WordPress bloqueado por phishing: como tirar do Google Safe Browsing em 2026

WordPress bloqueado por phishing: como tirar do Google Safe Browsing em 2026

Receber a mensagem “Site enganoso à frente” ou ver no Search Console que seu WordPress foi bloqueado por phishing é um dos piores cenários de SEO. Diferente de malware (que afeta visitantes), phishing é um sinal vermelho explícito que o Google considera enganoso. O resultado: bloqueio em quase 100% dos navegadores, queda imediata de tráfego, danos de reputação. A boa notícia é que dá para resolver em 3-7 dias se você seguir o processo certo. Neste guia, vamos cobrir como identificar as páginas de phishing, removê-las e pedir revisão do Google.

Diferença entre phishing e malware no Google

Tipo O que é Como o Google avisa
Malware Vírus, redirect, script malicioso “Site contém malware” — vermelho
Phishing Página falsa imitando outra (banco, login) “Site enganoso à frente” — vermelho
Unwanted Software Downloads que enganam “Site não seguro” — vermelho
Manipulação SEO Cloaking, keyword stuffing Penalização manual — sem aviso vermelho

Se a mensagem é específica de “enganoso” ou “phishing”, o processo de revisão é o do Safe Browsing — diferente do malware.

Como confirmar que é phishing e não outro problema

  1. Acesse Google Search Console com a conta verificada
  2. Vá em “Segurança e ações manuais” → “Problemas de segurança”
  3. Veja o tipo: “Engenharia social” indica phishing
  4. Clique para ver URLs específicas afetadas
  5. Confirme em Safe Browsing Status

O Search Console vai listar URLs exemplo. Anote — é por onde vamos começar a investigar.

Onde geralmente está a página de phishing no WordPress

Phishing em WordPress invadido geralmente aparece em:

  • Pastas dentro de wp-content/uploads — diretório criado pelo atacante com index.html
  • Subdiretórios disfarçados como /banco, /login, /secure
  • Plugin malicioso instalado que serve a página de phishing
  • Arquivo .html ou .php solto na raiz com nome convincente
  • Rota gerenciada por .htaccess que serve conteúdo de outra pasta

Use a URL listada no Search Console para localizar. Conecte via FTP ou cPanel File Manager e procure pelo caminho exato.

Passo 1 — Listar e backupear todas as páginas suspeitas

Antes de deletar qualquer coisa:

  1. Liste todas as URLs reportadas pelo Search Console
  2. Acesse cada uma pelo navegador (em ambiente isolado, com proteção)
  3. Tire screenshot do conteúdo
  4. Faça backup do(s) arquivo(s) original(is) — pode ser pedido em investigação
  5. Anote o caminho exato no servidor

Salve tudo em uma pasta com a data do incidente.

Passo 2 — Remover as páginas de phishing

  1. Acesse via FTP ou cPanel File Manager
  2. Navegue até o caminho da URL afetada
  3. Delete arquivos e pasta inteira se for criação do atacante
  4. Verifique se há arquivo similar em outras pastas (atacantes plantam múltiplos)
  5. No banco, verifique tabela wp_options e wp_posts por refs ao caminho
  6. Limpe cache (Cloudflare, WP Rocket, OPCache)

Confirme deleção visitando a URL pelo navegador — deve retornar 404.

Passo 3 — Eliminar a porta de entrada do atacante

Phishing não chegou sozinho. Geralmente foi colocado por:

  • Webshell em outro arquivo (procure por .php em uploads)
  • Plugin vulnerável (atualize todos)
  • Senha admin comprometida (troque todas)
  • FTP/SSH comprometido (mude credenciais)

Se você não eliminar a entrada, o atacante recoloca phishing em horas. Faça checagem completa de invasão em paralelo.

