Como identificar e remover malware do site: guia completo
Índice
ToggleO que é malware e como ele chega ao seu site

Malware é uma abreviação de “malicious software”, ou seja, software malicioso. Quando aplicado a sites, o termo descreve qualquer código criado para causar danos, roubar dados, exibir conteúdo indesejado ou tomar o controle de uma página na internet. Existem vários tipos: vírus, worms, trojans, ransomware, scripts de phishing, defacements (pichações digitais), cryptojackers que mineram criptomoedas usando o servidor da vítima e os famosos SEO spams, que injetam links e páginas falsas para manipular resultados de busca.
Para entender como o malware chega até o seu site, é importante saber que a maioria dos ataques segue três caminhos principais. O primeiro é a exploração de vulnerabilidades conhecidas no WordPress, em plugins ou temas desatualizados. Segundo dados do relatório de vulnerabilidades da WPScan de 2024, plugins e temas respondem por mais de 90% das brechas exploradas em instalações WordPress. O segundo caminho é o uso de credenciais fracas ou vazadas, especialmente quando a mesma senha é reutilizada em vários serviços. O terceiro é o chamado supply chain attack, quando um plugin ou tema legítimo é comprometido e passa a distribuir código malicioso sem que o desenvolvedor perceba imediatamente.
Se você usa WordPress, preste atenção especial em três situações: plugins ou temas que não recebem atualizações há mais de um ano, contas de administrador com nomes óbvios como “admin” ou “administrador” e sites hospedados em servidores compartilhados sem isolamento adequado entre contas. Esses três fatores aparecem em quase todos os casos de infecção analisados pelo time de resposta a incidentes da Sucuri nos relatórios anuais de 2023 e 2024.
Sinais de que seu site pode estar infectado

Nem todo malware é silencioso, mas a maioria tenta passar despercebido pelo máximo de tempo possível. Existem, porém, sinais bastante claros que merecem atenção imediata.
Avisos do navegador e mecanismos de busca
Quando você ou qualquer visitante tenta acessar seu site e aparece uma tela vermelha com a mensagem “Este site pode estar comprometido” ou “Deceptive site ahead”, é praticamente certeza de que o Google Safe Browsing já identificou algo errado. O Google Safe Browsing é um serviço gratuito que analisa bilhões de URLs por dia e mantém uma lista de sites perigosos. Segundo dados públicos do Google, o Safe Browsing protege mais de 5 bilhões de dispositivos ao redor do mundo, então a chance de um falso positivo é pequena.
Redirecionamentos estranhos
Se o seu site redireciona o visitante para páginas desconhecidas, cassinos online, farmácias suspeitas ou páginas de phishing, isso é um indicador clássico de SEO spam ou de um script malicioso injetado. Esses redirecionamentos frequentemente acontecem apenas para visitantes vindos de mecanismos de busca (uma técnica chamada de cloaking), por isso quem acessa direto pela URL pode não perceber o problema.
Queda repentina no tráfego orgânico
Uma queda brusca e inexplicável no tráfego vindo do Google costuma acompanhar infecções por malware, especialmente quando há SEO spam. Isso acontece porque o Google remove o site do índice de busca ou reduz drasticamente sua posição para proteger os usuários. O relatório anual de segurança da Sucuri de 2024 mostra que mais de 60% dos sites infectados apresentam queda visível no tráfego orgânico antes de qualquer notificação formal.
Relatórios no Google Search Console
Se você ainda não configurou o Google Search Console para o seu site, faça isso agora. Trata-se de uma ferramenta gratuita do Google que mostra problemas de indexação, segurança e experiência do usuário. Na seção “Segurança e ações manuais”, aparecem notificações de malware, phishing e conteúdo hackeado. Esses alertas costumam chegar antes mesmo do aviso vermelho no navegador, então monitorá-los é uma forma eficiente de agir rápido.
Comportamento anômalo no servidor
Consumo de CPU acima do normal, processos desconhecidos rodando no servidor, e-mails que saem da sua conta sem que você tenha enviado e espaço em disco consumido sem explicação são sinais de que algo está rodando em segundo plano. Muitos cryptojackers e bots de spam usam recursos do servidor para atividades maliciosas, deixando um rastro perceptível no painel de hospedagem.
