31 de março de 2026 · 6 min · Carol
Como saber se meu site foi hackeado (e o que fazer antes do Google te punir)
A maioria dos sites invadidos só descobre quando o Google marca como inseguro e o tráfego despenca. Os sinais aparecem antes — se você souber onde olhar.
A pergunta normalmente chega em pânico: "acho que meu site foi hackeado, o que faço?". E quase sempre a pessoa só percebeu porque uma das três coisas aconteceu:
- O Google passou a mostrar "Este site pode prejudicar seu computador" nos resultados.
- A Hostinger/HostGator suspendeu a hospedagem por abuso.
- Um cliente reclamou que o site abre coisas estranhas no celular.
Em todos os três casos, a invasão aconteceu dias ou semanas antes. Os sinais estavam lá.
Os sinais que aparecem primeiro
Antes do Google e antes do hosting, dá pra perceber sozinho — se você olhar.
1. Resultados de busca com texto que não é seu
Pesquise no Google: site:seusite.com.br (com o site: colado, sem espaço). Aparecem todas as páginas indexadas. Olhe os títulos e descrições. Se você encontrar:
- Páginas com nomes de medicamentos, casinos, replicas, viagra, cialis
- Títulos em japonês, chinês, russo sem motivo
- URLs estranhas tipo
/wp-content/uploads/2023/cheap-shoes.html
…seu site foi invadido. O atacante criou páginas escondidas pra explorar o SEO do seu domínio — vender link, vender produto falso, distribuir malware.
2. JavaScript que você não reconhece
Abra o site no navegador, View Source (Ctrl+U). Procure por <script> e olhe o conteúdo. Sinais de problema:
eval(atob(...))— código ofuscado em base64, quase sempre maliciosoString.fromCharCode(...)com dezenas de números — outra forma de esconder código- Scripts carregados de domínios que você nunca ouviu falar (
*.ru,*.tk, IPs crus) document.writeinjetando iframes
3. Redirecionamento que só acontece no mobile ou no Google
Um clássico: o site abre normalmente quando você digita a URL no Chrome desktop. Mas quando você clica num resultado do Google pelo celular, vai pra uma página de cassino. Isso se chama cloaking — o malware checa o User-Agent e o Referer e só ataca usuários específicos.
Pra testar: pegue o celular, busque seu site no Google, clique pelo resultado. Não digite a URL direto.
4. Lentidão súbita e CPU alta no painel
Seu painel da hospedagem mostra picos de CPU que nunca existiram. O site ficou lento. Provavelmente seu servidor está sendo usado pra minerar cripto ou enviar spam — duas das cargas favoritas de quem invade.
5. Arquivos que você não criou
Se você tem acesso SSH/FTP, liste os arquivos modificados nos últimos 30 dias. Em WordPress:
find /caminho/wordpress -name "*.php" -mtime -30
Arquivos suspeitos comuns:
wp-content/uploads/*.php— uploads não deveriam ter PHPwp-content/plugins/<nome-aleatório>/— plugin que ninguém instalouwp-config.bak,info.php,shell.php,r57.php— webshells clássicos
6. Logins de admin que você não fez
Painel do WordPress → Usuários. Tem algum admin com nome estranho? Acessou recentemente de IP que não é seu? Já foi.
Por que demora a descobrir
A maioria desses sinais é invisível em uso normal. O atacante quer que seja. As páginas spam são criadas em subdiretórios que você nunca visita. O malware só ativa pra visitantes vindos do Google. O webshell fica quieto até alguém precisar usar.
O que te avisa primeiro do estrago são:
- Google Safe Browsing — quando classifica seu site como "Site enganoso à frente". A partir daí, Chrome, Firefox e Safari bloqueiam o acesso.
- URLhaus, OpenPhish, Spamhaus — listas públicas de domínios maliciosos. Se você cai nelas, e-mails do seu domínio passam a ir pra spam.
- Wordfence / Sucuri / VirusTotal — bancos próprios de malware.
Quando o nome do seu domínio entra em uma dessas listas, recuperar é lento e doloroso: limpa o malware, pede revisão manual, espera dias, perde tráfego o tempo todo.
Como monitorar antes do estrago
O ideal é varrer o próprio site periodicamente, do lado de fora, como o Google faria. Buscar:
- Padrões de JavaScript ofuscado (eval/atob, fromCharCode em volume)
- Conteúdo oculto com palavras de pharma/spam (display:none, off-screen)
- Iframes externos apontando pra domínios suspeitos
- Formulários com action em domínio externo
- Redirecionamentos automáticos em JS ou meta refresh
- Cloaking: o que o site mostra pro Googlebot vs pro usuário normal
E cruzar o domínio com feeds públicos de threat intel — URLhaus, OpenPhish — pra saber se você já caiu em alguma blacklist.
O que o Sentinela faz
O probe de Malware Scan do Sentinela faz exatamente isso, automaticamente, semana após semana:
- Crawl da home + 10 links internos
- Detecção de JS ofuscado (eval, atob, fromCharCode, packers)
- Conteúdo oculto com vocabulário de pharma/spam
- Iframes externos suspeitos
- Forms com action externo
- Redirects JS e meta refresh
- Cloaking — compara o que o site retorna pro Googlebot vs pro Chrome normal e alerta em diff ≥40%
- Cruza seu domínio com URLhaus + OpenPhish sincronizados diariamente
E pra quem usa WordPress: detecta versão, plugins instalados, temas, e cruza com o feed da Wordfence Intelligence pra te avisar de CVE conhecido com exploit ativo — antes do bot que faz drive-by te achar.
Roda automático, 14 dias grátis, você é avisado por e-mail ou Telegram no mesmo dia que algo aparece.
Se já aconteceu
Se você leu até aqui já em pânico porque seu site está mostrando coisa estranha:
- Não delete os arquivos imediatamente. Tira o site do ar (Maintenance Mode, ou retorna 503), mas preserva os arquivos por uns dias — você vai precisar pra entender como o atacante entrou.
- Troque todas as senhas — admin do site, banco, FTP, painel de hospedagem, e-mail vinculado.
- Atualize tudo — WordPress core, plugins, temas. A maioria das invasões usa plugin desatualizado.
- Restore de backup anterior à invasão é o caminho mais limpo — se você tem backup.
- Peça revisão ao Google Search Console depois de limpar.
- Configure o monitoramento pra que da próxima vez você seja o primeiro a saber, não o último.
A invasão não é o fim do mundo. Descobrir três semanas depois é.
Continue lendo