Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contacts

411 University St, Seattle, USA

engitech@oceanthemes.net

+1 -800-456-478-23

Twitter Facebook-f Pinterest-p Instagram

Meu Site WordPress Foi Hackeado — O que Fazer Agora

Um guia prático de emergência para recuperar o acesso, limpar arquivos infectados e proteger o site contra futuros ataques.

Descobrir que o seu site foi hackeado é uma das situações mais estressantes para qualquer profissional ou empresa.
Um ataque pode causar queda nas vendas, perda de dados, bloqueio no Google e até danos à reputação da marca.

A boa notícia é que existe solução.
Neste guia, você vai aprender como identificar, limpar e proteger um site WordPress hackeado, mesmo que não tenha conhecimento técnico avançado.

Como saber se o site foi hackeado

Nem todo ataque é visível imediatamente.
Muitos invasores agem de forma silenciosa, alterando códigos ou redirecionando visitantes sem que o administrador perceba.

Os sinais mais comuns de invasão incluem:

  • Site fora do ar ou redirecionando para páginas estranhas.

  • Mensagens de “Site comprometido” no Google.

  • Erros ao tentar acessar o painel (wp-admin).

  • Arquivos desconhecidos ou com nomes suspeitos no servidor.

  • Aumento repentino no consumo de recursos da hospedagem.

  • Reclamações de usuários sobre comportamento anormal no site.

💡 Dica: Use ferramentas como Sucuri SiteCheck ou VirusTotal para escanear o domínio e confirmar se há infecção.

Passo 1 — Isolar o site imediatamente

Assim que suspeitar do ataque, desconecte o site do ar temporariamente para evitar que o problema se espalhe.
Você pode fazer isso ativando o modo de manutenção ou bloqueando o acesso via .htaccess.

Também é importante alterar todas as senhas imediatamente:

  • Painel do WordPress;

  • FTP ou Gerenciador de Arquivos;

  • Banco de dados;

  • Painel de hospedagem (cPanel, Plesk, etc.).

Isso evita que o invasor mantenha acesso mesmo após a limpeza.

Passo 2 — Fazer backup completo (antes de qualquer mudança)

Antes de iniciar a limpeza, faça um backup completo dos arquivos e do banco de dados.
Mesmo que o site esteja infectado, o backup servirá como registro e poderá ajudar na recuperação de conteúdos legítimos.

Utilize ferramentas como:

  • UpdraftPlus

  • All-in-One WP Migration

  • cPanel Backup Wizard

Salve o backup em um local seguro, fora do servidor comprometido.

Passo 3 — Escanear e remover arquivos infectados

Com o site isolado, é hora de identificar e eliminar os arquivos maliciosos.

1. Use plugins de segurança confiáveis

Os melhores para essa função são:

  • Wordfence Security

  • MalCare Security

  • Sucuri Security

Eles fazem varreduras automáticas e mostram os arquivos suspeitos, permitindo excluí-los ou repará-los com um clique.

2. Analise manualmente (caso saiba o básico de FTP)

Procure arquivos criados recentemente nas pastas:

  • /wp-content/uploads/

  • /wp-includes/

  • /wp-admin/

Preste atenção em nomes estranhos, scripts .php onde não deveriam existir e arquivos com datas modificadas próximas ao ataque.

Passo 4 — Substituir o núcleo do WordPress

Baixe a versão mais recente do WordPress no site oficial e substitua todas as pastas principais (wp-admin, wp-includes e arquivos raiz), mantendo apenas:

  • wp-content/uploads (imagens);

  • wp-config.php (arquivo de conexão ao banco);

Isso garante que qualquer código alterado pelo invasor seja removido.

💡 Importante: nunca reinstale um backup antigo sem verificar se ele também está limpo.

Passo 5 — Escanear o banco de dados

Alguns ataques inserem scripts maliciosos dentro das tabelas do banco de dados, especialmente nas tabelas wp_options e wp_posts.

Use ferramentas como phpMyAdmin ou o plugin WP-Optimize para procurar:

  • Linhas com códigos JavaScript estranhos;

  • URLs externas desconhecidas;

  • Palavras-chave suspeitas (como “eval”, “iframe”, “base64”).

Remova apenas o que tiver certeza que não pertence ao seu site.

Passo 6 — Atualizar tudo

Após limpar o site, atualize todos os componentes:

  • WordPress para a versão mais recente;

  • Temas e plugins instalados;

  • PHP e MySQL no servidor (de preferência, PHP 8+).

Muitos ataques exploram falhas conhecidas em versões desatualizadas.
Manter o sistema atualizado é uma das formas mais eficazes de prevenção.

Passo 7 — Reforçar a segurança do site

Depois da limpeza, é hora de blindar o WordPress contra novos ataques.

Instale um firewall de aplicação (WAF)

Plugins como Wordfence, Sucuri e iThemes Security monitoram tentativas de invasão em tempo real.

Ative autenticação em dois fatores (2FA)

Isso impede que invasores acessem o painel mesmo que descubram a senha.

Limite tentativas de login

Use plugins como Limit Login Attempts Reloaded para bloquear IPs suspeitos.

Mude a URL de login

Evite ataques automatizados alterando o caminho padrão /wp-admin para algo exclusivo, como /painel-seguro.

Monitore o site regularmente

Ferramentas como Sucuri Monitor e Google Search Console alertam sobre atividades suspeitas e infecções.

Passo 8 — Solicitar revisão ao Google (se o site estiver bloqueado)

Se o Google exibiu mensagens como “Este site pode ter sido invadido”, é preciso solicitar uma nova análise após a limpeza.

  1. Acesse o Google Search Console.

  2. Vá até Segurança e Ações Manuais > Problemas de Segurança.

  3. Clique em Solicitar Revisão.

  4. Descreva o que foi feito (limpeza, troca de senhas, atualização etc.).

O processo pode levar de 48h a 5 dias, e, após aprovado, o aviso desaparece das buscas.

Passo 9 — Fazer um plano de prevenção contínua

Depois de recuperar o site, adote uma rotina de segurança para evitar novos ataques.

  • Ative backups automáticos diários ou semanais.

  • Monitore logs de acesso e atualizações.

  • Evite instalar plugins ou temas piratas.

  • Revise permissões de usuários — mantenha apenas administradores essenciais.

  • Use HTTPS e certificados SSL válidos.

A prevenção é sempre mais barata e eficiente do que uma recuperação completa.

Perguntas frequentes sobre sites hackeados

Por que meu site foi hackeado?
Na maioria dos casos, por falhas em plugins desatualizados, senhas fracas ou hospedagens vulneráveis.

Posso limpar o site sozinho?
Sim, seguindo este guia. Mas se o ataque for complexo, considere contratar um especialista em segurança WordPress.

O Google vai penalizar meu site?
Somente enquanto o problema persistir. Após a limpeza e revisão, o ranqueamento pode ser recuperado gradualmente.

Como evitar que isso aconteça de novo?
Mantenha tudo atualizado, use firewall e revise constantemente as permissões de acesso.

Recuperar e fortalecer: o caminho após o ataque

Ter um site hackeado não significa o fim — é um alerta para aprimorar sua segurança digital.
Com as medidas certas, é possível restaurar o site, recuperar a confiança dos visitantes e evitar futuras invasões.

Segurança não é um evento único, e sim um processo contínuo.
Cuide do seu WordPress como um ativo estratégico: atualizado, protegido e monitorado.

Dessa forma, seu site estará preparado para crescer com estabilidade e confiança, mesmo em um ambiente digital cada vez mais desafiador.