Segurança WordPress 9 min de leitura

WordPress Hackeado: O Que Fazer Agora (Guia de Emergência)

Seu WordPress foi hackeado? Siga este guia de emergência para identificar, limpar e proteger seu site contra futuras invasões.

Seu site WordPress foi hackeado. Pode ser que você tenha descoberto agora, com um redirecionamento estranho, um aviso do Google, spam aparecendo nas páginas. A situação é urgente, mas tem solução.

O mais importante neste momento: não entre em pânico e não apague nada antes de ler este guia . Ações precipitadas podem piorar a situação ou destruir evidências necessárias para a limpeza.

Vamos ao passo a passo.

Este artigo complementa nosso Guia Completo de Erros WordPress .

Como Saber Se Seu WordPress Foi Hackeado

Nem toda invasão é óbvia. Alguns sinais são sutis e podem passar despercebidos por semanas. Fique atento a estes indicadores:

Sinais evidentes

  • Redirecionamentos estranhos: visitantes são enviados para sites de spam, farmácia ou cassino
  • Aviso do Google: mensagem "Este site pode danificar seu computador" nos resultados de busca
  • Páginas de spam no seu site que você não criou
  • Pop-ups ou anúncios que você não inseriu
  • Painel bloqueado: você não consegue mais fazer login no wp-admin
  • Usuários desconhecidos com privilégio de administrador

Sinais menos óbvios

  • Queda súbita no tráfego. Google pode ter removido ou penalizado seu site
  • E-mails de spam sendo enviados pelo seu servidor
  • Arquivos PHP desconhecidos na raiz do site ou em /wp-content/uploads/
  • Código estranho no functions.php , .htaccess ou wp-config.php
  • Cron jobs suspeitos no servidor
  • Site extremamente lento sem motivo aparente (mineração de criptomoeda)
  • Hospedagem suspendeu sua conta por uso abusivo de recursos

Ações Imediatas (Primeiros 30 Minutos)

Tempo é crítico. Quanto mais rápido você agir, menor o dano.

1. Faça um backup do site hackeado

Parece contraditório, mas faça backup do site no estado atual antes de qualquer alteração. Esse backup serve como:

  • Evidência para análise forense
  • Ponto de restauração caso você quebre algo durante a limpeza
  • Material para identificar exatamente o que foi alterado

Faça backup completo: arquivos + banco de dados.

2. Coloque o site em modo de manutenção

Impeça que visitantes acessem o site comprometido. Crie um arquivo maintenance.html e configure o servidor para exibi-lo, ou use o .htaccess :

RewriteEngine On
RewriteCond %{REQUEST_URI} !maintenance.html
RewriteCond %{REMOTE_ADDR} !^SEU\.IP\.AQUI$
RewriteRule ^(.*)$ /maintenance.html [R=503,L]

Substitua SEU.IP.AQUI pelo seu IP (descubra em whatismyip.com) para que você ainda consiga acessar o site.

3. Troque TODAS as senhas imediatamente

  • WordPress: todos os usuários administradores
  • FTP/SFTP: todos os usuários
  • Banco de dados: usuário MySQL (atualize também no wp-config.php )
  • Painel da hospedagem: cPanel, Plesk, etc.
  • Chaves de segurança do WordPress: gere novas em api.wordpress.org/secret-key e substitua no wp-config.php

As chaves de segurança no wp-config.php são estas:

define('AUTH_KEY',         'coloque-valor-unico-aqui');
define('SECURE_AUTH_KEY',  'coloque-valor-unico-aqui');
define('LOGGED_IN_KEY',    'coloque-valor-unico-aqui');
define('NONCE_KEY',        'coloque-valor-unico-aqui');
define('AUTH_SALT',        'coloque-valor-unico-aqui');
define('SECURE_AUTH_SALT', 'coloque-valor-unico-aqui');
define('LOGGED_IN_SALT',   'coloque-valor-unico-aqui');
define('NONCE_SALT',       'coloque-valor-unico-aqui');

Trocar essas chaves invalida todas as sessões ativas, inclusive a do invasor.

4. Verifique usuários administradores

No banco de dados (phpMyAdmin), consulte a tabela wp_users e wp_usermeta :

  • Procure usuários que você não reconhece
  • Verifique quem tem wp_capabilities com valor administrator
  • Delete qualquer usuário administrador desconhecido

Escaneie e Identifique o Malware

Agora que você conteve a situação, é hora de encontrar exatamente o que foi comprometido.

