Migrar WordPress de hospedagem invadida sem perder dados em 2026

Migrar WordPress de hospedagem invadida sem perder dados em 2026

Sua hospedagem foi invadida (ou um vizinho de hospedagem compartilhada foi) e você precisa migrar o WordPress sem levar a infecção junto? Esse cenário é mais comum do que parece — em 2026, hospedagens compartilhadas ainda são vetor de contaminação cruzada. Migrar errado significa replicar o malware na nova hospedagem em horas. Migrar certo significa terminar com site limpo, em servidor isolado, com configuração hardened. Este guia cobre o passo a passo seguro.

Por que migrar em vez de só limpar?

Em casos onde a hospedagem é a raiz do problema, limpar e ficar no mesmo servidor é remendar:

  • Contaminação cruzada em hospedagem compartilhada — outro cliente do mesmo servidor é o invasor
  • Servidor com kernel comprometido — rootkit no nível do sistema operacional
  • Hospedagem com histórico de vulnerabilidades — patches atrasados, segurança fraca
  • Suporte que não coopera — não responde, não fornece logs, não isola
  • Múltiplos sites na mesma conta — você quer separar
  • Hospedagem antiga sem WAF moderno — falta camada de proteção

Migrar resolve esses 6 cenários. Limpar não.

Antes de migrar: escolher destino certo

Não migre para qualquer hospedagem. Critérios mínimos em 2026:

  • SSL gerenciado e renovação automática (Let’s Encrypt)
  • PHP 8.1+ disponível
  • HTTP/2 e suporte a HTTP/3
  • CDN integrado ou compatível (Cloudflare, BunnyCDN)
  • Backup automático diário com retenção mínima de 30 dias
  • WAF (Web Application Firewall) na infraestrutura
  • Suporte 24/7 (verifique antes de contratar)
  • Histórico bom de uptime (99.9%+)

Hospedagens WordPress-managed (Kinsta, WP Engine, Cloudways) atendem; hospedagens nacionais sérias também (UOL Host, Hostgator BR, Locaweb Premium).

Passo 1 — NÃO use ferramentas automáticas de migração

Plugins como All-in-One WP Migration ou Duplicator empacotam tudo — incluindo o malware. Migrar tudo automaticamente reinfecta o destino instantaneamente. Em vez disso, faça migração manual com filtragem.

Etapas (que detalharemos nas próximas seções):

  1. Exportar conteúdo limpo via WXR
  2. Migrar imagens e mídias selecionadas
  3. Reinstalar WordPress + tema + plugins (versões oficiais limpas)
  4. Importar WXR
  5. Importar configurações específicas
  6. Verificar com scan antes de apontar DNS

Passo 2 — Exportar conteúdo via WXR (não dump SQL)

Use a ferramenta nativa do WordPress para exportar só posts/pages/comments — sem opções de plugins que podem ter injection:

  1. wp-admin → Ferramentas → Exportar
  2. Selecione “Todo o conteúdo” → baixar XML
  3. Verifique o XML em editor de texto procurando scripts suspeitos antes de importar

Se o painel admin estiver comprometido, use WP-CLI no servidor antigo:

wp export --dir=/tmp --filename_format=site-clean.xml

Passo 3 — Migrar mídias com filtro

A pasta wp-content/uploads pode ter arquivos PHP maliciosos. NÃO copie tudo. Em vez disso:

  1. Liste apenas imagens, vídeos e PDFs: find uploads/ -type f \( -name "*.jpg" -o -name "*.png" -o -name "*.webp" -o -name "*.pdf" -o -name "*.mp4" \) > arquivos_ok.txt
  2. Rsync apenas esses para o novo servidor
  3. Verifique tamanho dos arquivos — anomalias indicam infecção (PNG de 10KB com 200KB suspeito)
  4. Nunca copie .php, .html, .js da pasta uploads

Passo 4 — Instalar WordPress limpo no novo servidor

Na nova hospedagem:

  1. Instale WordPress diretamente do wordpress.org (não cópia da hospedagem antiga)
  2. Configure wp-config.php manualmente com novas salt keys e nova senha do banco
  3. Faça configurações básicas (timezone, permalinks, etc.)
  4. Crie único usuário admin com senha forte e e-mail diferente
  5. NÃO restaure usuários da exportação ainda

Passo 5 — Reinstalar tema e plugins de fontes confiáveis

Não use o tema/plugins da hospedagem antiga. Reinstale tudo:

  • Tema gratuito: baixe do wordpress.org
  • Tema premium: do site oficial do vendor (com licença sua)
  • Plugins: do wordpress.org ou do vendor
  • Nunca use temas ou plugins “nulled” — fonte #1 de invasão

Liste antes os plugins que estavam ativos na hospedagem antiga e reinstale só os essenciais. Aproveite para fazer faxina.

