam no Google sob o seu domínio, prejudicando a autoridade do seu site e expondo seus visitantes a destinos maliciosos
  • Pharma hack: seu site exibe conteúdo farmacêutico ou adulto para mecanismos de busca e visitantes externos, mas parece normal para usuários logados — tornando-o particularmente difícil de detectar sem ferramentas externas
  • Redirecionamento malicioso via .htaccess ou banco de dados: código injetado no arquivo de configuração do servidor ou diretamente no banco de dados do WordPress que redireciona usuários móveis, usuários vindos de mecanismos de busca, ou todos os visitantes para sites externos

Saber o tipo de ataque ajuda a priorizar onde procurar durante a limpeza e indica se a infecção está no nível de arquivos, no banco de dados, ou em ambos.

5. Limpe os arquivos infectados

Este é o passo mais técnico. Você tem duas opções:

Opção A: limpeza manual (se você tem experiência técnica)

  1. Baixe uma cópia limpa do WordPress em wordpress.org
  2. Substitua completamente as pastas wp-admin e wp-includes pelas versões limpas — elas não devem conter arquivos customizados, então uma substituição total é segura
  3. Verifique o wp-config.php linha por linha em busca de código suspeito que não deveria estar ali
  4. Revise cada arquivo em wp-content/themes/ e wp-content/plugins/ — compare as datas de modificação dos arquivos para identificar os alterados recentemente
  5. Procure arquivos PHP que não deveriam existir — nomes aleatórios como wp-tmp.php, class.api.php, config.bak.php, ou arquivos em diretórios onde PHP não deveria estar (como a pasta de uploads)
  6. Verifique o arquivo .htaccess no diretório raiz e em subdiretórios em busca de regras de redirecionamento que você não adicionou
  7. Examine o banco de dados em busca de JavaScript malicioso, links de spam ou strings codificadas em base64 injetadas no conteúdo de posts ou nas configurações de widgets

Opção B: contratar um profissional

Se você não tem experiência técnica com PHP, gerenciamento de arquivos no servidor e consultas de banco de dados — ou se simplesmente não tem tempo — a opção mais segura é contratar alguém especializado em segurança WordPress. Um profissional pode limpar o site em horas, fazer uma varredura completa de backdoors e garantir que nada seja deixado para trás. Para sites que geram receita, o custo de uma limpeza profissional é quase sempre menor do que o custo do tempo de inatividade e do dano à reputação de um comprometimento prolongado.

6. Atualize tudo

Após concluir a limpeza:

  • Atualize o WordPress para a versão mais recente
  • Atualize todos os plugins — especialmente os que têm vulnerabilidades conhecidas ou foram corrigidos recentemente
  • Atualize seu tema e qualquer tema filho
  • Delete plugins e temas que você não usa ativamente — código inativo ainda é uma superfície de ataque em potencial

7. Fortaleça a segurança

Para evitar que o mesmo ataque tenha sucesso novamente:

  • Instale um plugin de segurança (Wordfence, Sucuri ou Solid Security) e configure-o corretamente — não apenas instale e esqueça
  • Ative autenticação de dois fatores em todas as contas de administrador
  • Limite as tentativas de login para bloquear ataques de força bruta
  • Mude o prefixo das tabelas do banco de dados se você usa o padrão (wp_) — isso reduz a eficácia de ataques automatizados de injeção de SQL
  • Desative o editor de arquivos no painel do WordPress (adicione define('DISALLOW_FILE_EDIT', true); ao wp-config.php) — isso impede que um atacante com acesso de admin modifique arquivos de tema e plugin pelo navegador
  • Configure backups automáticos em destino externo — no mínimo semanais, diários se você tem e-commerce ativo ou conteúdo frequente
  • Mantenha WordPress, plugins e temas sempre atualizados daqui em diante

Quanto tempo leva para recuperar um WordPress hackeado

O tempo de recuperação depende inteiramente da gravidade da infecção e se algum conteúdo do banco de dados foi afetado:

  • Hack simples (malware em um arquivo de plugin, sem backdoors): 2–4 horas
  • Hack moderado (backdoors em múltiplos arquivos, .htaccess modificado): 4–8 horas
  • Hack severo (banco de dados comprometido, páginas de SEO spam criadas, múltiplos backdoors, site sinalizado pelo Google): 1–3 dias

O prazo também depende de você poder restaurar a partir de um backup limpo anterior ao hack (muito mais rápido) ou ter que limpar arquivo por arquivo a partir de um estado comprometido. É por isso que backups atualizados em destino externo são inegociáveis.

Quanto custa limpar um WordPress hackeado

Os preços variam conforme o provedor e a gravidade da infecção. Como referência geral:

  • Limpeza básica (tipo único de malware, sem envolvimento do banco de dados): a partir de USD 100–200
  • Limpeza completa + hardening (múltiplos vetores, backdoors, banco de dados, configuração de segurança pós-limpeza): a partir de USD 200–500
  • Adicional por resposta emergencial: muitos provedores cobram 25–50% a mais por resposta no mesmo dia ou fora do horário comercial — ter um relacionamento de manutenção prévio geralmente elimina esse custo
  • Plano de manutenção mensal (previne incidentes em vez de reagir a eles): a partir de USD 40–80/mês

O cálculo é direto: um plano de manutenção de USD 80/mês previne o custo de limpeza de USD 200–500 mais os dias de indisponibilidade, mais as semanas de recuperação de SEO. O investimento preventivo é quase sempre menor do que o reativo.

Para entender o que um plano de manutenção profissional cobre e se faz sentido para o seu negócio, leia nosso guia completo de manutenção WordPress para empresas.