▶ Resposta rápida
Não delete nada e não entre em pânico. 1) Rode scan no Imunify, 2) Faça cleanup, 3) Troque TODAS as senhas, 4) Atualize WP+plugins, 5) Restaure backup limpo via JetBackup5 se necessário, 6) Ative 2FA pra prevenir reinvasão.
◷ Leitura: 8 min↻ Atualizado em 04/05/2026✓ Por Equipe ZenHost
⚖
Responsabilidade Compartilhada: a ZenHost protege a infraestrutura (servidor, firewall, antimalware, backup automático). Manter senhas, atualizar WordPress/plugins e backup próprio de dados críticos é responsabilidade do cliente. Saiba mais →
Site quebrado, redirecionando pra páginas estranhas, ou Google bloqueando? Provavelmente foi invadido. Mantenha a calma — seguindo o checklist abaixo, você recupera em até 30 minutos na maioria dos casos.
❗ Importante: Antes de tudo, faça backup IMEDIATO via cPanel → Backup → "Diretório Inicial". Mesmo o site infectado serve como evidência forense pra entender o vetor de entrada.
▶ 8 sinais de que seu site foi invadido
- ❗ Site redireciona pra páginas estranhas (cassinos, viagra, etc.)
- ❗ Google mostra "Este site pode ser perigoso"
- ❗ Aparecem páginas/posts no WP que você não criou
- ❗ Antivírus de visitantes alerta ao acessar
- ❗ E-mails saindo da sua conta sem você enviar
- ❗ Site MUITO mais lento que o normal sem motivo
- ❗ Aparecem usuários admin no WP que você não cadastrou
- ❗ Search Console acusa "ações de segurança"
▶ Plano de ação — 6 passos
▶ Passo 1: Não entre em pânico, NÃO delete nada
Tentação é apagar tudo e começar do zero. Não faça isso. Você perde evidência do vetor de entrada e pode reinstalar tudo limpo, mas com a mesma vulnerabilidade que causou a invasão. Seguindo o checklist você resolve em 30 min preservando histórico, dados e configurações.
▶ Passo 2: Rodar scan profundo no Imunify360
- cPanel → Imunify Security → aba Files.
- Clique em Start Scan.
- Aguarde (2-15 min).
- Anote/print a lista de arquivos detectados.
Veja o guia completo: Como usar o Imunify360.
▶ Passo 3: Fazer Cleanup
- Na lista de arquivos infectados, clique em Select All.
- Clique em Cleanup.
- Confirme.
- Aguarde 1-3 min até a contagem zerar.
⚠ Atenção: Se o cleanup falhar em alguns arquivos, NÃO use Delete manualmente. Pule pro Passo 5 (restaurar backup) — é mais seguro.
▶ Passo 4: Trocar TODAS as senhas (crítico)
O invasor provavelmente tem credenciais salvas. Troque todas:
| Senha | Onde trocar |
|---|---|
| cPanel | Área do Cliente → Meus Produtos → Alterar Senha (veja) |
| FTP | Atualiza junto com a do cPanel. Atualize no FileZilla/cliente. |
| WP Admin (todos os usuários) | WP Admin → Usuários → editar cada um → nova senha |
| Banco de dados MySQL | cPanel → Bancos de Dados MySQL → Usuários → trocar. Atualize wp-config.php em seguida. |
| Contas de e-mail | cPanel → Contas de E-mail → trocar uma a uma. Atualize Outlook/celular. |
| API keys de plugins/serviços | Stripe, ActiveCampaign, etc. — gere novas chaves nos painéis |
ⓘ Dica: Use senhas fortes (12+ caracteres) e únicas. Use Bitwarden ou 1Password pra gerenciar. NÃO repita senhas entre serviços.
▶ Passo 5: Atualizar WP, plugins, temas e PHP
Vulnerabilidade é a #1 causa de invasão. Atualize TUDO:
- cPanel → WP Toolkit → marque "Criar ponto de restauração" e atualize core + plugins + tema.
- Veja Como atualizar WordPress.
- Atualize PHP pra 8.2+ (veja como).
- Remova plugins/temas desativados — eles continuam vulneráveis mesmo desativados.
