Meu site WordPress foi hackeado: o que fazer agora

Você abriu o site esta manhã e algo estava errado. Talvez um aviso do Google no navegador, talvez seu provedor de hospedagem ter enviado um e-mail sobre atividade suspeita, talvez um cliente tenha ligado dizendo que o site está exibindo conteúdo estranho. O site WordPress foi hackeado. A cada minuto que passa, o dano cresce.

Este guia não vai explicar por que isso acontece em termos abstratos. Vai te dizer o que fazer, na ordem certa, para reduzir o dano operacional e recuperar o controle. Cada etapa está traduzida em impacto de negócio: downtime, LGPD, reputação e SEO penalizado são consequências reais que afetam resultado. Tão real quanto a invasão em si.

O que acontece quando um site WordPress é invadido

A maioria dos ataques a sites WordPress não é direcionada: são automatizados. Scripts varrendo a internet em busca de versões desatualizadas de plugins, temas ou do próprio WordPress, senhas fracas em painéis administrativos, permissões incorretas em arquivos e configurações padrão que nunca foram alteradas.

Quando a invasão acontece, os atacantes geralmente não destroem o site de imediato. O que costuma ocorrer é mais silencioso e prejudicial a longo prazo:

• Injeção de links e páginas ocultas para esquemas de SEO black hat (spam farmaceutico, cassinos ilegais, phishing)
• Instalação de backdoors que permitem reentrada mesmo após limpeza superficial
• Uso do servidor para enviar e-mails de spam em massa, queimando a reputação do domínio
• Captura de dados de formulários, incluindo informações pessoais de clientes (LGPD diretamente envolvida)
• Redirecionamento silencioso de visitantes para páginas maliciosas
• Uso dos recursos do servidor para mineração de criptomoedas

O problema não é só técnico. Um site comprometido pode perder posicionamento no Google em dias, ter o domínio bloqueado pelo Gmail, ser removido do índice de busca e gerar obrigações legais de notificação de vazamento de dados. O impacto operacional vai muito além da tela.

Sinais de que seu site WordPress foi comprometido

Antes de qualquer ação, confirme o diagnóstico. Nem todo problema é invasão, mas se você identificar dois ou mais dos sinais abaixo, trate como comprometimento confirmado até provar o contrário.

Sinais visuais e de comportamento

• Conteúdo estranho aparecendo no site (textos em outros idiomas, links para farmácias, cassinos)
• Redirecionamento automático para outro site ao acessar certas páginas
• Páginas novas que você não criou aparecem no Google ou no painel do WordPress
• Usuários administradores que você não reconhece no painel
• Arquivo wp-config.php ou .htaccess com conteúdo alterado

Sinais de serviço e reputação

• Google Search Console exibindo alerta “Este site pode ter sido hackeado”
• Navegadores mostrando tela de aviso de segurança antes de carregar o site
• E-mails do domínio chegando na caixa de spam dos destinatários
• Queda abrupta no tráfego orgânico sem alteração de conteúdo
• Provedor de hospedagem suspendendo a conta por atividade maliciosa
• Clientes reportando pop-ups ou comportamentos estranhos ao visitar o site

Sinais no servidor

• Arquivos PHP com nomes aleatórios em pastas de upload (/wp-content/uploads/)
• Consumo anormal de CPU ou memória sem aumento de tráfego
• Logs de acesso com requisições para arquivos que não existem no projeto original

Os primeiros passos imediatos: a ordem importa

Quando a crise está ativa, a sequência das ações determina se você vai reduzir ou ampliar o dano. Faça na ordem.

1. Ative o modo de manutenção ou tire o site do ar

Enquanto o site está comprometido e acessível, ele está ativamente prejudicando visitantes e a reputação do domínio. A primeira decisão é proteger quem acessa. Se você tem acesso ao painel do WordPress, ative um plugin de modo de manutenção. Se o acesso ao painel foi bloqueado pelo atacante, contate a hospedagem para suspender o site temporariamente.

Ficar fora do ar por algumas horas é muito menos prejudicial do que continuar operando como vetor de ataque contra seus próprios clientes.

