Você abriu o site e viu propagandas estranhas, ou o Google está exibindo um aviso vermelho de "Site Enganoso" antes de deixar o visitante entrar. Pode ser que seu e-mail tenha chegado alertando que o site foi comprometido. Seja como for: respire fundo. A situação é séria, mas tem solução.
Sinais de que seu site foi hackeado
- Propagandas ou links estranhos aparecendo nas páginas (geralmente de cassinos, farmácias ou conteúdo adulto)
- Aviso vermelho do Google ou de outros navegadores bloqueando o acesso
- Site redirecionando visitantes para outros endereços
- Páginas novas e desconhecidas criadas sem a sua autorização
- E-mail do seu provedor de hospedagem informando que scripts maliciosos foram detectados
- Queda abrupta no tráfego orgânico (Google remove sites infectados dos resultados)
Passo a passo: o que fazer agora
1. Coloque o site em manutenção
Antes de qualquer coisa, tire o site do ar ou coloque uma página de manutenção. Isso impede que mais visitantes sejam afetados e que o malware se espalhe ainda mais.
2. Troque TODAS as senhas
Mude imediatamente as senhas de: painel de hospedagem, FTP/SFTP, banco de dados, painel admin do site (WordPress, etc.), e-mail corporativo e qualquer ferramenta conectada ao domínio. Use senhas longas e únicas para cada uma.
3. Faça um backup do estado atual (mesmo infectado)
Parece contraditório, mas ter um backup do site comprometido ajuda na análise forense para entender como a invasão aconteceu.
4. Identifique e remova os arquivos maliciosos
Acesse o servidor via FTP ou painel de arquivos e procure por: arquivos .php recém-modificados em locais incomuns (dentro de pastas de imagens, por exemplo), funções suspeitas como eval(base64_decode(...)), e arquivos com nomes aleatórios ou datas de modificação muito recentes.
5. Restaure um backup limpo (se disponível)
Se você tem um backup de antes da invasão, este é o momento de usá-lo. Após a restauração, aplique todas as atualizações pendentes antes de publicar novamente.
6. Solicite a revisão ao Google
Se o seu site foi sinalizado pelo Google, acesse o Google Search Console, vá em Segurança e Ações Manuais e solicite uma revisão após a limpeza. O processo leva de 24h a alguns dias.
Como evitar que aconteça de novo
- Mantenha WordPress, plugins e temas SEMPRE atualizados — a maioria das invasões explora vulnerabilidades conhecidas em versões antigas
- Remova plugins e temas que você não usa mais — cada plugin inativo é uma porta potencial
- Use autenticação de dois fatores (2FA) no painel admin
- Instale um plugin de segurança (Wordfence ou Solid Security) com firewall ativo
- Nunca use temas ou plugins piratas — são o vetor de infecção mais comum
- Configure backups automáticos diários com retenção de pelo menos 30 dias
- Use o Cloudflare com WAF (Web Application Firewall) para bloquear ataques antes de chegarem ao servidor
Quando vale a pena pedir ajuda profissional
Se você não tem acesso ao servidor, não sabe mexer em arquivos PHP, ou o site já está na blacklist do Google há mais de 48h, o ideal é acionar um profissional. O tempo de recuperação faz diferença: cada hora a mais com o site comprometido significa mais visitantes afetados e mais dano à sua reputação no Google.
