Quem vende serviços de limpeza tem interesse em dizer que o DIY é impossível; os tutoriais no YouTube têm interesse em dizer que é fácil. A verdade está no meio e depende de três fatores: o que o seu site vale, que backups tem, e quanto tempo técnico consegue dedicar. Este guia dá-lhe os critérios para decidir — incluindo os cenários em que nós próprios diríamos "faça você mesmo".
Quando limpar sozinho é uma opção razoável
Tem um backup limpo confirmado, anterior à infeção. Este é o cenário ideal: restaura o backup, atualiza imediatamente tudo (core, tema, plugins), muda todas as passwords e o problema fica resolvido em uma ou duas horas. A dificuldade está no "confirmado": precisa de saber a data da infeção com segurança, senão arrisca-se a restaurar o malware junto com o site. Infeções descobertas hoje têm frequentemente semanas.
O site é simples e não gera receita direta. Um blog pessoal ou um site de portefólio pode estar offline uns dias sem prejuízo. Pode aprender com calma, experimentar, e o pior cenário é reinstalar do zero.
Tem conforto técnico real. Sabe usar SFTP, distinguir um ficheiro core de um ficheiro de plugin, correr pesquisas na base de dados e ler PHP suficiente para reconhecer código ofuscado. Sem isto, vai apagar ficheiros às cegas — e ou parte o site, ou deixa a infeção.
Quando o DIY sai caro
O negócio depende do site. Loja online, site que gera contactos comerciais, ou marca com reputação a proteger. Aqui o custo relevante não é o da limpeza — é o custo por dia do problema. Uma limpeza amadora que demora uma semana e falha custa mais em vendas perdidas do que dez limpezas profissionais. As contas concretas estão em quanto custa limpar um site hackeado.
O Google já marcou o site. O aviso "site enganador" precisa de um pedido de revisão com a limpeza completa feita. Um pedido de revisão rejeitado (porque a limpeza foi incompleta) atrasa o processo e prolonga o aviso vermelho. O processo está descrito em como remover o aviso de site perigoso do Google.
Já limpou uma vez e a infeção voltou. Reinfeção significa backdoor não removido ou porta de entrada aberta. À segunda ronda, a probabilidade de o DIY resolver o que falhou à primeira é baixa — e cada ciclo agrava o dano no Google.
Há mais sites na mesma conta de alojamento. A contaminação cruzada entre sites vizinhos é a regra. Limpar um site e deixar o vizinho infetado é garantia de reinfeção em dias.
Os 4 erros que vemos em limpezas caseiras
1. Confiar num plugin de segurança para limpar. Wordfence, Sucuri e afins são bons a detetar e prevenir. A "limpeza automática" remove assinaturas conhecidas — não encontra backdoors personalizados, utilizadores maliciosos nem código na base de dados. Fica com um site que "passa no scan" mas continua comprometido.
2. Apagar sintomas sem encontrar a porta de entrada. Se não souber como entraram (plugin vulnerável? password roubada? site vizinho?), não fechou nada. É a diferença entre curar e adiar.
3. Restaurar um backup sem confirmar que está limpo. Restaura o site de há duas semanas... e a infeção tem três. Resultado: perdeu duas semanas de conteúdo e continua infetado.
4. Não mudar todas as credenciais. Limpar os ficheiros e manter a password FTP comprometida é convidar o atacante a voltar pela porta da frente. WordPress, FTP, painel, base de dados — tudo, sempre.
Critério de decisão em 30 segundos
Responda a três perguntas: (1) O site parado ou marcado pelo Google custa-me dinheiro por dia? (2) Tenho um backup limpo com data anterior à infeção, confirmada? (3) Sei trabalhar com SFTP e base de dados?
Se respondeu "não" à pergunta 1 e "sim" às outras duas — experimente o DIY, seguindo um processo estruturado como o do nosso guia site hackeado: o que fazer nas próximas 24 horas. Em qualquer outro cenário, o profissional paga-se a si próprio. E em ambos os casos, a lição de fundo é a mesma: quase todas as infeções que limpamos teriam sido evitadas por manutenção mensal com atualizações e monitorização.
Prefere entregar a quem faz isto todas as semanas?
Limpeza completa com garantia: análise de ficheiros e base de dados, remoção de backdoors, identificação da porta de entrada e pedido de revisão ao Google. Orçamento fechado antes de começar — se preferir tentar primeiro sozinho, o diagnóstico ajuda-o a perceber a gravidade.
Pedir diagnóstico