Meu WordPress foi invadido: o que fazer AGORA (passo a passo emergencial 2026)

Meu WordPress foi invadido: o que fazer AGORA (passo a passo emergencial 2026)

Descobrir que seu WordPress foi invadido é um momento de pânico — e cada minuto importa. Se você acabou de receber o aviso do Google, viu redirecionamentos estranhos, foi avisado por um cliente ou notou que a hospedagem suspendeu sua conta, este guia é para você. Vamos te dar o passo a passo emergencial das primeiras 2 horas para minimizar o estrago e recuperar o controle. Importante: leia até o final antes de agir — algumas ações no susto pioram o problema.

Primeira hora: pare. respire. NÃO faça isso

O instinto de quem descobriu que o WordPress foi invadido é apagar tudo, sair restaurando, mudar senhas em pânico. Não faça nada disso ainda. Esses são erros comuns que pioram o problema:

  • NÃO apague arquivos suspeitos antes de fazer backup — você pode precisar deles como prova ou para forense
  • NÃO restaure backup antigo às cegas — se o backup também estiver infectado, você só ganha tempo de reinfecção
  • NÃO mude apenas a senha do admin — atacantes geralmente já criaram outros usuários ou backdoors
  • NÃO instale 5 plugins de segurança em pânico — eles podem brigar entre si e travar o site
  • NÃO atualize o WordPress no meio do incidente — pode quebrar o site e dificultar a investigação
  • NÃO pague resgate se receber mensagem de ransomware — pague especialistas, não criminosos

Em vez disso, siga o passo a passo abaixo, na ordem.

Passo 1 — Documente o incidente (5 minutos)

Antes de tocar em qualquer coisa, capture evidências. Você vai precisar para o Google, para sua hospedagem, para sua empresa e (eventualmente) para a polícia:

  1. Screenshot da página inicial mostrando o problema (defacement, redirect, aviso do Google)
  2. Screenshot do Search Console (se acessível) com a notificação de segurança
  3. Screenshot do painel da hospedagem com qualquer alerta de suspensão
  4. Cópia do e-mail de notificação que você recebeu
  5. Hora aproximada em que você descobriu o problema
  6. Última vez que o site funcionava normalmente (importante para forense)

Salve tudo em uma pasta nomeada com a data. Isso vai ser essencial se você for contratar um especialista — economiza horas de levantamento inicial.

Passo 2 — Backup imediato (10 minutos)

Antes de qualquer ação corretiva, faça backup do site infectado. Sim, do site infectado. Você precisa preservar a evidência:

  • Backup via cPanel (Files → Backup Wizard) — preferível
  • Ou backup manual via FTP (pasta wp-content) + phpMyAdmin (banco)
  • Salve em local externo (não no servidor) — Google Drive, Dropbox, HD externo

Se a hospedagem suspendeu o acesso, abra ticket pedindo backup emergencial — eles devem fornecer.

Passo 3 — Coloque o site em manutenção (15 minutos)

Não deixe o site infectado servindo malware para visitantes. Coloque em modo manutenção:

  1. Se ainda tem acesso ao admin: instale plugin WP Maintenance Mode e ative
  2. Se não tem acesso: edite .htaccess via FTP e adicione redirect 503 para todos exceto seu IP
  3. Outra opção: renomear pasta wp-content para forçar erro temporário enquanto resolve

Isso protege visitantes, evita que o Google indexe páginas infectadas, e dá tempo para resolver com calma.

Passo 4 — Mude TODAS as senhas (20 minutos)

Atacantes que invadiram o WordPress geralmente também coletaram credenciais salvas. Mude estas senhas, todas, agora:

  • Senhas dos usuários administradores do WordPress (todos)
  • Senha do banco de dados (no wp-config.php também)
  • Senha do cPanel ou painel da hospedagem
  • Senhas FTP e SFTP
  • Senha do e-mail associado ao admin do WordPress
  • Salt keys do wp-config.php (gere novas em api.wordpress.org/secret-key/1.1/salt/)
  • API keys de plugins (Mailchimp, gateway de pagamento, etc.)

Use senhas geradas (não invente). Salve em um gerenciador como Bitwarden, 1Password ou LastPass.

Passo 5 — Identifique a fonte da invasão

Se você não souber por onde entraram, vai limpar e reinfectar. Locais comuns de entrada:

  • Plugin desatualizado: 70% dos casos. Vulnerabilidades públicas em plugins populares
  • Tema nulled (pirata): 20% dos casos. Maioria tem backdoor pré-instalado
  • Senha fraca de admin: ataque de força bruta
  • XML-RPC habilitado: abuso para força bruta amplificada
  • Conta FTP comprometida: credencial vazada ou keylogger no computador
  • Hospedagem compartilhada vizinha invadida: contaminação cruzada

Verifique logs do servidor (Apache access.log, error.log) na hora aproximada do ataque. Se não souber onde estão, este é o momento de chamar um especialista — diagnosticar a entrada errada faz a limpeza falhar.