Ferramentas de scan

  • Wordfence (plugin) - scan completo de arquivos e banco de dados
  • Sucuri SiteCheck (online) - scan externo gratuito em sitecheck.sucuri.net
  • MalCare (plugin) - scan profundo com limpeza automatizada
  • Anti-Malware Security (plugin) - detecção de padrões conhecidos

O que procurar manualmente

Verifique estes arquivos e locais por código suspeito:

  1. Arquivos da raiz: index.php , wp-config.php , .htaccess
  2. wp-content/uploads/ , pois arquivos PHP não deveriam estar aqui
  3. wp-includes/ , comparando com uma instalação limpa do WordPress
  4. functions.php do tema ativo
  5. Plugins desconhecidos em /wp-content/plugins/

Padrões de código malicioso comuns

Fique atento a:

  • Funções como eval() , base64_decode() , gzinflate() , str_rot13()
  • Código ofuscado (strings longas de caracteres aleatórios)
  • Includes de URLs externas
  • Arquivos PHP com nomes que imitam arquivos do core (ex: wp-tmp.php , class-wp.php em locais errados)
  • Código inserido no início ou final de arquivos PHP existentes

Como Limpar o WordPress Hackeado

Opção 1: Limpeza manual (recomendado para quem tem experiência)

  1. Reinstale o WordPress core
  2. Baixe a versão mais recente em br.wordpress.org
  3. Substitua as pastas wp-admin e wp-includes inteiras
  4. Substitua os arquivos PHP da raiz (exceto wp-config.php )
  5. Limpe o wp-config.php
  6. Compare com o arquivo wp-config-sample.php da instalação limpa
  7. Remova qualquer código que não deveria estar lá
  8. Atualize as chaves de segurança (já mencionado acima)
  9. Reinstale plugins e temas
  10. Delete todos os plugins e reinstale das fontes oficiais
  11. Delete e reinstale o tema
  12. Nunca use plugins ou temas piratas ("nulled"), pois são a principal porta de entrada para malware
  13. Limpe a pasta uploads
  14. Verifique cada subpasta em /wp-content/uploads/
  15. Delete qualquer arquivo .php , .js ou .html suspeito
  16. Arquivos de upload devem ser apenas imagens, PDFs e similares
  17. Limpe o banco de dados
  18. Verifique a tabela wp_options por URLs de spam em siteurl e home
  19. Procure por conteúdo spam em wp_posts
  20. Verifique wp_users por usuários desconhecidos

Opção 2: Restaurar backup limpo

Se você tem um backup de antes da invasão:

  1. Restaure o backup completo (arquivos + banco de dados)
  2. Atualize TUDO imediatamente (WordPress, plugins, temas)
  3. Troque todas as senhas e chaves de segurança
  4. Escaneie para garantir que o backup não estava já comprometido

Após a Limpeza

Verifique se o site está limpo

  1. Rode o scan do Wordfence ou Sucuri novamente
  2. Acesse o site em modo anônimo para verificar redirecionamentos
  3. Teste o Google Search Console para alertas
  4. Monitore nos próximos dias

Solicite revisão ao Google

Se o Google marcou seu site como perigoso:

  1. Acesse o Google Search Console
  2. Vá em Segurança e ações manuais > Problemas de segurança
  3. Clique em Solicitar revisão
  4. O Google geralmente revisa em 1 a 3 dias

Verifique blacklists

Além do Google, verifique se seu site ou IP está em blacklists:

  • Sucuri SiteCheck
  • VirusTotal
  • MXToolbox (para blacklists de e-mail)

Como Prevenir Futuras Invasões

A limpeza resolve o problema imediato, mas sem prevenção o site será hackeado novamente. Implemente estas medidas:

Medidas essenciais

  1. Mantenha tudo atualizado. WordPress, plugins e temas. Atualizações corrigem vulnerabilidades de segurança.
  2. Use senhas fortes. Mínimo 16 caracteres com letras, números e símbolos. Use um gerenciador de senhas.
  3. Ative autenticação em dois fatores (2FA) no wp-admin, com plugins como WP 2FA ou Two Factor.
  4. Limite tentativas de login com plugins como Limit Login Attempts Reloaded ou Login Lockdown.
  5. Nunca use plugins ou temas piratas. "Nulled" é sinônimo de malware.
  6. Remova plugins e temas inativos. Mesmo desativados, podem ter vulnerabilidades exploráveis.
  7. Use SFTP em vez de FTP. FTP transmite senhas em texto puro.

Medidas avançadas

  1. Configure headers de segurança: Content-Security-Policy, X-Frame-Options, X-Content-Type-Options
  2. Desative a edição de arquivos pelo painel. Adicione ao wp-config.php :
define('DISALLOW_FILE_EDIT', true);
  1. Mude o prefixo das tabelas. Não use wp_ padrão em novas instalações.
  2. Configure backups automáticos diários. Armazene em local externo (Google Drive, S3, etc.)
  3. Monitore o site regularmente. Configure alertas para alterações em arquivos.

Precisa de Ajuda Urgente?

Limpar um site hackeado exige cuidado e conhecimento técnico. Um passo errado pode piorar a situação ou deixar backdoors que permitirão novas invasões.

Se você não se sente seguro para fazer a limpeza sozinho, ou se o site continua sendo comprometido após a limpeza, a HOSTWP pode resolver. Nosso suporte cobre do servidor ao site: identificamos a origem da invasão, limpamos o malware, fechamos as vulnerabilidades e implementamos proteção para evitar que aconteça novamente. Fale com a HOSTWP agora .

Leia também: Erros WordPress: Guia Completo | Site WordPress Lento? 10 Causas e Soluções

hackeado malware segurança emergência

Artigos relacionados