Como diagnosticar a infecção passo a passo

Antes de partir para a limpeza, é fundamental confirmar o tipo e a extensão do problema. Limpar sem diagnosticar é como tomar remédio sem saber o que está causando a dor: pode até ajudar, mas também pode mascarar sintomas importantes.
Faça uma varredura online primeiro
Ferramentas gratuitas como o Sucuri SiteCheck (sitecheck.sucuri.net), o Google Safe Browsing Transparency Report (transparencyreport.google.com/safe-browsing/search) e o VirusTotal (virustotal.com) permitem colar a URL do seu site e receber um diagnóstico inicial. O Sucuri SiteCheck, por exemplo, identifica mais de 30 tipos diferentes de problemas comuns em sites WordPress, incluindo malware conhecido, defacements, SEO spam e blacklistagem. Vale rodar mais de uma ferramenta para cruzar resultados.
Use um plugin de segurança dentro do WordPress
Se você ainda consegue acessar o painel administrativo (wp-admin), plugins como Wordfence, Sucuri Security, MalCare e iThemes Security oferecem scanners internos que vasculham arquivos do core, plugins e temas em busca de assinaturas conhecidas de malware. O Wordfence tem mais de 4 milhões de instalações ativas segundo o repositório oficial do WordPress, e seu scanner compara os arquivos do seu site com os do repositório oficial para identificar alterações suspeitas.
Verifique arquivos manualmente via FTP ou gerenciador de arquivos
Em muitos casos, o malware se esconde em pastas que não costumam ser acessadas pelo painel administrativo, como wp-content/uploads (onde ficam as imagens), wp-includes e a raiz do site. Conecte-se ao servidor via FTP usando FileZilla ou o gerenciador de arquivos do cPanel, e procure por arquivos com nomes estranhos, como “xyz123.php”, “wp-config.bak.php” ou extensões suspeitas disfarçadas. Arquivos PHP dentro da pasta de uploads são quase sempre indicação de malware.
Analise o banco de dados
Parte do malware injeta conteúdo em posts, páginas e opções do WordPress. Para verificar, use ferramentas como o plugin “Search and Replace” ou rode consultas SQL diretamente no phpMyAdmin. Procure por conteúdo com links para domínios suspeitos, scripts iframes ou códigos JavaScript inline desconhecidos. Um comando útil para identificar usuários administradores desconhecidos é:
SELECT * FROM wp_users WHERE user_login NOT IN ('seu_usuario_admin');
Lembre de substituir “wp_” pelo prefixo real das suas tabelas.
Como remover o malware do site: o processo de limpeza

A limpeza em si segue uma sequência lógica que, se bem executada, resolve a grande maioria dos casos. Se você se sente inseguro em qualquer etapa, considere acionar um profissional, mas o processo a seguir funciona para a maior parte dos cenários.
Faça um backup completo antes de qualquer coisa
Mesmo que o site esteja infectado, ter um backup do estado atual é importante para análise forense posterior. Use o seu plugin de backup favorito (UpdraftPlus, BackupBuddy, BlogVault) ou peça ao suporte da hospedagem uma cópia dos arquivos e do banco de dados. Esse backup não deve voltar ao ar enquanto a limpeza não for confirmada, ele serve apenas como evidência e ponto de recuperação caso algo dê errado.
Atualize tudo: core, plugins e temas
Antes de remover o malware, garanta que o WordPress, todos os plugins e todos os temas estejam na versão mais recente. Muitos malwares exploram brechas que já foram corrigidas, então atualizar muitas vezes elimina a porta de entrada. Segundo dados do WordPress.org, mais de 50% das instalações ainda rodam versões desatualizadas, justamente os alvos favoritos dos atacantes.
