WordPress hackeado: como recuperar e proteger

Uma ilustração de uma tela de computador e elementos que remetem a uma invação.

Seu site WordPress foi invadido? Sites com malwares são um perigo para quem utiliza e quem acessa, entenda mais sobre

Seu WordPress foi invadido? Como corrigir -»

Fale com nosso suporte para Wordpress

    Percebeu que seu WordPress está estranho? Páginas suspeitas, redirecionamentos esquisitos… provavelmente você está com o coração na mão. Mas respire fundo: ter o WordPress hackeado não significa perder tudo.

    Com as ações certas, é possível limpar a “infecção”, restaurar a integridade do seu projeto e voltar mais forte. E se o seu site ainda não foi invadido, esse artigo vai ajudar a blindá-lo contra ataques futuros.

    O WordPress é seguro?

    Sim, o WordPress é seguro, mas sua segurança é uma responsabilidade compartilhada.

    O núcleo desse sistema de gerenciamento de conteúdo (CMS) é desenvolvido com rigorosos padrões de segurança e atualizado frequentemente para corrigir vulnerabilidades.

    O risco real geralmente reside em plugins e temas desatualizados ou mal codificados, senhas fracas e hospedagens sem proteção adequada.

    Portanto, o WordPress é tão seguro quanto as práticas de quem o administra. Com atualizações constantes, autenticação de dois fatores e plugins de firewall confiáveis, ele se torna uma plataforma confiável para qualquer projeto.

    Por que tem tantos malwares em WordPress?

    A enorme popularidade do WordPress, que alimenta mais de 40% de todos os sites do mundo, o torna um alvo extremamente atraente. Ataques automatizados escaneiam a internet em busca de vulnerabilidades conhecidas para explorar.

    Como citado acima, não é que o WordPress seja naturalmente inseguro, porém ele é massivamente adotado, e muitos administradores não aplicam as práticas fundamentais de manutenção e proteção.

    Sinais de que WordPress foi invadido

    Muitas vezes a invasão não é óbvia, algumas são bem sofisticadas e ficam “escondidas”.

    O hacker, que quase nunca é uma pessoa ativa, mas sim uma automação, pode inserir backdoors silenciosas, injetar spam em posts antigos ou sequestrar recursos do servidor sem que você perceba.

    Fique atento a estes indícios:

    • Redirecionamento para sites desconhecidos: ao acessar seu domínio, o visitante cai em uma página duvidosa;
    • Alertas de ferramentas do Google: como avisos de mudanças drasticas dados pelo Search Console, quando ativo;
    • Queda drástica de tráfego orgânico: o Google detecta malware e remove seu site dos resultados;
    • Pop-ups ou anúncios estranhos: banners de bet, conteúdo adulto, falsos alertas de vírus;
    • Alteração na página inicial ou posts com links ocultos: texto injetado que não foi colocado por sua equipe;
    • Novos usuários administradores: você encontra contas que não criou, com permissão total;
    • E-mails de notificação do seu servidor: excesso de uso de CPU, envio massivo de e-mails, arquivos suspeitos identificados;
    • Falha ao acessar o painel admin: página em branco, erro 500 ou login que não funciona mesmo com a senha correta;
    • Aviso do Google ou navegador: “Site à frente pode conter malware”, tela vermelha do Safe Browsing.

    Como posso recuperar meu site WordPress?

    Antes de se desesperar e sair apagando arquivos, siga um plano de contenção. Essas medidas evitam danos maiores enquanto você prepara a limpeza.

    Depois comece uma faxina pesada. Existem dois caminhos: usar um plugin de segurança profissional ou fazer a limpeza manualmente. É recomendado combinar os dois para maior eficácia.

    Coloque o site em modo de manutenção

    Ative um plugin de manutenção ou, se não conseguir acessar o painel, crie um arquivo .maintenance na raiz do WordPress. Isso evita que visitantes sejam infectados e que o Google continue indexando páginas contaminadas.

    Troque todas as senhas: imediatamente

    • Senha do painel WordPress (todos os usuários, especialmente administradores);
    • Senha do banco de dados MySQL;
    • Senha do painel de hospedagem (cPanel, Plesk, etc.);
    • Chaves de FTP/SFTP;
    • Senha do e-mail vinculado ao domínio.

    Utilize senhas longas, únicas e aleatórias. Um gerenciador de senhas é seu amigo.

    Faça backup do estado atual do site

    Mesmo infectado, é essencial ter uma cópia para análise. Backup de arquivos + banco de dados.

    Empresas especializadas em segurança pedem esse material para identificar a porta de entrada do ataque. Guarde em local separado do servidor principal.

