Como saber se meu site WordPress está infectado (5 testes grátis em 2026)

Como saber se meu site WordPress está infectado (5 testes grátis em 2026)

Você desconfia que algo está errado mas não tem certeza? Quer saber como saber se seu site WordPress está infectado sem precisar pagar nada por um diagnóstico? Boa decisão — vamos te mostrar 5 testes gratuitos que qualquer dono de site pode fazer agora, em menos de 30 minutos, para detectar sinais de invasão, malware ou backdoors. Esses testes não substituem uma auditoria profissional, mas são suficientes para você decidir se precisa agir agora ou se está tudo bem.

Teste 1 — Google Safe Browsing (2 minutos)

O primeiro lugar para checar é o Google. Existem 2 formas rápidas:

  1. Acesse https://transparencyreport.google.com/safe-browsing/search?url=seusite.com.br
  2. Faça uma busca por site:seusite.com.br no Google e veja se aparecem páginas com aviso “site pode estar comprometido”

Se o relatório aparecer “Algumas páginas perigosas” ou “Site não seguro”, você foi invadido. Se aparecer “Sem dados não seguros encontrados”, é um sinal positivo (mas não garante 100%, o Google pode não ter detectado ainda).

Teste 2 — Sucuri SiteCheck (3 minutos)

O Sucuri SiteCheck é uma ferramenta grátis e respeitada de scan externo. Cola a URL do seu site e ele faz:

  • Varredura de páginas em busca de malware injetado
  • Verificação de blacklists em ~30 listas (Google, McAfee, etc.)
  • Análise de headers de segurança
  • Identificação da versão do WordPress, tema e plugins (e se estão vulneráveis)
  • Detecção de scripts suspeitos no HTML

É um scan superficial (só vê o que o navegador vê) mas pega 60-70% das infecções comuns. Se aparecer “Site is infected”, você tem confirmação.

Teste 3 — Wordfence (instalar plugin free)

O Wordfence Free é o plugin mais completo de segurança WordPress. Instale via wp-admin → Plugins → Adicionar Novo → pesquise “Wordfence” → ativar. Depois:

  1. Wordfence → Scan → “Start New Scan”
  2. Aguarde 5-30 minutos (depende do tamanho do site)
  3. Veja o resultado em “Scan Detailed Activity”

O scan detecta: arquivos modificados, código suspeito em arquivos PHP, malware conhecido, opções wp_options suspeitas, usuários com permissões erradas, vulnerabilidades em plugins/temas instalados.

Importante: a versão grátis cobre a maioria dos casos, mas tem delay de 30 dias para regras de detecção novas — vírus recentíssimos podem passar.

Teste 4 — Verificação manual de sinais (10 minutos)

Mesmo sem ferramentas, você pode procurar 8 sinais clássicos de invasão:

  1. Site lento sem motivo: CPU do servidor alta, malware consumindo recursos
  2. Usuários administradores que você não criou: wp-admin → Usuários → All
  3. Plugins ativos que você não instalou: wp-admin → Plugins → Installed
  4. Arquivos .php em wp-content/uploads: via FTP ou File Manager
  5. Modificações em .htaccess: compare com versão padrão do WordPress
  6. Conteúdo de spam em posts: palavras como “viagra”, “loan”, “casino” em posts antigos
  7. Redirecionamentos misteriosos: teste em aba anônima e mobile
  8. E-mail de hospedagem reportando uso alto de CPU: sinal clássico de bot/cripto miner

Encontrou 2 ou mais? Provavelmente está infectado.

Teste 5 — Logs do servidor (15 minutos)

Esse é mais técnico mas o mais revelador. Acesse via cPanel → Logs → Access Logs (ou Error Logs):

  • Procure por requisições POST para xmlrpc.php ou wp-login.php em massa (ataque de força bruta)
  • Procure por requisições para arquivos com nomes estranhos como x.php, shell.php, etc.
  • Procure por requisições com 200 OK em URLs que não deveriam responder com sucesso
  • Procure por IPs que fazem centenas de requisições em segundos (bots)
  • No error_log: erros de permissão, “Allowed memory exhausted”, warnings em arquivos do tema

Se você achar evidência de ataque bem-sucedido (200 OK em arquivo suspeito), você foi invadido. Anote a hora, vai precisar para investigar.

