Ter o site invadido é uma das situações mais frustrantes para quem tem um site online. De repente, aquele site que você investiu tempo e dinheiro começa a apresentar erros estranhos, redirecionar para páginas suspeitas ou até desaparecer dos resultados do Google.
Infelizmente, ataques e infecções por malware no WordPress são mais comuns do que parecem — e podem causar sérios prejuízos: queda no desempenho, perda de credibilidade, bloqueio por navegadores e até exclusão do domínio dos buscadores.
Mas calma: ter um site WordPress infectado não significa que tudo está perdido.
Com as ferramentas e procedimentos certos, é possível eliminar completamente o vírus, restaurar a segurança do site e proteger sua reputação digital.
Neste guia completo, você vai aprender como remover vírus de um site WordPress passo a passo, de forma prática e segura — mesmo que você não seja um especialista em segurança ou programação.
Antes de sair apagando arquivos ou reinstalando plugins, é fundamental entender o tipo de ameaça que está afetando seu site WordPress.
Nem todo vírus se comporta da mesma forma — e identificar os sintomas certos pode economizar tempo e evitar que você piore a situação.
Um malware ou código malicioso pode se manifestar de diversas maneiras, como:
Redirecionamentos automáticos para sites suspeitos ou de conteúdo adulto.
Propagandas invasivas e pop-ups que você nunca adicionou.
Lentidão extrema e erros constantes ao carregar páginas.
Acesso bloqueado ao painel do WordPress (wp-admin), mesmo com credenciais corretas.
Arquivos modificados ou criados sem explicação dentro das pastas do tema ou plugins.
Alertas do Google Search Console sobre possíveis infecções ou links perigosos.
Esses sinais são indícios claros de que um código malicioso foi inserido nos arquivos do seu site — geralmente com o objetivo de roubar dados de usuários, espalhar spam, redirecionar visitantes ou explorar brechas de segurança.
Em alguns casos, os hackers nem querem derrubar o seu site: eles o usam como uma porta de entrada para outras ações maliciosas na web, o que torna o problema ainda mais grave.
Por isso, antes de agir, faça um diagnóstico completo — entenda o que está infectado, onde está o vírus e qual o tipo de ataque. Assim, você evita perder informações importantes e consegue limpar o WordPress de forma segura e definitiva.
O primeiro passo para remover vírus de um site WordPress é confirmar a infecção.
Você pode fazer isso de forma gratuita com ferramentas de varredura online.
Algumas das opções mais confiáveis são:
Basta inserir a URL do seu site e aguardar o relatório.
Essas ferramentas analisam seu código, scripts e links suspeitos para indicar se há infecção e em quais arquivos o problema está.
Se o seu site estiver hospedado em um servidor gerenciado (como Hostinger, SiteGround ou WP Engine), muitas vezes o painel da hospedagem também indica arquivos suspeitos — verifique lá.
Mesmo que o site esteja comprometido, nunca comece a limpeza sem um backup completo.
Isso garante que, se algo der errado durante a remoção, você consiga restaurar o site.
Todos os arquivos da pasta public_html (ou www)
Banco de dados MySQL
Arquivos de configuração (wp-config.php)
Você pode fazer o backup manualmente via FTP (FileZilla) ou usando plugins como:
Salve o backup fora do servidor (ex: Google Drive ou computador local).
Enquanto faz a limpeza, é importante impedir o acesso público ao site infectado.
Isso evita que os visitantes sejam afetados e que os vírus se espalhem ainda mais.
Use um plugin simples como:
WP Maintenance Mode
SeedProd Coming Soon Page
Ou, se preferir, renomeie temporariamente a pasta wp-content — isso já desativa o carregamento do tema e dos plugins.
Agora é hora de colocar a “mão na massa”.
Os melhores plugins para detectar vírus e códigos maliciosos são:
Wordfence Security
iThemes Security
MalCare Security
Sucuri Security
Esses plugins realizam uma varredura completa e indicam os arquivos alterados ou infectados.
Ao final, eles mostram um relatório detalhado com o que precisa ser removido.
Se preferir verificar manualmente:
Acesse seu servidor via FTP ou pelo Gerenciador de Arquivos do cPanel.
Confira arquivos recentes na pasta /wp-content/themes/ e /wp-content/plugins/.
Busque por códigos estranhos no início ou final dos arquivos PHP, como:
ou
Esses são sinais claros de injeção maliciosa.
Apague os arquivos suspeitos — mas só se tiver certeza do que está removendo.
Depois de identificar os arquivos infectados, substitua todos os arquivos principais do WordPress por versões novas.
Faça o download de uma versão do WordPress.
Baixe a versão mais recente.
Substitua todos os arquivos, exceto:
wp-config.php
A pasta /wp-content/uploads/
Isso garante que qualquer arquivo comprometido seja removido.
Baixe versões originais e atualizadas diretamente do repositório do WordPress.
Evite reinstalar temas ou plugins piratas — eles são uma das maiores fontes de infecção.
Delete qualquer plugin ou tema que você não esteja usando.
Muitos vírus inserem scripts maliciosos dentro do banco de dados, principalmente nas tabelas wp_options, wp_posts e wp_users.
Use o phpMyAdmin (disponível no painel da sua hospedagem) e procure por:
Links estranhos em siteurl ou home
Tags <script> desconhecidas em posts ou páginas
Usuários administradores que você não criou
Você também pode usar o plugin WP-Optimize para limpar registros e entradas obsoletas.
Depois de remover o vírus, é fundamental blindar seu site contra novas invasões.
Aqui vão as principais recomendações de segurança:
Altere o URL de login (ex: seudominio.com/login-seguro)
Use autenticação de dois fatores (2FA)
Crie senhas longas e complexas
Atualize o WordPress, temas e plugins regularmente
Evite plugins descontinuados ou pouco confiáveis
Ative o firewall de aplicação (WAF) com plugins como Wordfence ou Sucuri, que bloqueiam ataques antes que cheguem ao servidor.
Ferramentas como:
UptimeRobot
WP Activity Log
Permitem detectar qualquer alteração ou atividade suspeita em tempo real.
Se o seu site continua apresentando problemas mesmo após a limpeza, ou se você não se sente seguro para executar os passos sozinho, contratar um especialista em WordPress é o melhor caminho.
Um profissional pode:
Analisar logs e arquivos em profundidade
Restaurar versões limpas do banco de dados
Configurar camadas avançadas de segurança
Garantir que o Google remova avisos de site inseguro
Na CodeTuring, já ajudamos diversos sites WordPress a se recuperarem de invasões e infecções por malware, aplicando rotinas avançadas de segurança, monitoramento e otimização de performance que impedem que o problema volte a acontecer.
Sabemos que ver seu site comprometido é frustrante — especialmente quando ele representa o coração do seu negócio. Mas a boa notícia é que recuperar o controle total do seu site é totalmente possível.
Com um processo técnico bem estruturado, é viável remover o vírus, corrigir vulnerabilidades e deixar seu WordPress mais seguro e rápido do que nunca.
Lembre-se: segurança digital não é algo que se faz uma vez e esquece.
A melhor defesa é a prevenção contínua:
Mantenha WordPress, temas e plugins sempre atualizados.
Use ferramentas de segurança confiáveis.
Monitore o site periodicamente em busca de comportamentos suspeitos.
E se você quiser resolver o problema de forma definitiva — sem correr riscos e com suporte especializado — nossa equipe pode te ajudar.
Entre em contato com a CodeTuring e descubra como podemos restaurar, proteger e otimizar seu site WordPress com rapidez e segurança.