▶ Resposta rápida
cPanel → Imunify Security → aba Files → Start Scan. Após terminar, clique em Cleanup nos arquivos infectados. Em sites WP, instale também o plugin "Imunify Security" no WordPress.
◷ Leitura: 6 min↻ Atualizado em 04/05/2026✓ Por Equipe ZenHost
⚖
Responsabilidade Compartilhada: a ZenHost protege a infraestrutura (servidor, firewall, antimalware, backup automático). Manter senhas, atualizar WordPress/plugins e backup próprio de dados críticos é responsabilidade do cliente. Saiba mais →
O Imunify360 é o sistema de proteção antimalware mais usado em hospedagens cPanel no mundo. Na ZenHost ele vem incluso em todos os planos — você não paga nada extra.
▶ O que o Imunify360 faz por você 24/7 (em background)
| Camada | O que protege |
|---|---|
| Firewall WAF | Bloqueia ataques SQL injection, XSS, RCE, etc. antes de chegar no seu site |
| Anti brute-force | Bloqueia IP após X tentativas de senha errada (cPanel, FTP, WP admin) |
| RBL Defense | Bloqueia IPs em listas globais de spam/atacantes (mais de 1bi de IPs ruins) |
| Malware Scanner | Scan automático diário em todos os arquivos da conta |
| Proactive Defense | Bloqueia execução de scripts maliciosos em tempo real (WP/Joomla/etc.) |
| Reputation Management | Avisa se seu domínio caiu em blacklist (Google Safe Browsing, etc.) |
ⓘ Dica: Tudo isso roda sem você precisar configurar nada. As funcionalidades a seguir são para quando você quer fazer um scan manual ou limpar algo detectado.
▶ Forma 1 — Pelo cPanel (recomendado, todos os clientes)
- Acesse o cPanel (veja como).
- Na busca digite "Imunify" ou role até SEGURANÇA → Imunify Security.
- Abre uma interface com 4 abas:
- Overview — resumo geral do status
- Files — lista de arquivos suspeitos/infectados
- History — histórico de scans e ações
- Email — proteção de e-mail (DMARC/SPF/DKIM)
▶ Como rodar um scan on-demand (manual)
- Vá na aba Files.
- No canto superior direito, clique em Start Scan.
- Confirme. O scan roda em background (geralmente 2-15 min dependendo do tamanho do site).
- Quando terminar, a página atualiza com a lista de ameaças encontradas.
▶ Como interpretar os resultados
| Status | O que significa | Ação |
|---|---|---|
| Clean | Nenhuma ameaça encontrada | Nada a fazer ✓ |
| Suspicious | Padrão suspeito mas não confirmado malware | Revisar manualmente ou aguardar análise |
| Infected | Malware confirmado | Cleanup imediato |
▶ Como limpar arquivos infectados (Cleanup)
- Na lista de arquivos, marque a checkbox dos que você quer limpar (ou use Select All).
- Clique no botão Cleanup no canto superior.
- Confirme. O Imunify faz uma das ações:
- Cleaning: remove código malicioso preservando o arquivo original
- Quarantine: move o arquivo pra área isolada (você pode restaurar)
- Delete: deleta arquivo se for 100% malicioso (ex.: shell PHP)
- Aguarde processamento (1-3 min).
- Volte na aba Files — a contagem deve cair pra 0.
⚠ Atenção: Faça backup ANTES de Cleanup via JetBackup5 (veja como). É raro mas possível que cleanup quebre algum tema/plugin obscuro. Com backup, você reverte em 2 cliques.
▶ Forma 2 — Pelo WordPress (sites WP)
Se seu site é WordPress, instale também o plugin oficial Imunify Security dentro do WP:
- WP Admin → Plugins → Adicionar Novo.
- Busque por "Imunify Security" (autor: Imunify360).
- Instale e ative.
- Aparece no menu lateral o item Imunify.
- Vai mostrar o mesmo dashboard, mas agora dentro do WP, com foco em arquivos do tema/plugins.
ⓘ Dica: Vantagem do plugin WP: você pode escanear e limpar sem precisar acessar o cPanel. Útil pra agências que dão acesso só ao WP pro cliente.
▶ Falsos positivos — quando ignorar
Às vezes o Imunify marca como suspeito um arquivo legítimo (plugin custom, framework antigo, etc.). Pra ignorar:
- Na aba Files, encontre o arquivo.
- Clique no menu ⋮ (3 pontinhos) à direita.
- Selecione Add to Ignore List.
- O arquivo não será mais sinalizado em scans futuros.
⚠ Atenção: Use a ignore list com cautela. Se você ignora um arquivo malicioso por engano, fica vulnerável. Em dúvida, abra chamado pra a gente analisar antes de ignorar.
▶ Quando o Cleanup falha — escalar pro suporte
Em alguns casos o cleanup automático não consegue limpar:
- Malware persistente: rootkit ou backdoor que se reinstala (raro)
- Arquivos do core WP modificados: cleanup pode quebrar o site
- Banco de dados injetado: malware no MySQL (ex.: redirect via wp_options)
- Cron jobs maliciosos: agendamentos invisíveis re-infectam o site
Nesses casos, abra chamado em Suporte → Abuso/Segurança com:
- Lista de arquivos detectados pelo Imunify (print da tela)
- Quando notou o problema
- O que mudou recentemente (plugin novo, mudança de senha, etc.)
- Se já tentou cleanup e falhou
▶ Boas práticas pra não precisar usar tanto
- WordPress + plugins + temas sempre atualizados (veja como)
- Senhas fortes únicas em cPanel, FTP, WP, banco
- 2FA ativo na Área do Cliente (veja como)
- Backup automático JetBackup5 ativo (já vem ligado)
- Plugin de segurança WP (Wordfence ou Solid Security) — não substitui Imunify, complementa
- Não instale plugins/temas nulled (piratas) — quase sempre vêm com backdoor
▶ Quanto custa essa proteção?
Está incluído no seu plano. Comercialmente, Imunify360 custa entre US$ 12-30 por servidor por mês — multiplicado por dezenas de servidores, é um investimento alto que repassamos pra você sem custo extra.
Se desconfiar de invasão urgente e quiser auditoria profunda manual feita pelo nosso time de segurança, abra chamado em Suporte → Abuso/Segurança.
❑ Perguntas Frequentes
▶ O Imunify360 detecta tudo automaticamente?
Quase — ele faz scan diário automático e bloqueia ataques em tempo real (firewall + RBL + brute force). Mas para malware injetado (ex.: shell PHP em wp-content/uploads), o scan profundo manual é mais eficaz.
▶ O cleanup automático é seguro? Pode quebrar meu site?
Na maioria dos casos é seguro — Imunify identifica linhas maliciosas e remove preservando o resto do arquivo. Mas SEMPRE faça backup via JetBackup5 antes do cleanup. Se quebrar, você restaura em minutos.
▶ O Imunify protege contra invasões via senha vazada?
Parcialmente. Ele bloqueia tentativas de força bruta automaticamente. Mas se um invasor já tem sua senha real, entra normalmente. Por isso 2FA é essencial — veja artigo "Como ativar 2FA".