    Notifique sua hospedagem

    Muitos provedores têm equipes de suporte que podem identificar escaneamentos massivos, suspender processos maliciosos e até isolar sua conta temporariamente. Informe sobre o WordPress hackeado e peça sugestões.

    Limpeza com plugin de segurança (recomendado para quem não é desenvolvedor):

    Plugins como Wordfence, Sucuri Security e MalCare oferecem scanner profundo e remoção automática de malware conhecido. O passo a passo geral é:

    1. 1. Instale o plugin (use FTP ou o painel se possível) e ative;
    2. 2. Execute o escaneamento completo do site WordPress hackeado;
    3. 3. Siga as instruções para reparar arquivos originais do core, remover injeções e deletar arquivos suspeitos;
    4. 4. Após a limpeza, reforce a segurança usando as ferramentas do próprio plugin (firewall, proteção de força bruta, 2FA).

    Atenção: a versão gratuita costuma identificar a ameaça, mas a remoção de alguns tipos de backdoor pode exigir a versão paga.

    Limpeza manual avançada

    Se você tem conhecimento técnico ou quer garantir que não restou nada, faça o seguinte:

    • Substitua o core do WordPress: baixe uma cópia limpa do wordpress.org e, via FTP, sobrescreva todas as pastas wp-admin e wp-includes, além dos arquivos raiz (exceto wp-config.php e wp-content). Isso elimina qualquer arquivo malicioso injetado no núcleo;
    • Revise o wp-config.php: procure por trechos de código suspeitos, compare com o arquivo original do WordPress;
    • Inspecione a pasta wp-content: principalmente temas e plugins. Atualize todos para as versões mais recentes. Delete plugins e temas inativos, são portas abertas. Verifique a pasta uploads em busca de arquivos PHP escondidos como imagem;
    • Analise o arquivo .htaccess: ataques costumam inserir redirecionamentos maliciosos no .htaccess da raiz e das subpastas. Restaure com as regras padrão do WordPress;
    • Banco de dados: procure por palavras-chave suspeitas nas tabelas wp_posts, wp_options (como siteurl alterado, scripts injetados) e usuários (wp_users). Remova contas admin desconhecidas;
    • Troque as chaves de segurança (salts) do wp-config.php: gere novas no site oficial do WordPress. Isso invalida todos os cookies e logins ativos.

    Como proteger WordPress de invações

    Depois de limpar a sujeira, se você não corrigir o vetor de ataque, será hackeado novamente em horas ou dias, por isso é preciso proteger seu site.

    Mantenha tudo atualizado

    WordPress, temas e plugins desatualizados são a causa número um de invasões. Habilite atualizações automáticas ou estabeleça uma rotina de verificação. Remova plugins abandonados pelo desenvolvedor.

    Use senhas fortes e autenticação de dois fatores (2FA)

    Exija senhas com no mínimo 16 caracteres para todos os usuários. Instale um plugin de 2FA (Wordfence, Google Authenticator) e torne-o obrigatório para administradores e editores.

    Limite as tentativas de login

    Ataques de força bruta são constantes. Plugins como Limit Login Attempts Reloaded bloqueiam IPs após erros consecutivos. Combine com renomeação do URL de login (evite o padrão /wp-admin).

    Instale um firewall de aplicação web (WAF)

    Ferramentas como Sucuri, Cloudflare ou NinjaFirewall criam barreiras inteligentes que bloqueiam tráfego malicioso antes mesmo de chegar ao seu servidor. O plano gratuito do Cloudflare já oferece proteções básicas e pode esconder o IP de origem.

    Esconda arquivos sensíveis e informações de versão

    Remova o arquivo readme.html da raiz, bloqueie o acesso ao wp-config.php via .htaccess com Deny from all e desabilite a exibição da versão do WordPress no código-fonte (tema deve ocultar wp_generator).

    Backups automáticos

    Contrate um sistema de backup confiável (UpdraftPlus, BlogVault) que armazene no mínimo as últimas 30 cópias fora do servidor principal (Google Drive, Amazon S3).

    Em caso de reincidência do WordPress hackeado, você restaura uma versão limpa em minutos.

    Kanka Suporte para WordPress

    Segurança é o alicerce de qualquer projeto digital de sucesso. Não espere a invasão acontecer para valorizar backups e atualizações.

    Precisa de ajuda para limpar e proteger seu site? Entre em contato com nossa equipe especializada em recuperação de WordPress hackeado e blindagem definitiva.

    • Backups e recuperações
    • Suporte técnico prioritário por WhatsApp
    • Backups automatizados
    • Segurança constante
    • Suporte para WordPress
    • Perfomance superior
    • Limpeza de Malware
    • Customizações e correções
    Falar com o suporte WordPress
    Selo KANKA

    Pronto para transformar sua empresa e ter sucesso?

    Fale com a nossa equipe