Site bloqueado pelo Google: guia passo a passo para remover o aviso de site perigoso (2026)

Site bloqueado pelo Google: guia passo a passo para remover o aviso de site perigoso (2026)

Receber a notificação de que seu site foi marcado como perigoso pelo Google é um daqueles momentos em que o estômago revira. O tráfego despenca para zero em horas, o Chrome exibe uma tela vermelha gigante antes do visitante chegar no conteúdo, e a sensação é de impotência total. A boa notícia é que esse processo tem um caminho conhecido, com prazos reais (24 a 72 horas após a reavaliação), e que funciona quando você executa na ordem certa.

Este guia mostra exatamente o que fazer, do primeiro alerta até a remoção definitiva do aviso, com os tempos esperados de cada etapa e os erros mais comuns que prolongam o problema por semanas.

Como o Google decide bloquear um site

O Google mantém um serviço chamado Safe Browsing, que indexa diariamente bilhões de URLs em busca de malware, phishing e engenharia social. Chrome, Firefox, Safari e Brave consultam essa lista antes de carregar qualquer página. Se seu domínio entrar nela, é como ser banido do tráfego web do dia para a noite.

As três classificações mais comuns são:

  • Site enganoso (Deceptive site ahead): indica phishing — geralmente o site foi modificado para tentar roubar credenciais de visitantes.
  • Software malicioso adiante (Site contains malware): o site distribui ou hospeda código que infecta o computador do visitante (scripts maliciosos, downloads sem consentimento).
  • Conteúdo nocivo: scripts que mineram criptomoeda usando o navegador do visitante, redirecionamentos para spam etc.

Cada tipo exige limpeza específica e o tempo de reavaliação muda. Reavaliações de malware costumam levar 24 a 72 horas; phishing pode levar mais, porque o Google é mais rigoroso.

O primeiro check em 30 segundos

Antes de qualquer ação, confirme se o bloqueio é real e em qual classificação. Acesse:

https://transparencyreport.google.com/safe-browsing/search?url=siteseguro.app.br

Substitua siteseguro.app.br pelo seu domínio. Se aparecer “Não existe nenhum conteúdo perigoso nesta página”, talvez o problema seja outro (cache do navegador, DNS, hospedagem suspensa). Se aparecer “Conteúdo perigoso”, prossiga com o passo a passo.

Passo a passo completo (em ordem — não pule etapas)

Passo 1: Verifique o Google Search Console

Acesse o Search Console com a conta que verifica o domínio. Vá em Segurança e ações manuais > Questões de segurança. Lá você vê exatamente qual a categoria do problema e, em alguns casos, exemplos de URLs infectadas dentro do seu site. Salve essa lista — ela é o roteiro da sua limpeza.

Se o seu site nunca foi verificado no Search Console, esse é o momento. Adicione a propriedade (preferencialmente como “Domínio” via TXT no DNS), aguarde a verificação e volte para essa seção. Sem o Search Console verificado, você não consegue solicitar reavaliação — esse é o erro número um de quem tenta resolver sozinho.

Passo 2: Coloque o site em modo manutenção

Mantenha o site fora do ar durante a limpeza. Isso evita que (a) outros visitantes sejam infectados, (b) que o invasor continue ativo enquanto você trabalha, e (c) que o malware se replique para arquivos limpos. Plugin recomendado: WP Maintenance Mode ou simplesmente editar o .htaccess adicionando uma regra que mostra uma página estática para qualquer visitante que não venha do seu IP.

Passo 3: Faça backup imediato (estado atual, infectado)

Parece contraintuitivo, mas você precisa do estado infectado como evidência e como referência. Use UpdraftPlus, All-in-One WP Migration, ou simplesmente baixe todos os arquivos via FTP e dump do banco via phpMyAdmin. Salve em local separado, fora do servidor.

Passo 4: Troque TODAS as senhas

Antes de tocar em qualquer arquivo, mude:

  • Senha de todos os usuários do WordPress (especialmente admins)
  • Senha do FTP/SFTP do servidor
  • Senha do cPanel ou painel de hospedagem
  • Senha do banco MySQL (lembre de atualizar no wp-config.php)
  • Senha de email associada ao domínio
  • Salts do wp-config.php (use o gerador oficial: https://api.wordpress.org/secret-key/1.1/salt/)

Trocar salts invalida todas as sessões ativas — se algum invasor estava logado, é desconectado imediatamente.

Passo 5: Scan completo para identificar arquivos comprometidos

Você tem três opções, em ordem de confiabilidade:

  1. Especialista do Site Seguro (recomendado para casos sérios) — usa ferramentas comerciais + análise manual
  2. Wordfence Premium ou Sucuri — scan profundo automatizado
  3. Plugins gratuitos (Wordfence Free, MalCare Free) — pegam o básico, mas falham com malwares ofuscados

Comandos úteis se você tem SSH:

# Arquivos PHP modificados nas últimas 30 dias
find /caminho/do/site -name "*.php" -mtime -30 -type f

# Procurar funções típicas de backdoor
grep -rE "eval\s*\(|base64_decode|gzinflate|str_rot13|FilesMan|c99|r57" /caminho/do/site --include="*.php"

# Arquivos PHP dentro de uploads (não deveria existir)
find /caminho/do/site/wp-content/uploads -name "*.php"

Passo 6: Limpeza cirúrgica

Para cada arquivo suspeito, decida entre:

  • Arquivo do core (wp-admin, wp-includes): substitua pela versão oficial baixando de https://wordpress.org/download/
  • Arquivo de plugin/tema oficial: reinstale o plugin/tema do zero
  • Arquivo desconhecido: delete (depois de confirmar que não é de um plugin que você esqueceu)
  • Arquivo legítimo com código injetado: abra, identifique o bloco malicioso (geralmente começa com ) e remova manualmente

Nunca confie em “limpar automaticamente” sem ler o que está sendo removido — falsos positivos quebram funcionalidades.

Passo 7: Limpeza do banco de dados

Backdoors também moram no banco. Procure:

  • Usuários administradores criados recentemente que você não conhece
  • Posts ou páginas em status draft ou pending com conteúdo estranho (links japoneses, código JavaScript)
  • Linhas em wp_options que injetam código no ou no footer (chave siteurl apontando para domínio errado é sinal clássico)
  • Conteúdo em wp_posts com Fale conosco