Neste guia, você vai ver um passo a passo simples e objetivo, pensado para quem não é técnico, mas precisa tomar decisões rápidas para proteger o negócio e os visitantes do site.
Se em qualquer momento você sentir que está complicado demais, a Artnaweb pode assumir todo o processo de limpeza, segurança e manutenção do seu site:
Conheça nossos planos de manutenção de sites
Como saber se seu site WordPress foi hackeado
Antes de qualquer ação, é importante confirmar se realmente houve invasão. Alguns sinais comuns:
- Seu site redireciona para páginas estranhas (jogos, spam, conteúdo adulto etc.).
- O navegador exibe um alerta de site perigoso ou com malware.
- Aparecem pop-ups e anúncios que você nunca configurou.
- Seu antivírus bloqueia o acesso ao seu próprio site.
- O conteúdo do site muda sozinho, com textos em outra língua.
- E-mails saindo do seu domínio começam a cair em spam com mais frequência.
- O Google Search Console alerta sobre “problemas de segurança”.
- Surgem usuários administradores que você não criou.
- O site está extremamente lento ou instável sem explicação.
Se um ou mais desses sintomas estão acontecendo, trate como incidente de segurança.
Passo 1: o que fazer primeiro quando seu site WordPress é hackeado
Parece óbvio, mas é o mais importante: não saia clicando em tudo.
Anote:
- Quando você percebeu o problema.
- Em quais páginas ele acontece.
- Se o problema aparece só no celular, só no desktop ou em ambos.
Faça prints da tela com os erros, mensagens estranhas e redirecionamentos.
Se tiver acesso ao Google Search Console, verifique se há avisos em “Segurança e ações manuais”.
Essas informações ajudam muito na hora de investigar a origem do ataque e acelerar a correção.
Passo 2: coloque o site WordPress hackeado em modo seguro
O próximo passo é evitar que mais pessoas sejam prejudicadas ao acessar o site hackeado.
Você pode:
- Ativar uma página de manutenção temporária (via plugin ou configuração do servidor).
- Pausar campanhas de anúncios que levam para o site.
- Evitar divulgar o link do site enquanto ele está comprometido.
Se o seu site recebe pedidos, pagamentos ou cadastros de clientes, isso é ainda mais crítico. Nesse cenário, o ideal é tirar o site do ar temporariamente até a correção completa, para evitar prejuízos de imagem e possíveis problemas com dados sensíveis.
Passo 3: como fazer backup de um site WordPress hackeado
Sim, você leu certo: antes de tentar limpar, faça backup.
Por quê?
- Você precisa ter uma “fotografia” de como o site estava na hora da invasão.
- Se algo der errado durante a limpeza, é melhor ter de onde voltar.
- Em alguns casos, é possível comparar arquivos limpos com os infectados.
Peça para o responsável técnico ou para sua hospedagem:
- Backup completo dos arquivos do site (geralmente pasta
public_htmlou similar). - Backup do banco de dados (normalmente via phpMyAdmin ou ferramenta da hospedagem).
Guarde esse backup em local seguro. Isso pode salvar o projeto se algo quebrar na tentativa de correção.
Passo 4: senhas que devem ser trocadas após o site WordPress ser hackeado
Antes de começar a mexer no site, feche as portas que o invasor pode estar usando.
Troque imediatamente:
- Senha de acesso ao WordPress (admin).
- Senha de todos os usuários administradores.
- Senha do painel de hospedagem (cPanel, Plesk etc.).
- Senha do FTP/SFTP.
- Senha do banco de dados, se possível.
- Senha do e-mail principal ligado ao domínio.
Use senhas fortes, com:
- Pelo menos 12 caracteres.
- Letras maiúsculas e minúsculas.
- Números.
- Caracteres especiais.
Se a mesma senha era usada em outros serviços, troque nesses serviços também.
Passo 5: como detectar malware em um site WordPress hackeado
Agora é hora de tentar identificar onde está o problema.
Se você ainda consegue acessar o painel do WordPress, um profissional normalmente usa plugins de segurança para escanear arquivos e banco de dados em busca de:
- Arquivos suspeitos.
- Códigos maliciosos inseridos em temas e plugins.
- Backdoors (portas escondidas que permitem novo acesso do invasor).
Esses scanners verificam:
- Pastas do WordPress, como
/wp-content/,/wp-includes/e/wp-admin/. - Arquivos-chave como
wp-config.php,index.php,.htaccess. - Entradas suspeitas no banco de dados, principalmente em tabelas de posts e opções.
Se você não é técnico, o mais seguro é não tentar apagar nada manualmente sem orientação, para não quebrar o site de vez.
Passo 6: como limpar um site WordPress hackeado
Há algumas ações relativamente seguras que você pode realizar, mesmo sem conhecimento profundo:
- Remover plugins que você não usa mais.
- Desinstalar plugins e temas nulled (piratas) – eles são uma das principais portas de invasão.
- Apagar temas antigos que não estão em uso.
- Conferir se há plugins estranhos que você nunca instalou.
Depois disso:
- Atualize o WordPress para a última versão estável.
- Atualize todos os plugins e temas oficiais.
Se o problema persistir, o mais indicado é pedir ajuda profissional, porque a infecção pode estar em:
- Arquivos de núcleo do WordPress.