Troque todas as senhas e chaves de segurança
Depois de atualizar, troque a senha de todas as contas administrativas do WordPress, do FTP, do cPanel ou painel da hospedagem, e do banco de dados. Gere novas chaves de segurança (security keys) no arquivo wp-config.php, usando o gerador oficial disponível em api.wordpress.org/secret-keys/1.1/salt/. Essas chaves invalidam todos os cookies de login existentes, forçando uma nova autenticação em todos os dispositivos.
Remova arquivos e códigos maliciosos identificados
Aqui entra o trabalho braçal. Com base no diagnóstico, remova ou substitua:, Arquivos do core do WordPress que estejam diferentes do original (você pode baixar uma cópia limpa no wordpress.org/download e sobrescrever, exceto wp-config.php e a pasta wp-content), Plugins comprometidos: o ideal é deletar e reinstalar do zero, em vez de tentar limpar, Temas não usados: se você não usa, delete. Cada tema instalado é mais uma superfície de ataque, Arquivos PHP na pasta de uploads, que não deveriam existir, Código JavaScript desconhecido no header.php, footer.php e functions.php do tema ativo
Restaure um backup limpo, se houver
Se você tem um backup anterior à infecção e sabe exatamente quando ela começou, muitas vezes o caminho mais rápido e seguro é restaurar esse backup e depois atualizar tudo, trocar senhas e corrigir a brecha que permitiu a invasão. Esse caminho costuma ser mais rápido do que tentar limpar manualmente um site muito comprometido.
Solicite a revisão no Google
Depois de limpar tudo, use a opção “Solicitar revisão” no Google Search Console, na seção de problemas de segurança. O Google reanalisa o site e, se confirmar que está limpo, remove os avisos vermelhos e devolve o posicionamento. Esse processo costuma levar entre 24 horas e alguns dias úteis, segundo a própria documentação do Search Console.
Medidas para evitar novas infecções
Limpar é importante, mas prevenir é sempre melhor. Algumas práticas reduzem drasticamente o risco de uma nova infecção.
Mantenha o WordPress, plugins e temas sempre atualizados. Ative atualizações automáticas para plugins e temas menores, e faça um cronograma mensal de atualização manual para os componentes mais críticos. Use apenas plugins e temas de fontes confiáveis, preferencialmente do repositório oficial do WordPress, que passa por uma equipe de revisão antes de publicar.
Instale um firewall de aplicação web (WAF) como Cloudflare (que tem plano gratuito), Sucuri Firewall ou Wordfence Central. Esses serviços ficam entre o visitante e o seu servidor, filtrando requisições maliciosas antes mesmo de chegarem ao WordPress. Segundo a própria Cloudflare, o plano gratuito já bloqueia um volume significativo de tráfego automatizado malicioso.
Faça backups regulares e teste a restauração periodicamente. Um backup que nunca foi testado não é confiável. Use o princípio 3-2-1: três cópias, em dois tipos de mídia diferentes, com uma cópia off-site.
Limite o acesso ao painel administrativo por IP, sempre que possível, e use autenticação em dois fatores (2FA) em todas as contas com privilégios elevados. Plugins como WP 2FA e Two Factor tornam isso simples de configurar.
Por fim, monitore o site de forma contínua. O Sucuri SiteCheck pode ser configurado para enviar alertas automáticos quando detecta mudanças suspeitas. Soluções pagas como Patchstack e Wordfence também fazem monitoramento contínuo de vulnerabilidades em plugins e temas instalados.
