O site WordPress está a enviar spam: como descobrir, limpar e recuperar a reputação

O problema costuma aparecer por uma destas vias: o alojamento suspende o envio de email da conta "por atividade suspeita", os emails da empresa começam a cair na pasta de spam dos clientes, ou chegam centenas de devoluções (bounces) de mensagens que nunca escreveu. A causa mais provável: o site WordPress foi comprometido e está a ser usado como máquina de spam — a enviar milhares de emails por dia em nome do seu domínio.

Porque é que os atacantes querem o seu site para spam

Enviar spam exige duas coisas que os spammers não têm: servidores que ainda não estejam em blacklists e domínios com reputação limpa. Um site WordPress de uma PME portuguesa tem ambas. Um único formulário vulnerável ou plugin desatualizado converte o seu servidor num "relay" gratuito — até a reputação do seu domínio e IP estar queimada, altura em que passam ao próximo.

O dano fica consigo: mesmo depois da limpeza, o seu domínio e o IP do servidor podem continuar semanas em blacklists, com os emails legítimos da empresa a serem rejeitados ou enviados para spam.

Como confirmar que o spam vem do site

1. Verifique as blacklists. Use o MXToolbox (pesquisa "blacklist check") com o seu domínio e o IP do servidor. Presença em Spamhaus, SpamCop ou Barracuda confirma o envio abusivo.

2. Consulte a fila de email do servidor. No cPanel/Plesk, a fila de correio mostra o que está a ser enviado neste momento. Centenas de mensagens pendentes para destinatários desconhecidos = confirmação direta. Se tem acesso SSH, exim -bp ou postqueue -p mostram o mesmo.

3. Procure a origem no site. Os suspeitos habituais: ficheiros PHP recentes em wp-content/uploads/ (scripts de envio em massa), formulários de contacto sem proteção a serem abusados, e código malicioso a usar a função wp_mail. Os logs do servidor mostram que script está a ser chamado repetidamente.

4. Distinga de spoofing. Se recebe bounces mas a fila de email do servidor está vazia, pode ser apenas spoofing — spammers a forjar o seu endereço como remetente noutros servidores. Nesse caso o problema não é infeção, é autenticação de email em falta: veja o nosso guia de SPF, DKIM e DMARC.

Resolver: limpar o site e recuperar a reputação

Passo 1 — Parar a hemorragia. Suspenda o envio de email da conta (o alojamento pode já o ter feito) e remova o script de envio identificado nos logs. Cada hora de envio agrava as blacklists.

Passo 2 — Limpeza completa. O script de spam é um sintoma; a infeção é maior. Backdoors, utilizadores falsos e a porta de entrada têm de ser tratados — o processo é o descrito em site hackeado: o que fazer nas próximas 24 horas. Se saltar este passo, o script de spam volta em dias e as blacklists tornam-se permanentes.

Passo 3 — Pedir remoção das blacklists. Cada blacklist tem o seu processo de "delisting" (a maioria é gratuita e automática após uns dias sem spam; Spamhaus e Barracuda têm formulários próprios). Importante: só peça remoção depois da limpeza confirmada — um pedido seguido de reincidência resulta em bloqueios mais longos.

Passo 4 — Blindar o envio de email do domínio. Configure SPF, DKIM e DMARC corretamente; limite a função de email do site ao estritamente necessário; e proteja os formulários com validação e rate limiting. Se o email da empresa é crítico, considere separá-lo do alojamento do site — um site comprometido deixa de poder queimar a reputação do email. É exatamente o problema que o nosso guia como evitar spam e blacklists no servidor de email desenvolve.

Quanto tempo até os emails voltarem ao normal?

Com a limpeza feita e os pedidos de delisting submetidos: as blacklists automáticas limpam em 24–72 horas; as principais (Spamhaus) em 1–7 dias após o pedido; e a reputação junto do Gmail/Outlook recupera gradualmente ao longo de 2–4 semanas de envio limpo e autenticado. Durante esse período, emails importantes da empresa devem ser enviados com autenticação impecável — é o que os filtros vão usar para reavaliar o domínio.

Emails bloqueados ou servidor em blacklist?

A Vuvo trata do ciclo completo: identificar e remover o script de spam, limpar a infeção, pedir a remoção das blacklists e blindar a autenticação de email do domínio. Recupere a capacidade de comunicar com os seus clientes.

Resolver o problema de spam