A maioria das infeções em sites WordPress passa despercebida durante semanas. O malware moderno é desenhado para não ser visto pelo dono do site — mostra conteúdo malicioso apenas aos visitantes vindos do Google, envia spam de madrugada ou instala backdoors silenciosos. Quanto mais tarde descobrir, maior o dano: perda de posições no Google, clientes desconfiados e, no limite, o domínio em blacklists.
Este guia lista os 12 sinais mais fiáveis de infeção que encontramos em sites de PMEs portuguesas, do mais óbvio ao mais subtil, e explica como confirmar cada um.
Sinais visíveis para qualquer pessoa
1. O Google mostra um aviso vermelho ("Site enganador" ou "Este site pode prejudicar o seu computador"). É o sinal mais grave: significa que o Google Safe Browsing já detetou conteúdo malicioso e está a avisar os seus visitantes. Além da limpeza, vai precisar de um pedido de revisão para sair da blacklist do Google.
2. O site redireciona para páginas estranhas. Farmácias online, apostas, páginas de "parabéns, ganhou um prémio". Muitas vezes o redirecionamento só acontece a quem chega via Google ou em telemóveis — por isso o dono do site, que escreve o endereço diretamente, nunca o vê. Temos um guia dedicado a este sintoma: site WordPress a redirecionar para outro site.
3. Aparecem pop-ups ou publicidade que não colocou. Injeção de scripts de adware é uma das monetizações mais comuns de sites comprometidos.
4. Páginas novas que não criou. Procure no Google por site:oseudominio.pt. Se aparecerem centenas de páginas com títulos em japonês, produtos de marca contrafeita ou texto sem sentido, o site foi vítima de SEO spam — um dos hacks mais frequentes em WordPress.
Sinais no Google e no email
5. Queda brusca de visitas orgânicas. Se o tráfego do Google caiu 50–90% numa semana sem alteração ao site, o Google pode ter penalizado ou desindexado páginas infetadas.
6. Resultados do seu site no Google com títulos e descrições estranhos. O malware de "cloaking" mostra conteúdo normal aos visitantes e conteúdo spam ao Googlebot. O que aparece nos resultados de pesquisa é o que o Google viu — não o que o navegador mostra.
7. Os emails da empresa começam a ir para spam. Sites comprometidos são usados para enviar campanhas de spam, e o IP do servidor acaba em blacklists de email. Se o site e o email partilham servidor, a infeção de um contamina a reputação do outro. Veja também o que fazer quando o site envia spam.
8. Alertas do browser dos visitantes. Clientes a dizer que o antivírus bloqueou o site, ou que o Chrome mostrou um aviso, são frequentemente o primeiro alerta real — leve-os a sério, mesmo que no seu computador esteja tudo normal.
Sinais técnicos (para quem tem acesso ao servidor)
9. Ficheiros modificados recentemente sem explicação. Ficheiros core do WordPress (wp-config.php, index.php, .htaccess) com datas de modificação recentes que não correspondem a nenhuma atualização são um forte indicador. O mesmo para ficheiros PHP dentro de wp-content/uploads/ — essa pasta só deve conter media.
10. Utilizadores administradores que não criou. Verifique em Utilizadores → Administradores. Contas com nomes genéricos (admin2, wp-support, root) criadas sem o seu conhecimento significam que alguém teve acesso total.
11. Consumo anormal de recursos. CPU do servidor constantemente alta, site lento sem aumento de visitas, ou o alojamento a avisar que excedeu limites. Malware de mineração de criptomoedas e scripts de envio de spam consomem recursos de forma contínua. (Atenção: lentidão tem muitas outras causas — veja as 10 causas de um WordPress lento antes de concluir que é malware.)
12. Tarefas cron desconhecidas. O malware persiste através de tarefas agendadas que reinstalam os ficheiros maliciosos depois de cada limpeza. Se limpou o site e a infeção "voltou sozinha", é quase de certeza isto — a limpeza não removeu a porta de entrada.
Como confirmar a infeção em 10 minutos
Três verificações gratuitas que não exigem conhecimentos técnicos:
1. Google Safe Browsing: pesquise "Google transparency report site status" e insira o seu domínio — mostra se o Google classificou o site como perigoso.
2. Scan externo: ferramentas como Sucuri SiteCheck ou VirusTotal analisam o site por fora e detetam malware visível, scripts suspeitos e presença em blacklists.
3. Search Console: se tem o Google Search Console configurado, verifique a secção "Problemas de segurança". É onde o Google comunica formalmente infeções detetadas.
Importante: um scan externo limpo não garante que o site está limpo. Backdoors, utilizadores maliciosos e código dormente não são visíveis por fora — só uma análise aos ficheiros e à base de dados os encontra.
Confirmou a infeção? O que fazer (e o que não fazer)
Faça: guarde um backup do estado atual (mesmo infetado — preserva evidência), mude todas as passwords (WordPress, alojamento, FTP, base de dados) e restrinja o acesso ao site se possível.
Não faça: apagar ficheiros suspeitos à mão sem saber o que são (pode partir o site e destruir a evidência de como entraram), restaurar um backup antigo sem saber a data da infeção (arrisca-se a restaurar o malware), ou assumir que instalar um plugin de segurança depois da infeção resolve o problema (plugins de segurança previnem — raramente limpam infeções completas).
Uma limpeza profissional inclui a remoção do malware, a identificação da porta de entrada, o fecho dessa porta e o pedido de revisão ao Google. Sem os quatro passos, a reinfeção é questão de dias. O nosso guia limpar malware sozinho vs contratar um profissional ajuda a decidir o caminho; e se quiser saber valores antes de decidir, veja quanto custa limpar um site WordPress hackeado.
Suspeita que o seu site está infetado?
A Vuvo faz limpeza completa de malware em sites WordPress: análise de ficheiros e base de dados, remoção de backdoors, identificação da porta de entrada e pedido de revisão ao Google. Diagnóstico rápido e orçamento fechado antes de qualquer intervenção.
Limpeza de malware WordPress