2. Mude todas as senhas imediatamente

Sem exceção: painel WordPress, FTP, banco de dados, painel da hospedagem, e-mail do domínio. Use senhas longas e únicas para cada acesso. Se você reutiliza senhas, o atacante pode ter comprometido mais de uma conta com a mesma credencial.

Se você usa a mesma senha do painel WordPress em outros serviços, altere nesses serviços também.

3. Faça backup do estado atual antes de limpar

Parece contraintuitivo, mas o backup do estado comprometido é importante por dois motivos: preservar evidências caso seja necessário comunicar o incidente (LGPD) e ter uma referência para identificar exatamente o que foi alterado. Faça backup dos arquivos e do banco de dados antes de qualquer limpeza.

4. Notifique sua equipe e prestadores

Se outras pessoas têm acesso ao site, precisam ser notificadas imediatamente. Credenciais comprometidas em um usuário podem ter sido copiadas para outros acessos. Comunique e force a troca de senhas de todos os usuários com acesso administrativo.

Como identificar os arquivos infectados

A limpeza manual de um site WordPress comprometido exige acesso via FTP ou SSH ao servidor e familiaridade com os arquivos do WordPress. Se você não tem essa familiaridade, pule para a seção sobre quando contratar um especialista. Tentar limpar sem conhecimento técnico pode agravar a situação.

Para quem tem acesso técnico:

Verificar a integridade dos arquivos do núcleo WordPress

Arquivos do core do WordPress têm checksums conhecidos. Qualquer alteração nos arquivos principais é um sinal claro de comprometimento. Via WP-CLI no servidor:

wp core verify-checksums

Arquivos que falharem na verificação foram modificados e precisam ser substituídos pela versão original do repositório do WordPress.

Buscar código malicioso em arquivos PHP

Atacantes injetam código ofuscado usando funções PHP comuns para execução remota. Padrões a buscar no servidor:

grep -r "eval(base64_decode" /caminho/do/site/
grep -r "system(" /caminho/do/site/wp-content/
grep -rn "FilesMan" /caminho/do/site/
find /caminho/do/site -name "*.php" -newer /caminho/do/site/wp-config.php

O último comando lista arquivos PHP criados ou modificados mais recentemente que o wp-config.php: útil para identificar arquivos adicionados pelo atacante.

Verificar usuários administrativos no banco

Atacantes frequentemente criam usuários administradores para manter acesso. Via WP-CLI:

wp user list --role=administrator

Remova qualquer usuário que você não reconheça. Mas atenção: se a conta foi usada para configurar plugins, a remoção pode quebrar integrações. Identifique antes de remover.

A limpeza técnica: o que fazer e em que ordem

Após identificar os arquivos comprometidos, a limpeza segue uma ordem específica para garantir que backdoors não reinfectem o site após a remoção do malware visível.

Substitua os arquivos do core WordPress

Baixe a versão atual do WordPress diretamente do repositório oficial e substitua os arquivos do core, exceto wp-config.php e o diretório wp-content/. Isso garante que o núcleo está íntegro.

Limpe o diretório wp-content

Plugins e temas são os vetores mais comuns de invasão. Para cada plugin e tema ativo, baixe a versão oficial do repositório e compare ou substitua os arquivos. Plugins ou temas premium obtidos de fontes não oficiais (“nulled”) são responsáveis por uma parcela significativa das invasões. Remova imediatamente qualquer software de origem duvidosa.

Arquivos PHP na pasta /wp-content/uploads/ são sempre suspeitos. Essa pasta é destinada a imagens e documentos, não a código executável.

Limpe o banco de dados

Malware em banco de dados geralmente aparece como JavaScript injetado em posts, opções do WordPress contendo código malicioso ou usuários criados pelo atacante. Examine as tabelas wp_options (opção active_plugins e opção siteurl) e procure por conteúdo codificado em base64 ou links para domínios externos.

Remova todos os backdoors

Esta é a etapa mais difícil e onde mais erros acontecem. Backdoors são arquivos ou fragmentos de código que permitem reacesso ao site mesmo após a limpeza. Um site que reaparece infectado dias depois de uma limpeza geralmente tem backdoor não removido. Ferramentas como Wordfence, MalCare e Sucuri SiteCheck ajudam a identificar esses arquivos, mas não substituem uma auditoria manual em casos graves.

