Como identificar malware no WordPress: guia 2026

Identifique malware no WordPress: sinais de infecção, arquivos suspeitos, comandos SSH e scanners. Guia técnico de diagnóstico da Pixelize.

Para identificar malware no WordPress, procure sinais como redirecionamentos suspeitos, avisos do navegador, usuários admin que você não criou e arquivos PHP modificados. Confirme com wp core verify-checksums e um scanner como o Wordfence antes de remover qualquer coisa.

Um site infectado raramente avisa com clareza. Ele redireciona um visitante aqui, insere um link de farmácia ali, some do Google numa terça-feira. Quando o dono percebe, o estrago no SEO e na reputação já começou. Este guia mostra como confirmar a infecção com seus próprios olhos — não só instalar um plugin e torcer.

O que é malware no WordPress?

Malware no WordPress é qualquer código malicioso injetado no seu site — em arquivos PHP, no banco de dados ou no .htaccess — para redirecionar visitantes, roubar dados, enviar spam ou manter acesso oculto ao servidor. Costuma entrar por plugins e temas desatualizados, senhas fracas ou hospedagem vulnerável.

Ao contrário de um vírus de desktop, o malware de WordPress vive no seu servidor e afeta quem visita o site. Os tipos mais comuns são backdoors (acesso oculto do atacante), redirects maliciosos, SEO spam (o clássico pharma ou japanese hack) e scripts de phishing.

8 sinais de que seu WordPress está infectado

Nenhum sinal isolado prova infecção. Vários juntos, sim. Verifique estes:

1. Redirecionamentos para sites suspeitos

Visitantes caem em páginas de apostas, adulto ou farmácia — muitas vezes só no celular ou só quando chegam pelo Google, para escapar do seu olhar. A origem quase sempre está no .htaccess, no wp-config.php ou num script injetado no tema.

2. Aviso do navegador ou blacklist do Google

Mensagens como “Este site pode ser perigoso” no Chrome indicam que o Google já marcou o domínio. Confirme no Search Console → Segurança e ações manuais.

3. Usuário admin fantasma

Um administrador que você não criou é sinal clássico de backdoor ativo. No painel, ordene usuários por data de registro. No banco, a query revela contas que o painel às vezes esconde:

SELECT ID, user_login, user_email, user_registered
FROM wp_users
ORDER BY user_registered DESC;

Um admin com e-mail genérico e data igual à do incidente confirma o comprometimento.

4. Queda súbita de ranking e spam no SERP

Se o Google mostra títulos em japonês ou termos de farmácia nas suas páginas (o japanese/pharma hack), há SEO spam injetado. Busque site:seudominio.com.br e veja o que o Google indexou de verdade.

5. Lentidão, erro 500 ou pico de tráfego estranho

Malware consome CPU enviando spam ou minerando cripto. Erro 500 sem causa aparente e picos de tráfego para arquivos PHP obscuros são bandeiras vermelhas.

6. Arquivos e pop-ups que você não adicionou

Pop-ups, banners e arquivos novos na raiz ou em wp-content/uploads (onde PHP nunca deveria existir) apontam para injeção.

7. Falha de login inexplicável

Não conseguir entrar no wp-admin pode significar que o atacante trocou credenciais ou corrompeu a tabela de usuários.

8. E-mails do host ou queda de entregabilidade

Aviso de “conta suspensa por spam” ou seus e-mails caindo em spam indicam que o servidor virou origem de envio malicioso.

Como confirmar a infecção com seus próprios olhos

Aqui está o que a maioria dos guias omite. Antes de qualquer plugin, um acesso SSH (ou o terminal do painel de hospedagem) confirma a infecção em minutos.

Faça um backup completo antes de rodar qualquer comando.

Passo 1 — Verifique a integridade do core

O WP-CLI compara seus arquivos do núcleo com os oficiais do WordPress.org e lista o que foi alterado:

wp core verify-checksums

Qualquer arquivo do core reportado como modificado é suspeito — o núcleo não deveria mudar.

Passo 2 — Cace arquivos PHP modificados recentemente

Malware é código novo. Liste arquivos PHP alterados nos últimos 7 dias:

find wp-content -name "*.php" -mtime -7 -ls

Cruze com a data do incidente. Arquivos PHP dentro de uploads/ são quase sempre maliciosos.

Passo 3 — Procure código ofuscado

Atacantes escondem o payload em funções de ofuscação. Um grep recursivo revela a maioria:

grep -rEn "eval\(|base64_decode|gzinflate|str_rot13" wp-content/ wp-includes/

eval(base64_decode(...)) é a assinatura mais comum de backdoor. Nem todo resultado é malware, mas cada ocorrência merece leitura manual.

