O redirect só acontece no celular. Por quê?

É um redirect "cloak" condicional. O atacante quer enganar o Googlebot (que crawleia como desktop) enquanto monetiza visitantes mobile. Procure scripts que checam navigator.userAgent no tema, em wp_options e em plugins.

Posso restaurar backup para resolver o redirect?

Sim, se o backup é anterior à infecção e você sabe a data exata da invasão. Atenção: após restaurar, faça hardening imediatamente — a vulnerabilidade que causou a invasão original ainda está ativa.

Quanto tempo demora a limpeza profissional?

2-6 horas para limpeza simples, 24h no plano emergencial. Inclui varredura completa, remoção, hardening, pedido de revisão ao Google.

O Wordfence consegue detectar e remover o redirect?

Wordfence Free detecta a maioria. Para remoção automática você precisa da versão Premium. Mesmo assim, alguns redirects "stealth" não são detectados sem análise manual.

Tem como saber para onde o site está redirecionando?

Use ferramentas como curl -L via terminal, ou Network Tab do Chrome DevTools. Mas atenção: o destino pode ser malicioso, navegue em ambiente isolado.

WordPress com redirecionamento estranho: como identificar e...

WordPress com redirecionamento estranho: como identificar e resolver em 2026

Se você está com WordPress com redirecionamento estranho levando para sites de spam, apostas, farmácias falsas ou downloads suspeitos, seu site foi infectado por um dos tipos mais comuns de malware em 2026: o pharma/redirect hack. A boa notícia é que dá para resolver. A má é que existe em pelo menos 5 lugares diferentes onde o código malicioso pode estar escondido, e remover só de um deles deixa o site reinfectar em horas. Neste guia, vamos cobrir como diagnosticar o tipo de redirect, localizar o código em todos os pontos possíveis, removê-lo e blindar o site.

Como identificar o tipo de redirecionamento

Antes de tentar remover, identifique como o redirect funciona. Existem 4 tipos comuns:

Redirect imediato em primeira visita — leva todo visitante para outro site na primeira carga
Redirect cloak (camuflado) — só redireciona usuários de mobile, ou de certas regiões, ou via Google
Redirect via JavaScript injetado — só acontece após o JS carregar, painel admin parece normal
Redirect no .htaccess — atua no servidor antes do PHP, geralmente o mais agressivo

Teste com navegação privada (Ctrl+Shift+N), com mobile, com User-Agent do Googlebot (extensão User-Agent Switcher). Anote em qual cenário o redirect aparece — isso indica onde está escondido.

Os 7 locais onde o código de redirect costuma se esconder

Atacantes esperam que você procure só em um lugar. Por isso, espalham:

Arquivo .htaccess — RewriteRules adicionadas no início
Arquivo wp-config.php — código eval base64 antes do require
Arquivos do tema — geralmente header.php, footer.php, functions.php
Pasta de uploads — arquivos .php disfarçados de imagem
Banco de dados — tabela wp_options — JavaScript injetado em opções customizadas
Banco de dados — tabela wp_posts — script injetado em posts antigos
Plugin “fake” instalado pelo atacante (pasta nova em wp-content/plugins)

Você precisa varrer TODOS os 7 antes de declarar limpo. Pular um basta para reinfectar em horas.

Como verificar o .htaccess

Acesse via FTP ou cPanel File Manager. Abra .htaccess na raiz. Um arquivo limpo do WordPress tem só algumas regras de mod_rewrite. Sinais de invasão:

RewriteRules para domínios externos (ex.: RewriteRule .* http://malicioso.com [R,L])
Condições baseadas em User-Agent ou Referer estranhas
Blocos enormes de regras base64 ou hex
Múltiplos blocos # BEGIN WordPress (deveria ter só um)
RewriteCond pegando bots específicos

Para limpar: faça backup do .htaccess atual, depois substitua por versão padrão do WordPress, deixando só:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

Como verificar arquivos do tema

Acesse wp-content/themes/SEU-TEMA/ via FTP. Foque nestes arquivos:

header.php — atacantes adicionam Fale conosco