March 31, 2026 · 5 min · Carol
How to tell if your site was hacked (and what to do before Google punishes you)
Most hacked sites only find out when Google flags them as unsafe and traffic collapses. The signs show up earlier — if you know where to look.
A pergunta normalmente chega em pânico: "acho que meu site foi hackeado, o que faço?". E quase sempre a pessoa só percebeu porque uma das três coisas aconteceu:
- O Google passou a mostrar "Este site pode prejudicar seu computador" nos resultados.
- A Hostinger/HostGator suspendeu a hospedagem por abuso.
- Um cliente reclamou que o site abre coisas estranhas no celular.
Em todos os três casos, a invasão aconteceu dias ou semanas antes. Os sinais estavam lá.
Os sinais que aparecem primeiro
Antes do Google e antes do hosting, dá pra perceber sozinho — se você olhar.
1. Resultados de busca com texto que não é seu
Pesquise no Google: site:seusite.com.br (com o site: colado, sem espaço). Aparecem todas as páginas indexadas. Olhe os títulos e descrições. Se você encontrar:
- Páginas com nomes de medicamentos, casinos, replicas, viagra, cialis
- Títulos em japonês, chinês, russo sem motivo
- URLs estranhas tipo
/wp-content/uploads/2023/cheap-shoes.html
…seu site foi invadido. O atacante criou páginas escondidas pra explorar o SEO do seu domínio — vender link, vender produto falso, distribuir malware.
2. JavaScript que você não reconhece
Abra o site no navegador, View Source (Ctrl+U). Procure por <script> e olhe o conteúdo. Sinais de problema:
eval(atob(...))— código ofuscado em base64, quase sempre maliciosoString.fromCharCode(...)com dezenas de números — outra forma de esconder código- Scripts carregados de domínios que você nunca ouviu falar (
*.ru,*.tk, IPs crus) document.writeinjetando iframes
3. Redirecionamento que só acontece no mobile ou no Google
Um clássico: o site abre normalmente quando você digita a URL no Chrome desktop. Mas quando você clica num resultado do Google pelo celular, vai pra uma página de cassino. Isso se chama cloaking — o malware checa o User-Agent e o Referer e só ataca usuários específicos.
Pra testar: pegue o celular, busque seu site no Google, clique pelo resultado. Não digite a URL direto.
4. Lentidão súbita e CPU alta no painel
Seu painel da hospedagem mostra picos de CPU que nunca existiram. O site ficou lento. Provavelmente seu servidor está sendo usado pra minerar cripto ou enviar spam — duas das cargas favoritas de quem invade.
5. Arquivos que você não criou
Se você tem acesso SSH/FTP, liste os arquivos modificados nos últimos 30 dias. Em WordPress:
find /caminho/wordpress -name "*.php" -mtime -30
Arquivos suspeitos comuns:
wp-content/uploads/*.php— uploads não deveriam ter PHPwp-content/plugins/<nome-aleatório>/— plugin que ninguém instalouwp-config.bak,info.php,shell.php,r57.php— webshells clássicos
6. Logins de admin que você não fez
Painel do WordPress → Usuários. Tem algum admin com nome estranho? Acessou recentemente de IP que não é seu? Já foi.
Por que demora a descobrir
A maioria desses sinais é invisível em uso normal. O atacante quer que seja. As páginas spam são criadas em subdiretórios que você nunca visita. O malware só ativa pra visitantes vindos do Google. O webshell fica quieto até alguém precisar usar.
O que te avisa primeiro do estrago são:
- Google Safe Browsing — quando classifica seu site como "Site enganoso à frente". A partir daí, Chrome, Firefox e Safari bloqueiam o acesso.
- URLhaus, OpenPhish, Spamhaus — listas públicas de domínios maliciosos. Se você cai nelas, e-mails do seu domínio passam a ir pra spam.
- Wordfence / Sucuri / VirusTotal — bancos próprios de malware.
Quando o nome do seu domínio entra em uma dessas listas, recuperar é lento e doloroso: limpa o malware, pede revisão manual, espera dias, perde tráfego o tempo todo.
Como monitorar antes do estrago
O ideal é varrer o próprio site periodicamente, do lado de fora, como o Google faria. Buscar:
- Padrões de JavaScript ofuscado (eval/atob, fromCharCode em volume)
- Conteúdo oculto com palavras de pharma/spam (display:none, off-screen)
- Iframes externos apontando pra domínios suspeitos
- Formulários com action em domínio externo
- Redirecionamentos automáticos em JS ou meta refresh
- Cloaking: o que o site mostra pro Googlebot vs pro usuário normal
E cruzar o domínio com feeds públicos de threat intel — URLhaus, OpenPhish — pra saber se você já caiu em alguma blacklist.
O que o Sentinela faz
O probe de Malware Scan do Sentinela faz exatamente isso, automaticamente, semana após semana:
- Crawl da home + 10 links internos
- Detecção de JS ofuscado (eval, atob, fromCharCode, packers)
- Conteúdo oculto com vocabulário de pharma/spam
- Iframes externos suspeitos
- Forms com action externo
- Redirects JS e meta refresh
- Cloaking — compara o que o site retorna pro Googlebot vs pro Chrome normal e alerta em diff ≥40%
- Cruza seu domínio com URLhaus + OpenPhish sincronizados diariamente
E pra quem usa WordPress: detecta versão, plugins instalados, temas, e cruza com o feed da Wordfence Intelligence pra te avisar de CVE conhecido com exploit ativo — antes do bot que faz drive-by te achar.
Roda automático, 14 dias grátis, você é avisado por e-mail ou Telegram no mesmo dia que algo aparece.
Se já aconteceu
Se você leu até aqui já em pânico porque seu site está mostrando coisa estranha:
- Não delete os arquivos imediatamente. Tira o site do ar (Maintenance Mode, ou retorna 503), mas preserva os arquivos por uns dias — você vai precisar pra entender como o atacante entrou.
- Troque todas as senhas — admin do site, banco, FTP, painel de hospedagem, e-mail vinculado.
- Atualize tudo — WordPress core, plugins, temas. A maioria das invasões usa plugin desatualizado.
- Restore de backup anterior à invasão é o caminho mais limpo — se você tem backup.
- Peça revisão ao Google Search Console depois de limpar.
- Configure o monitoramento pra que da próxima vez você seja o primeiro a saber, não o último.
A invasão não é o fim do mundo. Descobrir três semanas depois é.
Keep reading