Agência Especialista em WordPress e WooCommerce | Criação, Manutenção e Suporte no Brasil

Como remover malware do WordPress de forma definitiva

imagem futurista de um hacker em um laptop acessando um sistema

Para remover malware do WordPress de forma definitiva, você precisa fazer três coisas em ordem: identificar os arquivos infectados, limpar o código malicioso e corrigir a vulnerabilidade que permitiu a invasão. Pular a terceira etapa é o erro mais comum — o malware volta em horas se a porta de entrada continuar aberta.

Por que sites WordPress são invadidos com tanta frequência?

O WordPress alimenta mais de 40% de todos os sites da internet, o que o torna o alvo favorito de ataques automatizados. Bots varrem a web continuamente em busca de versões desatualizadas do core, de plugins e de temas — qualquer uma dessas brechas é porta de entrada suficiente.

O problema não é o WordPress em si. É o abandono. Um site sem manutenção ativa acumula vulnerabilidades conhecidas, documentadas publicamente, que qualquer script consegue explorar em segundos.

Quais são os sinais de que seu WordPress foi hackeado?

Nem sempre a infecção é óbvia. Os sinais mais comuns são:

  • O Google Search Console emite aviso de “site enganoso” ou “conteúdo malicioso”
  • O site redireciona visitantes para páginas de spam ou phishing
  • Aparecem páginas ou usuários administradores que você não criou
  • O host suspende a conta por uso abusivo de recursos
  • O site está lento de forma inexplicável, mesmo sem tráfego alto

Se você identificou qualquer um desses sintomas, não espere: cada hora a mais com o malware ativo piora o impacto no ranking de busca e na reputação do domínio.

Como identificar os arquivos infectados no WordPress?

O primeiro passo é escanear o site com uma ferramenta confiável. As opções mais usadas são o Wordfence Security (plugin gratuito com scanner de malware integrado) e o MalCare, que faz análise sem sobrecarregar o servidor.

O scanner vai apontar arquivos modificados fora do padrão — em geral, código PHP injetado em wp-config.php, em arquivos de tema ou em plugins. Preste atenção especial a arquivos com nomes aleatórios em pastas como /uploads ou /wp-includes, que não deveriam conter PHP.

Se tiver acesso ao servidor, o comando abaixo lista arquivos PHP modificados nos últimos 7 dias:

bash
find /seu-diretorio-wordpress -name “*.php” -mtime -7

Como limpar o malware sem perder o site?

Antes de qualquer coisa: faça um backup do estado atual, mesmo infectado. Você vai precisar dele como referência se algo der errado na limpeza.

O processo de limpeza tem quatro etapas:

  1. Substitua os arquivos core — baixe a versão exata do WordPress que o site usa em wordpress.org/download/releases e substitua todas as pastas exceto /wp-content e wp-config.php.
  2. Reinstale plugins e temas — delete as pastas e reinstale do zero via repositório oficial ou pelo fornecedor. Nunca edite o código infectado linha a linha.
  3. Audite usuários administradores — delete qualquer conta que você não reconhece em Usuários > Todos os usuários.
  4. Altere todas as senhas — painel WordPress, banco de dados (wp-config.php), FTP e e-mail do admin.

Após a limpeza, rode o scanner novamente para confirmar que não sobrou nada.

O que fazer depois da limpeza para o malware não voltar?

Aqui está o ponto que a maioria ignora: a limpeza resolve o sintoma, não a causa.

Na prática, o que vemos nos sites que atendemos na HelpWordPress é que mais de 80% dos casos de reinfecção acontecem em sites que limparam o malware mas não atualizaram os plugins desatualizados nem ativaram nenhuma camada de proteção preventiva. O malware voltou pelo mesmo caminho, muitas vezes em menos de 24 horas.

As ações obrigatórias após a limpeza são:

  • Atualizar WordPress core, todos os plugins e temas para a versão mais recente
  • Ativar um firewall de aplicação (WAF) — o Wordfence gratuito já oferece essa camada
  • Habilitar autenticação em dois fatores para todos os administradores
  • Configurar backups automáticos diários em local externo (não no mesmo servidor)
  • Solicitar a revisão do site ao Google Search Console caso ele tenha sido marcado como perigoso

Vale a pena contratar alguém para remover malware do WordPress?

Depende do nível técnico disponível e do quanto o site representa para o negócio. A limpeza manual exige acesso a FTP ou SSH, familiaridade com a estrutura de arquivos do WordPress e paciência para revisar logs.

Se o site está gerando receita ou representa a presença online principal de um negócio, o risco de fazer errado — deletar arquivo errado, deixar backdoor ativo, não corrigir a vulnerabilidade original — costuma custar mais do que a hora de um especialista.

Um plano de manutenção mensal de WordPress resolve exatamente isso: mantém o site atualizado, monitorado e protegido de forma contínua — antes que o problema apareça, não depois.

Para referência técnica sobre segurança no WordPress, a documentação oficial em wordpress.org/documentation/article/hardening-wordpress cobre as práticas de hardening recomendadas pela própria equipe do core.

Seu site foi infectado ou você quer evitar que isso aconteça?

Malware pode derrubar seu site, roubar dados ou fazer o Google te penalizar. A HelpWordPress remove a ameaça e blinda seu site contra reinfecção.

Preciso remover malware, HelpWordPress!

Fabricio Piloto

É especialista em WordPress com 14 anos de experiência em criação de sites, lojas WooCommerce, segurança, performance e desenvolvimento de plugins. Fundador da HelpWordPress, atende empresas e profissionais em todo o Brasil com foco em resultado e atenção real a cada projeto.

Posts Relacionados