Ferramentas úteis: comparativo
| Ferramenta | Tipo | Preço | Indicação principal |
|---|---|---|---|
| Sucuri SiteCheck | Scanner online gratuito | Grátis na varredura, pago para limpeza | Diagnóstico inicial rápido |
| Wordfence | Plugin de segurança | Versão gratuita robusta, premium opcional | Scanner interno e firewall |
| Sucuri Security | Plugin e plataforma | Plugin grátis, plataforma paga | Monitoramento e remoção profissional |
| MalCare | Plugin de limpeza | Pago | Sites comprometidos que precisam de limpeza rápida |
| Cloudflare | WAF e CDN | Plano grátis disponível, planos pagos | Proteção preventiva contra tráfego malicioso |
| Google Search Console | Monitoramento oficial do Google | Grátis | Notificações de segurança e indexação |
| Patchstack | Monitoramento de vulnerabilidades | Pago | Detecção precoce de brechas em plugins |
| VirusTotal | Análise de URL e arquivo | Grátis | Triagem inicial de arquivos suspeitos |
Quando chamar uma equipe especializada
Nem todo caso é simples. Existem situações em que tentar limpar sozinho pode piorar o problema ou apenas mascarar a infecção. Considere chamar ajuda profissional quando:, O site é de uma empresa com obrigação de conformidade com a LGPD (Lei 13.709/2018) e dados de clientes podem ter sido expostos, A infecção é recorrente, ou seja, mesmo após limpar, o malware volta em poucos dias, Você encontra arquivos ofuscados ou com técnicas anti-análise, indicando um ataque mais sofisticado, O servidor foi suspenso pela hospedagem, e o suporte técnico pede um laudo profissional para liberar, Você simplesmente não tem tempo, conhecimento técnico ou acesso ao servidor para conduzir o processo com segurança
Empresas especializadas em segurança WordPress costumam entregar o site limpo em 24 a 72 horas, dependendo da complexidade, e oferecem garantia de retorno do malware por um período após a limpeza. Isso vale especialmente para lojas virtuais e sites que processam pagamentos, onde cada hora fora do ar representa perda direta de receita.
Atenção à LGPD em casos de violação
Quando o ataque pode ter exposto dados pessoais de clientes (CPF, e-mail, endereço, dados de pagamento), o caso deixa de ser apenas técnico e passa a envolver também obrigações legais. A Lei Geral de Proteção de Dados (Lei 13.709/2018) prevê que o controlador (a empresa) comunique à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados sempre que houver risco relevante. O artigo 48 da LGPD detalha os critérios dessa comunicação.
Não existe uma obrigação legal de comunicar todo e qualquer incidente, mas ignorar deliberadamente um vazamento comprovado pode gerar sanções que vão de advertência até multa de 2% do faturamento da empresa, limitada a R$ 50 milhões por infração. Em caso de dúvida sobre a necessidade de notificação, procure um advogado especializado em proteção de dados antes de tomar qualquer decisão.
Perguntas Frequentes (FAQ)
Quanto tempo leva para remover malware de um site WordPress?
Depende da complexidade. Um site com infecção simples, sem ofuscação de código e com backup limpo disponível, pode ser recuperado em poucas horas. Casos mais complexos, com malware persistente, múltiplos pontos de entrada e infecção no banco de dados, podem levar de 2 a 5 dias úteis, especialmente se envolver revisão do Google.
Posso limpar malware sozinho ou preciso de profissional?
Se você tem experiência com FTP, phpMyAdmin e conhece a estrutura básica do WordPress, é possível conduzir a limpeza seguindo um guia bem estruturado. No entanto, erros durante a limpeza podem deixar o site instável ou apenas mascarar a infecção. Se o site é comercial ou tem dados sensíveis, o mais seguro é contratar uma equipe especializada.
O Google tira meu site do ar de forma permanente após malware?
Não. O Google remove temporariamente o site dos resultados de busca e exibe avisos de segurança enquanto o problema não for resolvido. Depois de limpar e solicitar a revisão, o site volta ao ar normalmente, embora a posição original no ranking possa levar semanas para ser totalmente recuperada.
Como saber se meu site tem malware sem acessar o painel?
Use ferramentas de varredura online como Sucuri SiteCheck, Google Safe Browsing Transparency Report e VirusTotal. Você também pode configurar alertas no Google Search Console para receber notificações por e-mail sempre que houver um problema de segurança detectado.
Quais plugins WordPress são mais vulneráveis?
Não existe uma lista fixa, porque a vulnerabilidade muda com o tempo. Em 2024 e 2025, o plugin Really Simple Security (antigo Really Simple SSL) teve uma falha crítica que afetou milhões de sites. Plugins descontinuados, sem atualização há mais de 12 meses, tendem a ser os maiores riscos. O Patchstack e o Wordfence publicam boletins regulares sobre vulnerabilidades.