- Banco de dados.
- Scripts escondidos em subpastas que não são óbvias.
Passo 7: usuários suspeitos em um site WordPress hackeado
Uma prática comum de invasores é criar um novo usuário administrador para voltar quando quiserem.
No painel do WordPress:
- Acesse Usuários > Todos os usuários.
- Procure por usuários administradores que você não reconhece.
- Observe e-mails estranhos ou nomes genéricos como “admin2”, “test”, “wp-user” etc.
- Remova ou rebaixe esses usuários, após trocar todas as senhas legítimas.
Esse passo ajuda a evitar que o invasor continue acessando o painel mesmo depois de uma parte da limpeza.
Passo 8: Google marcou seu site WordPress como perigoso — o que fazer
Se o site estava servindo malware ou redirecionando para golpes, é bem provável que o Google tenha marcado o domínio como inseguro.
Para verificar:
- Acesse o Google Search Console com a conta do seu site.
- Vá em “Segurança e ações manuais”.
- Veja se há alertas de “Problemas de segurança”.
Depois da limpeza completa, é necessário:
- Marcar a opção de “Solicitar uma análise”.
- Explicar que o site foi limpo e medidas de segurança foram tomadas.
Esse processo pode levar alguns dias, mas é essencial para restaurar a confiança do Google e dos visitantes.
Passo 9: quando chamar um profissional para limpar site WordPress hackeado
Você até pode seguir alguns passos básicos por conta própria, mas existem situações em que insistir sozinho sai mais caro que contratar uma empresa especializada.
Considere chamar ajuda profissional quando:
- O site é responsável por vendas, agendamentos ou geração de leads.
- Você lida com dados sensíveis de clientes.
- A invasão se repete mesmo depois de “limpar”.
- Você não tem backup recente do site.
- Há perda de posicionamento no Google ou queda brusca de tráfego.
- Você não se sente seguro para mexer em arquivos e banco de dados.
Nesses casos, a Artnaweb pode:
- Identificar a origem da invasão.
- Limpar arquivos e banco de dados com segurança.
- Reforçar a segurança do WordPress.
- Configurar backups automáticos.
- Acompanhar o site de forma preventiva.
Precisa de ajuda urgente com um site WordPress hackeado?
Clique aqui e fale com a Artnaweb agora
Passo 10: como evitar que seu site WordPress seja hackeado novamente
Depois de um ataque, a pergunta não é só “como limpo o site?”, mas “como evito que isso aconteça de novo?”.
Uma rotina de manutenção preventiva normalmente inclui:
- Atualizações frequentes de WordPress, plugins e temas.
- Scanner de segurança recorrente.
- Monitoramento de arquivos alterados.
- Backups automáticos em local seguro.
- Remoção de plugins desnecessários ou abandonados.
- Configuração de regras adicionais de segurança no servidor.
- Políticas de senha forte e, quando possível, autenticação em duas etapas.
Esse tipo de cuidado é justamente o foco dos serviços de manutenção da Artnaweb, que cuidam do lado técnico para que você foque no seu negócio.
FAQ: dúvidas comuns sobre site WordPress hackeado
1. Meu site WordPress foi hackeado, devo tirar ele do ar?
Se o site está redirecionando para páginas maliciosas ou exibindo conteúdo perigoso, o ideal é colocá-lo em modo de manutenção ou tirá-lo temporariamente do ar até que a limpeza seja feita. Isso protege seus visitantes e sua reputação.
2. Perdi meu acesso ao painel do WordPress, ainda dá para recuperar?
Na maioria dos casos, sim. Um profissional pode recuperar o acesso via banco de dados ou pelo painel da hospedagem, criando um novo usuário administrador e restaurando o controle do site.
3. Só atualizar os plugins resolve um site hackeado?
Não. Atualizar plugins e temas é importante, mas não é limpeza de malware. Se o site já foi invadido, é preciso encontrar e remover o código malicioso e fechar as brechas de segurança.
4. Preciso formatar tudo e refazer o site do zero?
Nem sempre. Em muitos casos é possível limpar arquivos, restaurar backups e reforçar a segurança sem precisar reconstruir todo o site. A decisão depende do nível de dano e da qualidade dos backups disponíveis.
5. Como evitar que meu site seja hackeado novamente?
O segredo é manutenção contínua: atualizar WordPress, plugins e temas, monitorar mudanças, ter backup automático e usar boas práticas de segurança. Uma manutenção preventiva profissional reduz muito o risco de novos ataques.
Conclusão: você não precisa enfrentar um site hackeado sozinho
Ter um site WordPress hackeado é assustador, mas não é o fim do mundo. Com as ações certas – registro do problema, backup, troca de senhas, scanner de segurança e manutenção preventiva – é possível recuperar o site, restaurar a confiança dos visitantes e voltar a usar a internet a favor do seu negócio.
Se você não tem tempo ou segurança para lidar com isso sozinho, não arrisque piorar o problema. Conte com uma equipe especializada em WordPress, segurança e manutenção contínua.
A Artnaweb cuida da limpeza, segurança e prevenção do seu site para que você não precise se preocupar com a parte técnica.
Clique aqui e conheça os planos de manutenção da Artnaweb