- Remova plugins/temas abandonados (sem update há 2+ anos).
▶ Passo 6 (se Passo 3 não bastou): Restaurar backup limpo via JetBackup5
- cPanel → JetBackup 5 → File Backups.
- Escolha um backup de antes da invasão (use o histórico dos sintomas pra estimar quando começou).
- Restaure os arquivos do site (veja como).
- Faça o mesmo com Database Backups se desconfia que o banco também foi infectado.
- Após restaurar, atualize tudo imediatamente (Passo 5) — o backup pode ter a mesma vulnerabilidade que causou a invasão.
▶ Como verificar se a recuperação funcionou
- cPanel → Imunify → Start Scan de novo. Deve retornar 0 ameaças.
- Acesse o site em aba anônima. Não deve haver redirecionamento estranho.
- Verifique status no Google: transparencyreport.google.com/safe-browsing/search — digite seu domínio.
- Se o site estava em blacklist, peça revisão no Google Search Console → Segurança e ações manuais → Solicitar revisão.
- Monitore por 7 dias — abra Imunify diariamente verificando histórico.
▶ Prevenir reinvasão (essencial)
O invasor pode voltar pelo mesmo vetor se nada mudar. Implemente:
- ✓ 2FA na Área do Cliente (veja como)
- ✓ 2FA no WordPress (plugin "WP 2FA" ou "Two Factor Authentication")
- ✓ Plugin de segurança WP (Wordfence ou Solid Security — apenas UM, não combine)
- ✓ Atualizações automáticas de segurança no WP
- ✓ Limit Login Attempts (plugin) pra bloquear força bruta no admin WP
- ✓ Disable XML-RPC se não usa (vetor comum de ataques)
- ✓ Revogue acessos de ex-funcionários e ex-fornecedores que tinham WP/cPanel/FTP
- ✓ Esconda versão do WP e remova arquivos como
readme.html,license.txt - ✓ Backup off-site adicional (UpdraftPlus → Google Drive)
▶ Casos onde precisa de suporte profissional
O checklist acima resolve 80% dos casos. Os 20% restantes geralmente envolvem:
- Rootkit persistente: malware se reinstala mesmo após cleanup
- Banco de dados infectado: redirect injetado em
wp_optionsouwp_posts - Cron jobs maliciosos: agendamentos no cPanel que reinjetam código
- Backdoor em arquivo do core (raro mas possível)
- Sua conta de e-mail está enviando spam (ela própria foi comprometida)
Nestes casos, abra chamado em Suporte → Abuso/Segurança com:
- Resultado do último scan Imunify (print)
- Quando começou e o que foi tentado
- Histórico de logins suspeitos no cPanel (cPanel → Logs)
Temos serviço de auditoria profunda manual feita pelo nosso time de segurança — análise forense + cleanup + hardening do site.
▶ Linha do tempo realista
| Etapa | Tempo |
|---|---|
| Backup atual + Scan Imunify | 5 min |
| Cleanup automático | 3 min |
| Trocar todas as senhas | 10 min |
| Atualizar WP/plugins/PHP | 10 min |
| Restaurar backup (se necessário) | 5-15 min |
| Verificar + Hardening (2FA etc.) | 10 min |
| Total típico | 30-60 minutos |
❑ Perguntas Frequentes
▶ Vou perder meu site se ele foi invadido?
Não, na esmagadora maioria dos casos. JetBackup5 mantém até 30 dias de backups diários — sempre dá pra voltar a um estado limpo. O importante é não entrar em pânico e seguir o checklist.
▶ A ZenHost remove o malware pra mim?
Cleanup automático via Imunify resolve 80% dos casos sem precisar de suporte. Para casos complexos (rootkit, banco infectado), abra chamado em "Suporte → Abuso/Segurança" — temos serviço de auditoria profunda.
▶ Como saber se a invasão foi corrigida de verdade?
Após o cleanup: 1) Rode novo scan Imunify (deve dar 0 detections); 2) Teste o site em aba anônima; 3) Confira em https://transparencyreport.google.com/safe-browsing/search?url=seudominio.com.br se está limpo no Google; 4) Monitore por 7 dias.
