Como saber se seu site WordPress foi hackeado: 12 sinais de invasão em 2026

Como saber se seu site WordPress foi hackeado: 12 sinais de invasão em 2026

A maior parte das invasões em sites WordPress passa despercebida por dias, semanas ou meses. Quando o dono finalmente percebe, o estrago já foi feito: o Google bloqueou o domínio, a hospedagem suspendeu a conta, clientes começaram a reclamar de pop-ups estranhos, e o tráfego despencou. A boa notícia é que existem sinais claros que indicam invasão, e quem aprende a reconhecê-los consegue agir em horas — não em meses.

Neste guia direto, você vai aprender os 12 sinais mais comuns de que um site WordPress foi comprometido, como verificar cada um deles em poucos minutos e qual é o próximo passo se você encontrar algo suspeito. O conteúdo é baseado na rotina real do time do Site Seguro, que atende dezenas de casos de invasão por mês em sites brasileiros.

Por que sites WordPress são tão visados

Antes de listar os sinais, vale entender o cenário. O WordPress responde por aproximadamente 43% de todos os sites do mundo segundo a W3Techs, o que significa que ele é, por volume, o alvo número um. Não é que o WordPress seja “menos seguro” do que outros CMS — é que ele tem milhões de plugins de terceiros, e basta um plugin desatualizado para criar uma porta de entrada. Adicione a isso temas piratas (nulled), senhas fracas, hospedagem compartilhada mal configurada e bots automatizados que tentam logar 24 horas por dia, e você tem um cenário em que invasões são uma questão de tempo, não de “se vai acontecer”.

Os 12 sinais de invasão em ordem de gravidade

1. O Google exibe aviso de “site enganoso” ou “contém malware”

É o sinal mais visível e mais grave. O Chrome, o Firefox e o Safari leem a lista negra do Google Safe Browsing antes de carregar qualquer página. Se seu domínio aparecer nessa lista, todo visitante vê uma tela vermelha de alerta antes mesmo de chegar no seu conteúdo.

Como verificar: acesse https://transparencyreport.google.com/safe-browsing/search?url=seudominio.com.br. Em segundos você vê se está limpo, suspeito ou bloqueado.

2. A hospedagem suspendeu a conta ou enviou aviso de “phishing/malware”

Hospedagens sérias monitoram arquivos suspeitos automaticamente. Quando detectam algo, suspendem a conta sem aviso prévio para proteger outros clientes do mesmo servidor.

Sinal: você recebeu email do suporte com termos como phishing, eval, base64_decode, c99 shell, web shell, defacement ou mass mailer.

3. Pop-ups, redirecionamentos para sites estranhos ou cassinos

Você abre o próprio site num navegador anônimo e é redirecionado para um site de apostas, cripto, farmácia online ou um portal em mandarim. Isso é injeção de redirecionamento — um clássico de malware WordPress.

Como verificar: abra o site numa janela anônima, num celular (com 4G, não Wi-Fi de casa) e numa máquina sem cookies. Se o redirecionamento só acontece nessas condições, é malware.

4. Aparecem usuários administradores que você não criou

Vá em wp-admin > Usuários > Todos > Administradores. Se houver qualquer conta admin, wpadmin, support, wpsupport, 1admin ou qualquer nome que você não criou, isso é invasão confirmada.

5. Arquivos PHP estranhos no diretório /wp-content/uploads/

O diretório uploads deveria conter apenas imagens, PDFs e mídia. Qualquer arquivo .php ali é gravíssimo — é a assinatura mais comum de backdoor. Nomes como wp-config.php.bak, class.php, theme.php, lock360.php, wpconfig.php em pastas de uploads são bandeiras vermelhas.

Como verificar: via FTP, cPanel File Manager ou SSH, rode:

find ./wp-content/uploads -name "*.php"

6. Tráfego anômalo no Google Analytics

Picos súbitos de tráfego vindo de países que não fazem sentido para seu público (Rússia, China, Vietnã, Indonésia), com taxa de rejeição de 95%+ e tempo médio de zero segundos, geralmente são bots explorando o site.

7. Anúncios estranhos que você não inseriu

Banners de cripto, “ganhe dinheiro fácil”, links para apostas esportivas ou farmácias online aparecendo no topo do site, no rodapé ou intercalados no meio dos posts. Quase sempre é injeção via JavaScript malicioso.

8. Conteúdo em outro idioma aparecendo nas SERPs

Você pesquisa site:seudominio.com.br no Google e aparecem títulos em japonês, russo ou inglês comercializando coisas que não têm relação com seu negócio. Isso é Japanese SEO Spam ou pharma hack — um dos malwares mais persistentes e mais difíceis de remover sem ferramenta especializada.

9. Email do site começa a cair em spam

Se você usa email no mesmo domínio ([email protected]) e ele passou a cair em spam mesmo para destinatários antigos, é possível que o servidor esteja sendo usado para envio de spam por um invasor — e o domínio entrou em blocklists como Spamhaus.