Passo 6 — Importar conteúdo WXR e configurações

  1. wp-admin → Ferramentas → Importar → escolha “WordPress”
  2. Faça upload do arquivo XML exportado
  3. Marque opção “Importar arquivos anexos” — isso vai baixar mídias diretamente do servidor antigo
  4. Acompanhe o log de importação
  5. Verifique que posts/páginas voltaram corretamente

Para configurações de tema/widgets:

  • Anote manualmente no servidor antigo
  • Reconfigure no novo (mesmo trabalho, mas garante limpeza)

Passo 7 — Verificar antes de apontar DNS

Antes de mudar o DNS para o novo servidor, valide que está tudo limpo:

  1. Acesse novo site via IP ou subdomínio temporário
  2. Rode Wordfence scan completo
  3. Rode Sucuri SiteCheck
  4. Teste todas as páginas principais (home, planos, contato, blog, posts)
  5. Teste formulários, checkout, login
  6. Verifique que não há requisições para domínios estranhos no Network tab do navegador

Só depois disso, atualize o DNS.

Passo 8 — Mudança de DNS e descomissionamento

  1. Reduza TTL do DNS para 300s no registrador 24h antes da migração
  2. Na hora da troca, mude registros A/CNAME para o novo servidor
  3. Aguarde propagação (~1-4h tipicamente)
  4. Monitore via dig seusite.com.br +trace ou ferramentas tipo whatsmydns.net
  5. Mantenha hospedagem antiga ativa por 7 dias como backup
  6. Após 7 dias confirmando tudo funcionando, cancele hospedagem antiga

Pós-migração: hardening obrigatório

  • Configure WAF (Cloudflare gratuito ou pago)
  • Ative monitoramento de uptime + integridade
  • Configure backup automático off-site
  • Habilite 2FA para todos administradores
  • Configure firewall de aplicação (Wordfence Premium ou MalCare)
  • Bloqueie execução PHP em uploads
  • Submeta novo sitemap no Search Console
  • Verifique HTTPS funcionando em todas as URLs

FAQ: migrar WordPress de hospedagem invadida

Posso usar plugin de migração?

Apenas se for de hospedagem comprovadamente limpa. Se há suspeita de infecção, migração manual é a única forma segura.

Quanto tempo demora a migração manual?

Site pequeno (até 200 posts): 4-6 horas. Site médio: 6-10 horas. E-commerce grande: 12-20 horas + retesting.

Quanto custa contratar profissional para migrar?

R$ 600-1.500 para sites pequenos/médios. R$ 1.500-4.000 para e-commerce e sites grandes. O Site Seguro oferece esse serviço.

Vou perder SEO durante a migração?

Se feito corretamente, perda mínima. Submeta novo sitemap, mantenha URLs idênticas, use redirect 301 se mudou estrutura.

Compatibilidade entre hospedagens diferentes?

Verifique versões de PHP, MySQL, max_execution_time, memory_limit. Diferenças podem causar quebra de funcionalidade.

Conclusão: migração segura é metódica, não rápida

Migrar WordPress de hospedagem invadida sem perder dados exige paciência e processo. Atalhos (plugins de migração automática, cópia direta de pastas) levam a reinfecção em horas. Os 8 passos acima cobrem 95% dos cenários e geram migração com site limpo no destino.

Se você prefere delegar essa migração crítica, fale com o Site Seguro ou veja nossos planos que incluem migração. Para empresas que buscam agência especializada em segurança para WordPress, recomendamos avaliar nossos critérios de escolha.

Procurando uma suporte especializado WordPress?

O Site Seguro é especialista 100% em segurança WordPress, com SLA, garantia contra reincidência e atendimento humano no Brasil.

Conhecer nosso serviço →
Tags de postagem :
Post anterior

Próxima postagem

Fale conosco