Passo 4 — Inspecione .htaccess e wp-config.php

Abra os dois. No .htaccess, procure blocos de RewriteRule que mandam tráfego para domínios estranhos. No wp-config.php, qualquer eval, base64 ou include de arquivo desconhecido é injeção.

Passo 5 — Audite os usuários no banco

Rode o SELECT do sinal 3 e remova qualquer conta não reconhecida — mas só depois de confirmar que é fantasma.

Scanners: server-side vs externo (e o limite de cada)

Ferramentas automatizam o que você acabou de fazer à mão. Entenda a diferença antes de confiar cegamente:

  • Scanners server-side (Wordfence, MalCare) rodam no servidor, leem o conteúdo real dos arquivos, comparam com versões íntegras e detectam injeção no banco. São os mais completos.
  • Scanners externos (Sucuri SiteCheck, VirusTotal) veem só o que um visitante vê — a página pública. Rápidos e sem instalação, mas não enxergam arquivos do servidor nem backdoors inativos.
  • Google Search Console confirma blacklist e páginas comprometidas do ponto de vista do Google — grátis e essencial.

Regra prática: use um externo para triagem rápida e um server-side para diagnóstico real. Nenhum é 100%.

O ponto cego de 2026: malware gerado por IA

Uma mudança recente alterou o jogo. Atacantes passaram a usar modelos de linguagem (LLMs) para gerar malware que imita o padrão de código de plugins legítimos. Scanners baseados em assinatura tendem a marcar esse código como limpo, porque ele se parece com código de plugin de verdade.

O que isso muda na prática:

  • Não confie só na assinatura. Um scan “limpo” não prova que o site está limpo.
  • Priorize integridade e comportamento. verify-checksums, arquivos modificados por data e tráfego anômalo pegam o que a assinatura não pega.
  • Combine sinais. A verificação manual acima fica ainda mais valiosa quando o malware sabe se disfarçar.

Encontrei malware. E agora?

Se confirmou a infecção, siga nesta ordem — pressa aqui piora o estrago:

  1. Backup completo de arquivos e banco (sim, mesmo infectado — é sua evidência e sua rede de segurança).
  2. Isole o site — modo de manutenção ou fora do ar para conter o dano ao SEO e aos visitantes.
  3. Troque todas as senhas — admin, FTP/SSH, banco e painel de hospedagem.
  4. Remova o payload — restaure core, plugins e temas de fontes oficiais e limpe as injeções encontradas.
  5. Peça reavaliação ao Google no Search Console após limpar.
  6. Feche a porta de entrada — atualize tudo, revise permissões e endureça o servidor.

Remoção mal feita deixa backdoor para trás, e o site reinfecta em dias. Se o diagnóstico apontou backdoor, SEO spam persistente ou você não tem acesso SSH confortável, vale trazer um especialista — é o que a Pixelize faz no serviço de WordPress Specialist e na manutenção contínua. Para blindar antes de acontecer, veja também segurança essencial em WordPress. E se o sintoma for erro e não invasão, o guia de erros comuns do WordPress cobre o diagnóstico.

Perguntas frequentes

Como saber se meu site WordPress está infectado?

Procure redirecionamentos suspeitos, avisos do navegador, usuários admin que você não criou, queda súbita de ranking e arquivos PHP modificados. Confirme com o comando wp core verify-checksums e um scanner server-side como o Wordfence antes de remover qualquer coisa.

Qual o melhor scanner de malware para WordPress?

Para diagnóstico real, use um scanner server-side como Wordfence ou MalCare, que leem os arquivos do servidor e o banco de dados. Para uma triagem rápida sem instalar nada, o Sucuri SiteCheck verifica a página pública. Combine os dois — nenhum pega tudo sozinho.

Como remover o vírus de redirecionamento do WordPress?

Localize a injeção no .htaccess, no wp-config.php ou nos arquivos do tema usando grep por base64_decode e eval. Remova o código, restaure os arquivos oficiais do WordPress, troque todas as senhas e atualize tudo. Se o redirect voltar em dias, há um backdoor ativo que precisa ser eliminado.

O que é um admin fantasma no WordPress?

É uma conta de administrador criada pelo atacante para manter acesso ao site mesmo depois de uma limpeza parcial. Detecte rodando SELECT ID, user_login, user_email, user_registered FROM wp_users ORDER BY user_registered DESC — contas com e-mail genérico e data igual à do incidente confirmam o comprometimento.

Plugin de segurança é suficiente para detectar malware?

Não sozinho. Em 2026, atacantes usam IA para gerar malware que imita código de plugin legítimo e passa por scanners baseados em assinatura. Combine o scanner com verificação de integridade (verify-checksums), análise de arquivos modificados por data e monitoramento de tráfego anômalo.

Serviços relacionados

Continue com a Pixelize

Do diagnóstico à execução — a Pixelize resolve o que este guia só mostra o caminho.