Sentinela.
← Voltar pro blog

31 de março de 2026 · 6 min · Carol

malware segurança WordPress blacklist

Como saber se meu site foi hackeado (e o que fazer antes do Google te punir)

A maioria dos sites invadidos só descobre quando o Google marca como inseguro e o tráfego despenca. Os sinais aparecem antes — se você souber onde olhar.

A pergunta normalmente chega em pânico: "acho que meu site foi hackeado, o que faço?". E quase sempre a pessoa só percebeu porque uma das três coisas aconteceu:

  1. O Google passou a mostrar "Este site pode prejudicar seu computador" nos resultados.
  2. A Hostinger/HostGator suspendeu a hospedagem por abuso.
  3. Um cliente reclamou que o site abre coisas estranhas no celular.

Em todos os três casos, a invasão aconteceu dias ou semanas antes. Os sinais estavam lá.

Os sinais que aparecem primeiro

Antes do Google e antes do hosting, dá pra perceber sozinho — se você olhar.

1. Resultados de busca com texto que não é seu

Pesquise no Google: site:seusite.com.br (com o site: colado, sem espaço). Aparecem todas as páginas indexadas. Olhe os títulos e descrições. Se você encontrar:

  • Páginas com nomes de medicamentos, casinos, replicas, viagra, cialis
  • Títulos em japonês, chinês, russo sem motivo
  • URLs estranhas tipo /wp-content/uploads/2023/cheap-shoes.html

…seu site foi invadido. O atacante criou páginas escondidas pra explorar o SEO do seu domínio — vender link, vender produto falso, distribuir malware.

2. JavaScript que você não reconhece

Abra o site no navegador, View Source (Ctrl+U). Procure por <script> e olhe o conteúdo. Sinais de problema:

  • eval(atob(...)) — código ofuscado em base64, quase sempre malicioso
  • String.fromCharCode(...) com dezenas de números — outra forma de esconder código
  • Scripts carregados de domínios que você nunca ouviu falar (*.ru, *.tk, IPs crus)
  • document.write injetando iframes

3. Redirecionamento que só acontece no mobile ou no Google

Um clássico: o site abre normalmente quando você digita a URL no Chrome desktop. Mas quando você clica num resultado do Google pelo celular, vai pra uma página de cassino. Isso se chama cloaking — o malware checa o User-Agent e o Referer e só ataca usuários específicos.

Pra testar: pegue o celular, busque seu site no Google, clique pelo resultado. Não digite a URL direto.

4. Lentidão súbita e CPU alta no painel

Seu painel da hospedagem mostra picos de CPU que nunca existiram. O site ficou lento. Provavelmente seu servidor está sendo usado pra minerar cripto ou enviar spam — duas das cargas favoritas de quem invade.

5. Arquivos que você não criou

Se você tem acesso SSH/FTP, liste os arquivos modificados nos últimos 30 dias. Em WordPress:

find /caminho/wordpress -name "*.php" -mtime -30

Arquivos suspeitos comuns:

  • wp-content/uploads/*.php — uploads não deveriam ter PHP
  • wp-content/plugins/<nome-aleatório>/ — plugin que ninguém instalou
  • wp-config.bak, info.php, shell.php, r57.php — webshells clássicos

6. Logins de admin que você não fez

Painel do WordPress → Usuários. Tem algum admin com nome estranho? Acessou recentemente de IP que não é seu? Já foi.

Por que demora a descobrir

A maioria desses sinais é invisível em uso normal. O atacante quer que seja. As páginas spam são criadas em subdiretórios que você nunca visita. O malware só ativa pra visitantes vindos do Google. O webshell fica quieto até alguém precisar usar.

O que te avisa primeiro do estrago são:

  • Google Safe Browsing — quando classifica seu site como "Site enganoso à frente". A partir daí, Chrome, Firefox e Safari bloqueiam o acesso.
  • URLhaus, OpenPhish, Spamhaus — listas públicas de domínios maliciosos. Se você cai nelas, e-mails do seu domínio passam a ir pra spam.
  • Wordfence / Sucuri / VirusTotal — bancos próprios de malware.

Quando o nome do seu domínio entra em uma dessas listas, recuperar é lento e doloroso: limpa o malware, pede revisão manual, espera dias, perde tráfego o tempo todo.

Como monitorar antes do estrago

O ideal é varrer o próprio site periodicamente, do lado de fora, como o Google faria. Buscar:

  • Padrões de JavaScript ofuscado (eval/atob, fromCharCode em volume)
  • Conteúdo oculto com palavras de pharma/spam (display:none, off-screen)
  • Iframes externos apontando pra domínios suspeitos
  • Formulários com action em domínio externo
  • Redirecionamentos automáticos em JS ou meta refresh
  • Cloaking: o que o site mostra pro Googlebot vs pro usuário normal

E cruzar o domínio com feeds públicos de threat intel — URLhaus, OpenPhish — pra saber se você já caiu em alguma blacklist.

O que o Sentinela faz

O probe de Malware Scan do Sentinela faz exatamente isso, automaticamente, semana após semana:

  • Crawl da home + 10 links internos
  • Detecção de JS ofuscado (eval, atob, fromCharCode, packers)
  • Conteúdo oculto com vocabulário de pharma/spam
  • Iframes externos suspeitos
  • Forms com action externo
  • Redirects JS e meta refresh
  • Cloaking — compara o que o site retorna pro Googlebot vs pro Chrome normal e alerta em diff ≥40%
  • Cruza seu domínio com URLhaus + OpenPhish sincronizados diariamente

E pra quem usa WordPress: detecta versão, plugins instalados, temas, e cruza com o feed da Wordfence Intelligence pra te avisar de CVE conhecido com exploit ativo — antes do bot que faz drive-by te achar.

Roda automático, 14 dias grátis, você é avisado por e-mail ou Telegram no mesmo dia que algo aparece.

Se já aconteceu

Se você leu até aqui já em pânico porque seu site está mostrando coisa estranha:

  1. Não delete os arquivos imediatamente. Tira o site do ar (Maintenance Mode, ou retorna 503), mas preserva os arquivos por uns dias — você vai precisar pra entender como o atacante entrou.
  2. Troque todas as senhas — admin do site, banco, FTP, painel de hospedagem, e-mail vinculado.
  3. Atualize tudo — WordPress core, plugins, temas. A maioria das invasões usa plugin desatualizado.
  4. Restore de backup anterior à invasão é o caminho mais limpo — se você tem backup.
  5. Peça revisão ao Google Search Console depois de limpar.
  6. Configure o monitoramento pra que da próxima vez você seja o primeiro a saber, não o último.

A invasão não é o fim do mundo. Descobrir três semanas depois é.

Continue lendo