O impacto no SEO e como reverter

Um site WordPress hackeado sofre penalizações de SEO de duas formas distintas: penalizações algorítmicas automáticas do Google (queda de posições por conteúdo spammy injetado) e penalizações manuais (remoção do índice por violação das políticas de spam ou malware).

As penalizações algorítmicas se resolvem com a remoção do conteúdo malicioso e o tempo de recrawl do Google. As penalizações manuais exigem um processo de revisão ativo.

Solicitar revisão no Google Search Console

Se o Google exibiu aviso de “Site hackeado” ou suspendeu a indexação, após a limpeza você precisa solicitar revisão via Google Search Console. O processo é:

1. Acesse o Search Console e verifique a aba “Problemas de segurança”
2. Confirme que todos os problemas listados foram corrigidos
3. Clique em “Solicitar revisão” e descreva as ações tomadas
4. O Google normalmente responde em 1 a 3 semanas

Se você não estava monitorando o Search Console antes do incidente, este é o momento de ativá-lo. Para uma análise mais detalhada de como o ataque afetou seu posicionamento, o post sobre SEO WordPress para empresas explica os fatores que o Google usa para avaliar a saúde de um site.

Reindexar as páginas limpas

Após a limpeza, use a ferramenta de inspeção de URLs no Search Console para solicitar reindexação das páginas principais do site. Não espere o crawl orgânico. Em casos de comprometimento, o Google pode reduzir a frequência de crawl do domínio afetado.

Conformidade com a LGPD após uma invasão

Se o site captura qualquer dado pessoal de usuários (formulários de contato, cadastros, solicitações de orçamento, comentários), uma invasão que potencialmente expôs esses dados precisa ser tratada como incidente de segurança sob a LGPD.

O que isso implica na prática:

• Avaliação do escopo da exposição: quais dados foram potencialmente acessados
• Notificação à ANPD (Autoridade Nacional de Proteção de Dados) em até 72 horas para incidentes de alto risco
• Comunicação aos titulares afetados quando o risco for elevado
• Documentação do incidente e das medidas tomadas

Ignorar esse processo pode resultar em multas que chegam a 2% do faturamento bruto, limitado a R$ 50 milhões por infração. Mais sério ainda: a omissão agrava a situação perante a ANPD em caso de investigação posterior.

Se você tem dúvidas sobre o escopo da sua obrigação, consulte um advogado especializado em proteção de dados. Esta é uma decisão jurídica, não técnica.

Como evitar que aconteça de novo

A reinfecção é uma realidade para sites que não corrigem as vulnerabilidades que permitiram a invasão original. A limpeza sem endurecimento da segurança é trabalho temporário.

Atualizações regulares sem exceção

A maioria das invasões bem-sucedidas explora vulnerabilidades publicadas em versões antigas de plugins, temas ou do WordPress. Quando uma vulnerabilidade é divulgada publicamente, o período entre a divulgação e o ataque massivo é questão de horas. Manter tudo atualizado é a medida com melhor custo-benefício em segurança WordPress.

O post sobre manutenção preventiva WordPress explica como estruturar um processo de atualização que não quebra o site no processo. Atualização mal gerenciada também tem custo.

Controle de acesso mais restrito

• Limite usuários administrativos ao mínimo necessário
• Use senhas longas (16+ caracteres) geradas por gerenciador de senhas
• Ative autenticação de dois fatores no painel WordPress
• Restrinja o acesso ao wp-admin por IP se você acessa de locais fixos
• Mude a URL de login padrão (/wp-admin) para reduzir ataques de força bruta

Backups automáticos e testados

Backup que não foi testado não existe. Configure backups diários automáticos em local externo ao servidor (não apenas em outra pasta da mesma hospedagem) e teste a restauração periodicamente. Em caso de invasão severa, a opção mais rápida de recuperação pode ser restaurar a partir de um backup limpo anterior ao ataque.