Como verificar: https://mxtoolbox.com/blacklists.aspx

10. Lentidão extrema e uso anormal de CPU

A hospedagem te avisa que você “estourou a CPU”? Plugin de cache desligado, mas o site continua lento? Pode ser que mineradores de criptomoeda estejam rodando no servidor, ou que o site esteja participando, sem você saber, de uma botnet.

11. Modificações em arquivos do core do WordPress

Os arquivos do core (wp-includes, wp-admin) nunca devem ser modificados manualmente. Plugins de segurança como o Wordfence comparam hash dos seus arquivos com os hashes oficiais do WordPress.org e alertam quando algo foi alterado.

12. Login do WordPress não funciona ou foi alterado

Sua senha não funciona mais? Você recebeu email de “redefinição de senha” que não pediu? A página /wp-login.php foi removida ou redireciona para outro lugar? Tudo isso são sinais clássicos de invasão.

O que fazer agora se você identificou qualquer um desses sinais

A ordem importa. Não saia removendo arquivos no susto — você pode quebrar o site sem ter ideia de o que foi removido.

  1. Não entre em pânico nem apague nada.
  2. Tire o site do ar temporariamente com uma página de manutenção, se ele estiver redirecionando para sites perigosos. Plugin WP Maintenance Mode resolve em 2 minutos.
  3. Mude todas as senhas — wp-admin, FTP, cPanel, banco MySQL e email.
  4. Faça backup imediato dos arquivos atuais e do banco — mesmo infectados, esses arquivos servem como evidência e ponto de partida para recuperação seletiva.
  5. Não restaure um backup antigo às cegas: se o backup também estiver infectado (e geralmente está, já que a invasão muitas vezes começa semanas antes da detecção), você só substitui o problema.
  6. Chame um especialista. Limpeza de malware WordPress é trabalho cirúrgico: scanner identifica os arquivos, mas é o ser humano que diferencia falso-positivo de backdoor real.

Como o Site Seguro resolve esse tipo de caso

O Site Seguro opera em 4 níveis de prioridade — Essencial, Avançado, Prioritário e Emergencial. Para casos de site bloqueado pelo Google ou redirecionamento ativo, o plano Emergencial (R$ 999) resolve em até 24 horas: scan completo, remoção dos backdoors, hardening do servidor, submissão da reavaliação no Google Search Console e relatório técnico do que foi feito.

Para casos preventivos (você quer evitar que isso aconteça), os planos Essencial e Avançado dão suporte mensal, atualizações controladas e monitoramento.

Precisa de ajuda agora? Fale com um especialista pelo WhatsApp — atendimento das 7h às 22h, todos os dias.

Perguntas frequentes

Quanto tempo leva para um site WordPress ser invadido depois do lançamento?

Em média, bots começam a tentar logar em qualquer instalação WordPress nova menos de 4 horas após o domínio ser apontado. Por isso é fundamental instalar plugin anti força-bruta e mudar a URL de login antes de qualquer outra coisa.

Plugin de segurança gratuito é suficiente?

Para sites pessoais ou blogs sem dados sensíveis, sim. Wordfence Free + Limit Login Attempts Reloaded já resolvem 80% dos ataques automatizados. Para sites comerciais com pagamento, área de cliente ou dados de terceiros, recomenda-se versão paga (Wordfence Premium ou Sucuri) ou contratar serviço gerenciado.

Posso usar o backup do meu próprio servidor para restaurar?

Só se o backup for anterior à data provável da invasão e estiver armazenado fora do servidor (Google Drive, S3, Dropbox). Backup que mora no mesmo servidor invadido também foi comprometido. Use UpdraftPlus configurado para envio off-site.

Se eu remover o WordPress e instalar de novo, resolve?

Apenas se você também limpar o banco MySQL e validar que não restou nenhum arquivo PHP em /uploads/, /wp-content/themes/ antigos e backdoors que invasores deixam fora do diretório do WP (em /cgi-bin/, por exemplo). Por isso uma reinstalação às cegas raramente resolve sozinha.

O Site Seguro garante que o site não seja invadido de novo?

Nenhum especialista sério garante 100% — quem garante é golpista. O que oferecemos é o hardening completo (que reduz drasticamente a chance de reincidência) e o monitoramento 24/7 que detecta novo ataque em minutos, antes do estrago se espalhar.

Conclusão

Identificar invasão cedo é a diferença entre 24 horas de transtorno e 3 meses recuperando ranking, faturamento e reputação. Use este checklist a cada 15 dias mesmo se nada parecer errado. E lembre-se: o site mais seguro do mundo é aquele com hardening preventivo + monitoramento ativo. Reagir é caro; prevenir é barato.

Se você identificou qualquer um dos 12 sinais acima, fale agora com o Site Seguro — diagnóstico inicial gratuito, planos a partir de R$ 349.

Leia também:

  • Site bloqueado pelo Google: guia passo a passo para remover o aviso
  • Como remover vírus e malware do WordPress sem perder o site
  • Hardening WordPress: 15 ações essenciais para blindar seu site
Tags de postagem :
Post anterior

Próxima postagem

Fale conosco