Passo 4 — Hardening obrigatório

Antes de pedir revisão ao Google, blindar o site:

  1. Atualizar WordPress, tema e todos os plugins
  2. Remover plugins/temas inativos
  3. Instalar Wordfence ou MalCare e rodar varredura completa
  4. Mudar todas as senhas e gerar novas salt keys
  5. Configurar 2FA para administradores
  6. Verificar e ajustar permissões de arquivos (644/755)
  7. Bloquear PHP execution em wp-content/uploads via .htaccess
  8. Habilitar headers de segurança (X-Content-Type-Options, X-Frame-Options)

Passo 5 — Pedir revisão ao Google Safe Browsing

  1. Search Console → “Segurança e ações manuais” → “Problemas de segurança”
  2. Clique em “Solicitar revisão”
  3. No campo de descrição, explique especificamente:
    • O que aconteceu (foi invadido em DD/MM/AAAA)
    • Como descobriu (Search Console, cliente reportou, etc.)
    • O que foi removido (URLs específicas)
    • O que foi feito para evitar reincidência (lista de hardening)
    • Tipo de monitoramento agora em vigor
  4. Envie

Resposta do Google: 24h-72h em média. Casos complexos: 5-7 dias.

O que NÃO fazer durante a revisão

  • Não publique conteúdo novo significativo até receber resposta
  • Não mude o tema
  • Não desinstale plugins de segurança
  • Não faça migração de servidor
  • Não reverta backup pós-revisão (você perde o status de “limpo”)
  • Não submeta múltiplos pedidos seguidos — atrasa o processo

Espere a resposta do Google. Se vier “Aprovado”, em 24h o aviso some.

Se a revisão for negada — o que fazer

Google nega geralmente quando:

  • Ainda existe alguma URL com phishing que você não removeu
  • O hardening não foi suficiente — reinfectou durante a revisão
  • A descrição do pedido foi vaga (“limpei o site”) sem detalhes

Próximos passos:

  1. Veja a explicação na resposta
  2. Investigue todas as URLs novamente
  3. Faça um scan completo de novo
  4. Refaça hardening mais agressivo
  5. Submeta novo pedido com descrição detalhada
  6. Considere contratar especialista — alguns casos exigem investigação forense

O Site Seguro atende esses casos com taxa de aprovação no segundo pedido superior a 90%.

FAQ: WordPress bloqueado por phishing

O que diferencia phishing de malware aos olhos do Google?

Phishing é página falsa que tenta enganar o visitante. Malware é código que infecta. Phishing tem revisão mais rigorosa porque há intenção criminal explícita.

Vou perder ranking permanentemente?

Se resolver em 1-2 semanas, recupera 80-90% do ranking em 30 dias. Se demorar meses, perda significativa. Quanto antes resolver, melhor.

O Bing e outros buscadores usam o Safe Browsing do Google?

Bing tem sistema próprio (SmartScreen), mas geralmente sincroniza. Firefox e Safari também usam Safe Browsing do Google. Resolver no Google resolve em 95% dos navegadores.

Posso continuar vendendo durante o bloqueio?

Tecnicamente sim, mas 70%+ dos visitantes vão sair vendo o aviso vermelho. Foque em resolver primeiro.

Quanto custa o serviço profissional?

R$ 800-2.000 para remoção completa + hardening + pedido de revisão. Plano mensal R$ 700+ inclui esse atendimento.

Conclusão: ação rápida = menor estrago

Receber bloqueio do Google por phishing assusta, mas é resolvível. Os 3 fatores que mais influenciam o tempo de recuperação: rapidez para começar a limpeza, qualidade do hardening, clareza do pedido de revisão. Em casos típicos, site sai do bloqueio em 3-7 dias.

Se o cenário é seu, fale com o Site Seguro ou veja nossos planos com cobertura emergencial para casos similares. Para empresas que buscam suporte especializado WordPress, recomendamos avaliar nossos critérios de escolha.

Procurando uma empresa especializada em segurança WordPress?

O Site Seguro é especialista 100% em segurança WordPress, com SLA, garantia contra reincidência e atendimento humano no Brasil.

Conhecer nosso serviço →
Tags de postagem :

Deixe uma resposta

Fale conosco