Passo 6 — Decida: limpar você mesmo ou contratar?

Você tem 3 opções nesse momento. Avalie honestamente:

Opção Custo Tempo Risco
Limpar você mesmo (se tem experiência) R$ 0 8 a 24h Médio — risco de deixar backdoors
Contratar profissional emergencial R$ 800-1.500 até 24h Baixo — garantia inclusa
Restaurar backup limpo + hardening R$ 0-300 2-4h Médio — só funciona se backup for anterior à invasão

Se o site é comercial e gera receita, o ROI de contratar especialista é claro: cada dia parado vale mais que R$ 1.500 em prejuízo. Fale com o Site Seguro emergencial pelo WhatsApp.

Passo 7 — Se for limpar você mesmo, o checklist técnico

Se decidiu limpar sozinho, siga esta ordem rigorosa:

  1. Atualizar WordPress core para a versão mais recente
  2. Substituir todos os arquivos do core por cópia limpa baixada de wordpress.org
  3. Substituir tema por download oficial (se for tema comercial, do site oficial)
  4. Substituir todos os plugins por downloads oficiais (apague e reinstale)
  5. Verificar pasta wp-content/uploads por arquivos .php (não deveriam existir)
  6. Verificar banco: tabela wp_options e wp_users por usuários estranhos
  7. Verificar tabela wp_options por opções suspeitas (especialmente keys de “ad” ou injection)
  8. Instalar Wordfence Free e rodar varredura completa
  9. Hardening: permissões 644/755, headers de segurança, desabilitar XML-RPC
  10. Limpar caches (Cloudflare, plugins de cache, OPCache do PHP)

Passo 8 — Notificar Google e retirar do Safe Browsing

Se o Google bloqueou seu site ou está mostrando aviso de “site perigoso”, após limpar você precisa pedir revisão:

  1. Verifique a propriedade no Google Search Console
  2. Aba “Segurança e ações manuais” → “Problemas de segurança”
  3. Após limpar, clique em “Solicitar revisão” e descreva o que foi feito
  4. Revisão demora 24h-7 dias para responder

Detalhamos isso no nosso post sobre como remover o aviso de site bloqueado pelo Google.

Erros pós-limpeza que causam reinfecção em 30 dias

Você limpou, o site voltou, mas em algumas semanas reinfectou? Causas comuns:

  • Não trocou todas as senhas (FTP ou banco ficaram velhos)
  • Manteve o mesmo tema/plugin que tinha a vulnerabilidade
  • Esqueceu backdoor em wp-content/uploads ou tema
  • Não atualizou após a limpeza
  • Não trocou as salt keys do wp-config.php
  • Computador local também estava infectado e roubou credencial nova

Para evitar tudo isso, considere um plano mensal de proteção com hardening contínuo e monitoramento.

FAQ: invasão emergencial do WordPress

Em quanto tempo um WordPress pode ser limpado?

Limpeza emergencial profissional: até 24 horas. Limpeza simples sem urgência: 2-4 horas. Restauração de backup limpo: 1-2 horas.

O Google demora quanto para tirar o aviso de site perigoso?

Após pedido de revisão correto: 24 horas a 7 dias, geralmente 48-72h. Não há como acelerar — quem promete em “1 hora” está mentindo.

Preciso avisar meus clientes que o site foi invadido?

Se foi vazamento de dados pessoais (LGPD), sim, obrigatório em até 72h à ANPD. Se foi apenas defacement ou redirect sem coleta de dados, recomendado mas não obrigatório.

A hospedagem é responsável?

Geralmente não — invasões em WordPress são quase sempre por plugins ou senhas. Hospedagem só é responsável se foi falha de infraestrutura comprovada.

Posso confiar no plugin de segurança grátis?

Para uso defensivo (firewall, 2FA, monitoramento) sim, Wordfence Free é excelente. Para limpeza de incidente já ocorrido, a versão grátis tem limitações — algumas detecções só rodam na versão paga.

Conclusão: aja rápido, mas com calma

Descobrir que seu WordPress foi invadido é estressante, mas seguir um processo organizado nas primeiras 2 horas faz a diferença entre limpar em 1 dia ou em 1 semana. Se você não tem experiência técnica ou o site é crítico para o negócio, considerar uma limpeza emergencial profissional é o caminho mais seguro.

O Site Seguro faz limpeza emergencial 24/7 em até 24h, com garantia e relatório técnico completo. Atendemos em São Paulo, Rio, Brasília e mais 18 cidades brasileiras de forma 100% remota. Para empresas que buscam suporte especializado WordPress, recomendamos avaliar nossos critérios de escolha.

Procurando uma agência especialista em segurança para WordPress?

O Site Seguro é especialista 100% em segurança WordPress, com SLA, garantia contra reincidência e atendimento humano no Brasil.

Conhecer nosso serviço →
Tags de postagem :
Post anterior

Próxima postagem

Fale conosco