Segurança

O Seu Site WordPress Foi Hackeado? Veja o que Fazer nas Próximas 24 Horas

· Equipa Vuvo · 7 min de leitura

Descobriu que o seu site WordPress está comprometido. Talvez o Google esteja a mostrar avisos de "site perigoso". Talvez o hosting tenha suspendido a conta. Talvez um cliente tenha ligado a perguntar o que são aquelas páginas estranhas. O que fazer agora?

As primeiras 24 horas são críticas. Cada hora que passa sem intervenção aumenta o dano — mais páginas indexadas com spam, mais dados potencialmente expostos, maior impacto no ranking do Google. Este guia diz-lhe exactamente o que fazer, por que ordem.

Como reconhecer que o WordPress foi hackeado

Nem todos os comprometimentos são óbvios. Antes de agir, confirme o diagnóstico:

  • O Google Search Console mostra avisos de "site comprometido" ou "conteúdo suspeito"
  • O browser mostra um aviso vermelho ao tentar aceder ao site
  • Existem páginas novas no site que não criou (frequentemente em japonês, russo ou com links farmacêuticos)
  • O hosting suspendeu a conta por actividade suspeita ou envio de spam
  • O site redireciona visitantes para outros domínios
  • O painel de administração do WordPress não está acessível
  • Os ficheiros do servidor foram modificados recentemente sem razão aparente
  • O site está invulgarmente lento ou a consumir recursos excessivos

Passos de emergência nas primeiras 24 horas

Passo 1 — Coloque o site em manutenção (primeiros 30 minutos)

O primeiro objectivo é parar o dano. Se o site está a servir malware ou a redirecionar visitantes, cada minuto activo agrava o problema. Coloque o site offline ou em modo de manutenção através do painel do hosting — não através do WordPress, que pode estar comprometido.

Passo 2 — Altere todas as passwords imediatamente

Antes de qualquer limpeza, altere: a password do painel de administração do WordPress, a password FTP/SFTP, a password do painel de controlo do hosting e a password da base de dados. Se as mesmas credenciais são usadas noutros serviços, altere-as também. O atacante pode ter acesso activo e qualquer limpeza sem alterar credenciais é temporária.

Passo 3 — Faça um backup do estado actual

Por contraditório que pareça, faça um backup do site comprometido antes de limpar. Este backup pode ser necessário para análise forense posterior, para recuperar conteúdo legítimo que possa ser eliminado na limpeza, e para fins legais em caso de dados de clientes comprometidos.

Passo 4 — Identifique o ponto de entrada

A limpeza sem identificar a causa é ineficaz — o site será reinfectado em horas. Os pontos de entrada mais comuns em WordPress são:

  • Plugin ou tema desactualizado com vulnerabilidade conhecida
  • Plugin de origem desconhecida ou "nulled" (pirateado)
  • Credenciais fracas ou reutilizadas
  • Versão de WordPress desactualizada
  • Permissões incorrectas em ficheiros do servidor

Passo 5 — Limpe os ficheiros infectados

Use o Wordfence Scanner ou o Sucuri SiteCheck para identificar ficheiros comprometidos. Em casos graves, a abordagem mais segura é reinstalar o WordPress core, todos os plugins e todos os temas a partir de fontes oficiais, mantendo apenas a base de dados e os uploads. Qualquer ficheiro de origem desconhecida deve ser eliminado.

Passo 6 — Limpe a base de dados

Os atacantes frequentemente injectam conteúdo directamente na base de dados — links de spam em posts, utilizadores administradores falsos, código malicioso em opções do WordPress. Reveja a tabela wp_users para detectar administradores não autorizados e a tabela wp_options para código suspeito.

Passo 7 — Solicite revisão ao Google

Se o Google estava a mostrar avisos de segurança, após a limpeza submeta um pedido de revisão no Google Search Console (secção "Segurança e acções manuais"). O processo de revisão demora tipicamente 1–3 dias úteis.

Como prevenir futuros ataques

A maioria dos hacks de WordPress é evitável com medidas básicas:

  • Actualizações automáticas — WordPress core, plugins e temas devem estar sempre actualizados; a maioria dos ataques explora vulnerabilidades em versões desactualizadas
  • Autenticação de dois factores — Para todas as contas de administrador
  • Passwords únicas e fortes — Um gestor de passwords elimina a tentação de reutilizar credenciais
  • Hosting com firewall específica para WordPress — Bloqueia tentativas de acesso antes de chegarem ao WordPress
  • Backups offsite diários — Para poder restaurar um estado limpo em minutos, não em dias
  • Eliminar plugins não utilizados — Cada plugin inactivo é uma superfície de ataque potencial

Um WordPress bem mantido e num hosting adequado é significativamente mais difícil de comprometer. A maioria dos ataques é oportunista — os bots procuram alvos fáceis, não alvos específicos.

O seu site foi hackeado? Suporte urgente disponível agora.

A Vuvo presta suporte de emergência a sites WordPress comprometidos: diagnóstico, limpeza, recuperação e protecção contra reinfecção. Resposta em menos de 2 horas, disponível 24/7.

Pedir suporte urgente