Conclusão
Identificar e remover malware de um site é um processo que mistura diagnóstico, limpeza e prevenção. Não existe atalho, e cada etapa tem sua importância: pular a verificação de arquivos por acreditar que basta restaurar um backup, por exemplo, deixa a porta de entrada aberta para a próxima infecção.
Se você tem um site WordPress, trate a segurança como parte da rotina, não como algo para pensar apenas quando aparece o aviso vermelho do navegador. Atualizações em dia, senhas fortes com autenticação em dois fatores, backups testados e um firewall ativo reduzem em mais de 90% o risco de passar por esse tipo de problema.
Este conteúdo tem caráter informativo. Decisões técnicas devem ser tomadas com profissional especializado, especialmente em casos que envolvam dados pessoais ou conformidade com a LGPD.
Se você precisa de ajuda para colocar isso em prática, a Baita Site tem uma equipe especializada em sites, e-commerce, sistemas e inteligência artificial, com domínio total de WordPress. Fale com a gente e veja como podemos acelerar o seu projeto.
Referências consultadas, Google Safe Browsing Transparency Report
transparencyreport.google.com/safe-browsing/search, Google Search Console: search.google.com/search-console, Sucuri SiteCheck: sitecheck.sucuri.net, Sucuri Reports anuais de segurança (edições 2023 e 2024): sucuri.net/reports, WPScan Vulnerability Database: wpscan.com, Wordfence Intelligence e blog oficial: wordfence.com/threat-intel, VirusTotal: virustotal.com, WordPress Security Documentation oficial: wordpress.org/documentation/article/hardening-wordpress, Cloudflare Learning Center e planos: cloudflare.com, Patchstack Database: patchstack.com, NIST National Vulnerability Database: nvd.nist.gov, CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil): cert.br, Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709/2018, disponível em: gov.br/anpd, WordPress.org plugin repository e estatísticas públicas: wordpress.org/plugins
Quer ajuda para colocar isso em pratica?
A Baita Site trabalha com sites, e-commerce, sistemas e IA. Quem prefere resolver com acompanhamento, sem ter que virar especialista em tudo, costuma procurar esse tipo de suporte.
Veja tambem
Perguntas Frequentes (FAQ)
1. Quanto tempo leva para remover malware de um site WordPress?
Depende da complexidade. Um site com infecção simples, sem ofuscação de código e com backup limpo disponível, pode ser recuperado em poucas horas. Casos mais complexos, com malware persistente, múltiplos pontos de entrada e infecção no banco de dados, podem levar de 2 a 5 dias úteis, especialmente se envolver revisão do Google.
2. Posso limpar malware sozinho ou preciso de profissional?
Se você tem experiência com FTP, phpMyAdmin e conhece a estrutura básica do WordPress, é possível conduzir a limpeza seguindo um guia bem estruturado. No entanto, erros durante a limpeza podem deixar o site instável ou apenas mascarar a infecção. Se o site é comercial ou tem dados sensíveis, o mais seguro é contratar uma equipe especializada.
3. O Google tira meu site do ar de forma permanente após malware?
Não. O Google remove temporariamente o site dos resultados de busca e exibe avisos de segurança enquanto o problema não for resolvido. Depois de limpar e solicitar a revisão, o site volta ao ar normalmente, embora a posição original no ranking possa levar semanas para ser totalmente recuperada.
4. Como saber se meu site tem malware sem acessar o painel?
Use ferramentas de varredura online como Sucuri SiteCheck, Google Safe Browsing Transparency Report e VirusTotal. Você também pode configurar alertas no Google Search Console para receber notificações por e-mail sempre que houver um problema de segurança detectado.
5. Quais plugins WordPress são mais vulneráveis?
Não existe uma lista fixa, porque a vulnerabilidade muda com o tempo. Em 2024 e 2025, o plugin Really Simple Security (antigo Really Simple SSL) teve uma falha crítica que afetou milhões de sites. Plugins descontinuados, sem atualização há mais de 12 meses, tendem a ser os maiores riscos. Patchstack e Wordfence publicam boletins regulares sobre vulnerabilidades.