Quando os testes grátis NÃO bastam

Os 5 testes acima detectam 70-80% das infecções comuns. Mas existem casos onde só auditoria profissional resolve:

  • Rootkits server-side: instalado fora da pasta do WordPress, na infraestrutura
  • Webshell altamente ofuscado: base64 + AES + dependências externas
  • Backdoor em banco de dados: em opções customizadas raras
  • Crypto miner em JavaScript: só ativa em horários específicos
  • Phishing condicional: só serve página falsa para certos IPs

Se a suspeita é alta mas os scans não acham nada, considere auditoria forense profissional.

O que fazer se a infecção for confirmada

Detectou malware? Não pague mais cara a indecisão. Siga em ordem:

  1. Coloque o site em manutenção para proteger visitantes
  2. Faça backup do site infectado (para análise)
  3. Mude todas as senhas (admin, FTP, banco, cPanel)
  4. Decida: limpa você mesmo ou contrata profissional
  5. Após limpeza, peça revisão ao Google se houver bloqueio
  6. Implemente hardening para evitar reincidência

Detalhamos cada passo no nosso guia: WordPress invadido: o que fazer agora.

Como evitar precisar fazer esses testes toda semana

Testar a cada 7 dias é cansativo. Profissionalmente, recomenda-se monitoramento contínuo. Opções:

Opção Custo mensal O que monitora
Plugin grátis (Wordfence Free) R$ 0 Scan agendado, alertas básicos
Plugin pago (Wordfence Premium, MalCare) USD 9-25 Scan diário + remoção automática
Serviço gerenciado (Sucuri, Site Seguro) R$ 150-700 Monitoramento 24/7 + cleanup incluso

O plano Essencial do Site Seguro (R$ 349/mês) já inclui monitoramento 24/7 e tira a necessidade de você ficar testando manualmente.

FAQ: detecção de infecção em WordPress

Posso confiar 100% nos resultados do Sucuri SiteCheck?

É confiável para detecções “positivas” (se ele acha, você tem malware). Para “negativas” (não achou nada) você ainda pode ter malware oculto — o scan vê só o que o navegador vê. Combine com Wordfence para cobertura interna.

Qual a frequência ideal de scan?

Semanal para sites importantes, mensal para sites pessoais. Diário só para e-commerce ou sites de alto tráfego.

O Wordfence Free é suficiente?

Para detecção, sim. Para remoção automatizada de malware, não — você precisa da versão Premium ou MalCare. Para sites que valem $$, vale o upgrade.

Se nenhum scan acha nada, posso ficar tranquilo?

90% das vezes sim. Os 10% restantes são malwares “stealth” que só auditoria manual detecta. Se você tem sinais de infecção (lentidão, redirecionamento, etc.) mas scans não acham, contrate auditoria.

É verdade que tem malware que só ataca o admin?

Sim, alguns webshells só carregam conteúdo malicioso para visitantes anônimos — admin logado vê tudo normal. Por isso é importante testar deslogado e em modo anônimo.

Conclusão: 5 testes em 30 minutos te dão clareza

Saber como saber se seu site WordPress está infectado é um conhecimento básico que todo dono ou desenvolvedor deveria ter. Os 5 testes acima cobrem a maioria dos casos e custam R$ 0. Se algum deles vier positivo, aja rápido — quanto antes limpar, menor o estrago.

Se preferir um diagnóstico profissional (mais profundo), o Site Seguro faz auditoria completa por R$ 0 nos planos Avançado ou superior. Fale com a gente pelo WhatsApp para agendar. Para empresas que buscam empresa especializada em segurança WordPress, recomendamos avaliar nossos critérios de escolha.

Procurando uma empresa especializada em segurança WordPress?

O Site Seguro é especialista 100% em segurança WordPress, com SLA, garantia contra reincidência e atendimento humano no Brasil.

Conhecer nosso serviço →
Tags de postagem :
Post anterior

Próxima postagem

Fale conosco