Para remover malware do WordPress de forma definitiva, você precisa fazer três coisas em ordem: identificar os arquivos infectados, limpar o código malicioso e corrigir a vulnerabilidade que permitiu a invasão. Pular a terceira etapa é o erro mais comum — o malware volta em horas se a porta de entrada continuar aberta.
Por que sites WordPress são invadidos com tanta frequência?
O WordPress alimenta mais de 40% de todos os sites da internet, o que o torna o alvo favorito de ataques automatizados. Bots varrem a web continuamente em busca de versões desatualizadas do core, de plugins e de temas — qualquer uma dessas brechas é porta de entrada suficiente.
O problema não é o WordPress em si. É o abandono. Um site sem manutenção ativa acumula vulnerabilidades conhecidas, documentadas publicamente, que qualquer script consegue explorar em segundos.
Quais são os sinais de que seu WordPress foi hackeado?
Nem sempre a infecção é óbvia. Os sinais mais comuns são:
- O Google Search Console emite aviso de “site enganoso” ou “conteúdo malicioso”
- O site redireciona visitantes para páginas de spam ou phishing
- Aparecem páginas ou usuários administradores que você não criou
- O host suspende a conta por uso abusivo de recursos
- O site está lento de forma inexplicável, mesmo sem tráfego alto
Se você identificou qualquer um desses sintomas, não espere: cada hora a mais com o malware ativo piora o impacto no ranking de busca e na reputação do domínio.
Como identificar os arquivos infectados no WordPress?
O primeiro passo é escanear o site com uma ferramenta confiável. As opções mais usadas são o Wordfence Security (plugin gratuito com scanner de malware integrado) e o MalCare, que faz análise sem sobrecarregar o servidor.
O scanner vai apontar arquivos modificados fora do padrão — em geral, código PHP injetado em wp-config.php, em arquivos de tema ou em plugins. Preste atenção especial a arquivos com nomes aleatórios em pastas como /uploads ou /wp-includes, que não deveriam conter PHP.
Se tiver acesso ao servidor, o comando abaixo lista arquivos PHP modificados nos últimos 7 dias:
bash
find /seu-diretorio-wordpress -name “*.php” -mtime -7
Como limpar o malware sem perder o site?
Antes de qualquer coisa: faça um backup do estado atual, mesmo infectado. Você vai precisar dele como referência se algo der errado na limpeza.
O processo de limpeza tem quatro etapas:
- Substitua os arquivos core — baixe a versão exata do WordPress que o site usa em wordpress.org/download/releases e substitua todas as pastas exceto
/wp-contentewp-config.php. - Reinstale plugins e temas — delete as pastas e reinstale do zero via repositório oficial ou pelo fornecedor. Nunca edite o código infectado linha a linha.
- Audite usuários administradores — delete qualquer conta que você não reconhece em
Usuários > Todos os usuários. - Altere todas as senhas — painel WordPress, banco de dados (
wp-config.php), FTP e e-mail do admin.
Após a limpeza, rode o scanner novamente para confirmar que não sobrou nada.
O que fazer depois da limpeza para o malware não voltar?
Aqui está o ponto que a maioria ignora: a limpeza resolve o sintoma, não a causa.
Na prática, o que vemos nos sites que atendemos na HelpWordPress é que mais de 80% dos casos de reinfecção acontecem em sites que limparam o malware mas não atualizaram os plugins desatualizados nem ativaram nenhuma camada de proteção preventiva. O malware voltou pelo mesmo caminho, muitas vezes em menos de 24 horas.
As ações obrigatórias após a limpeza são:
- Atualizar WordPress core, todos os plugins e temas para a versão mais recente
- Ativar um firewall de aplicação (WAF) — o Wordfence gratuito já oferece essa camada
- Habilitar autenticação em dois fatores para todos os administradores
- Configurar backups automáticos diários em local externo (não no mesmo servidor)
- Solicitar a revisão do site ao Google Search Console caso ele tenha sido marcado como perigoso
Vale a pena contratar alguém para remover malware do WordPress?
Depende do nível técnico disponível e do quanto o site representa para o negócio. A limpeza manual exige acesso a FTP ou SSH, familiaridade com a estrutura de arquivos do WordPress e paciência para revisar logs.
Se o site está gerando receita ou representa a presença online principal de um negócio, o risco de fazer errado — deletar arquivo errado, deixar backdoor ativo, não corrigir a vulnerabilidade original — costuma custar mais do que a hora de um especialista.
Um plano de manutenção mensal de WordPress resolve exatamente isso: mantém o site atualizado, monitorado e protegido de forma contínua — antes que o problema apareça, não depois.
Para referência técnica sobre segurança no WordPress, a documentação oficial em wordpress.org/documentation/article/hardening-wordpress cobre as práticas de hardening recomendadas pela própria equipe do core.


