Se o seu WordPress foi hackeado, o problema não é só técnico — é um risco real para o seu negócio.
Um site invadido pode:
- roubar dados de clientes
- espalhar malware
- derrubar seu Google Ads e SEO
- bloquear pagamentos
- destruir a credibilidade da sua marca
E o pior: muitas invasões passam despercebidas por semanas ou meses.
👉 Se o seu site foi invadido, cada minuto conta.
Neste guia, você vai aprender como identificar se o WordPress foi hackeado, como limpar o site e como blindar sua loja contra novas invasões.
🚨 Como saber se o WordPress foi hackeado?
Nem sempre a invasão é óbvia.
Muitos ataques são silenciosos.
⚠️ Sinais mais comuns de invasão:
- site redirecionando para páginas estranhas
- links suspeitos no código ou rodapé
- anúncios ou pop-ups inesperados
- queda brusca no tráfego do Google
- alertas do Google Search Console
- site marcado como “perigoso”
- arquivos desconhecidos no servidor
- usuários admin criados sem autorização
- envio de spam por e-mail
- lentidão repentina no site
Se você identificou algum desses sinais, seu WordPress pode estar comprometido.
💣 Como os hackers invadem WordPress?
A maioria das invasões acontece por falhas básicas de segurança.
Principais vetores de ataque:
- plugins desatualizados
- temas piratas (nulled)
- senhas fracas
- falta de firewall
- permissões erradas de arquivos
- servidor vulnerável
- login sem proteção
- falta de backups
- APIs expostas
- FTP inseguro
👉 WordPress não é inseguro.
Insegura é a forma como ele é configurado.
🧹 Como limpar um WordPress hackeado (passo a passo)
⚠️ Atenção: limpar malware sem experiência pode piorar o problema.
✅ 1) Coloque o site em manutenção
- bloqueie acesso temporariamente
- evite espalhar malware
✅ 2) Faça backup completo (mesmo infectado)
- arquivos
- banco de dados
✅ 3) Verifique arquivos suspeitos
Pastas críticas:
- /wp-content/uploads/
- /wp-includes/
- /wp-admin/
- /wp-content/plugins/
Arquivos suspeitos:
- base64_decode
- eval
- gzinflate
- arquivos .php em uploads
✅ 4) Reinstale o core do WordPress
- substitua arquivos do core
- mantenha wp-config.php e uploads
✅ 5) Limpe plugins e temas
- remova plugins desconhecidos
- reinstale plugins oficiais
- exclua temas nulled
✅ 6) Verifique usuários admin
- remova usuários suspeitos
- altere todas as senhas
✅ 7) Limpe o banco de dados
- scripts maliciosos em posts
- opções suspeitas
- cron jobs estranhos
✅ 8) Escaneie o site
Ferramentas úteis:
- Wordfence
- Sucuri
- MalCare
- WP Cerber
🛡️ Como proteger seu WordPress contra novas invasões
Limpar é só metade do trabalho.
Sem proteção, o site será invadido novamente.
🔐 Medidas essenciais de segurança:
- atualizar WordPress, plugins e temas
- usar firewall (WAF)
- ativar autenticação em dois fatores (2FA)
- limitar tentativas de login
- ocultar wp-admin
- desativar XML-RPC se não usar
- configurar permissões corretas (644 / 755)
- usar hosting seguro
- configurar backups automáticos
- monitorar arquivos e logs
💰 WordPress hackeado = prejuízo real
Um site invadido pode gerar:
- perda de vendas
- bloqueio de anúncios
- queda de SEO
- vazamento de dados (LGPD)
- multas e processos
- perda de confiança dos clientes
👉 Segurança não é custo. É investimento.