O post sobre riscos em sites abandonados detalha por que sites sem manutenção são os alvos preferidos de ataques automatizados. O mesmo raciocínio se aplica a sites sem backup.

Monitoramento contínuo

Detecção precoce reduz o impacto drasticamente. Configure:

• Alertas do Google Search Console para problemas de segurança
• Monitoramento de uptime com notificação por e-mail ou SMS
• Plugin de segurança com varredura periódica de integridade de arquivos
• Logs de acesso ao painel WordPress para detectar tentativas de login

Hospedagem com isolamento adequado

Hospedagem compartilhada barata coloca dezenas de sites no mesmo servidor. Se um site vizinho for comprometido em servidor mal configurado, existe risco de contaminação lateral. Isso não é regra, mas acontece. Avalie se sua hospedagem oferece isolamento de contas entre clientes. Para sites corporativos, hospedagem gerenciada com foco em WordPress costuma incluir monitoramento de segurança e resposta a incidentes.

O post sobre sinais de hospedagem inadequada WordPress lista os indicadores concretos de que seu ambiente de hospedagem está expondo seu site a riscos desnecessários.

Quando contratar um especialista em WordPress

Limpeza manual de invasão é trabalho técnico que exige experiência com o ambiente do servidor, conhecimento de como malware WordPress se comporta e capacidade de distinguir código legítimo de backdoor, distinção que não é sempre óbvia, mesmo para desenvolvedores experientes.

Os casos em que você precisa de ajuda especializada, sem tentar resolver sozinho:

• O site foi reinfectado após uma tentativa de limpeza (backdoor não removido)
• Você não tem acesso SSH ou FTP ao servidor
• O painel WordPress está inacessível ou bloqueado
• O ataque envolveu captura de dados de clientes (risco LGPD imediato)
• O site é crítico para o negócio e cada hora fora do ar tem custo mensurável
• Você não consegue identificar todos os arquivos infectados com as ferramentas disponíveis

Nesses casos, o custo de uma limpeza profissional é significativamente menor do que o custo de uma reinvasão, de penalizações de SEO prolongadas ou de uma notificação de incidente de dados mal conduzida.

A gestão profissional de um site WordPress corporativo inclui resposta a incidentes como parte do serviço, e não como emergência cobrada à parte, mas como componente da sustentação contínua. Quando o site sofre uma invasão, a equipe que já conhece a estrutura do projeto tem tempo de diagnóstico muito menor do que uma equipe que encontra o site pela primeira vez em crise.

Perguntas frequentes sobre site WordPress hackeado

Quanto tempo leva para limpar um site WordPress hackeado?

Depende da extensão da invasão. Infecções simples em plugins com backdoor isolado: 2 a 4 horas de trabalho técnico. Infecções amplas com múltiplos backdoors, banco de dados comprometido e penalização no Google: 1 a 3 dias de trabalho, mais o tempo de revisão do Google (1 a 3 semanas). Quanto mais cedo o problema é detectado, menor o escopo da limpeza.

O Google penaliza sites hackeados permanentemente?

Não. A penalização é temporária e se desfaz após a limpeza e aprovação da revisão solicitada no Google Search Console. Porém, sites que ficam comprometidos por semanas ou meses acumulam problemas de rastreamento que levam mais tempo para recuperar posicionamento. O impacto no SEO é proporcional ao tempo que o site ficou comprometido e ao volume de conteúdo malicioso indexado.

Meu site tem formulário de contato. Devo notificar os clientes?

Se há evidência de que dados pessoais coletados pelo formulário foram acessados pelo atacante, a LGPD exige avaliação do risco e, potencialmente, notificação à ANPD e aos titulares. A obrigação de notificação depende da natureza dos dados e do risco concreto. Consulte um especialista em LGPD para avaliar sua situação específica.

Plugin de segurança evita invasão?

Plugin de segurança reduz superfície de ataque e ajuda na detecção precoce, mas não garante que invasões não acontecerão. A proteção mais eficaz é a combinação de manutenção regular (atualizações em dia), controle de acesso rigoroso, hospedagem adequada e monitoramento contínuo. Plugin de segurança sozinho não substitui essas práticas.