Imagine o seguinte: Você está verificando as análises do seu site WordPress em uma manhã e algo parece errado. Seu tráfego caiu e você descobre que seu site está cheio de links de spam vendendo de tudo, desde bolsas de grife falsas até produtos farmacêuticos questionáveis.
Vimos isso em primeira mão em sites de clientes. Na verdade, ajudamos um cliente cujo site se transformou em uma bagunça cheia de spam da noite para o dia.
Toda a reputação do negócio deles estava em jogo, mas nós conseguimos limpar, proteger e restaurar tudo ao normal — e vamos mostrar exatamente como você pode fazer o mesmo.
Neste guia, cobriremos tudo, desde encontrar e limpar injeções de links de spam até manter seu site protegido para o futuro.
Resposta Rápida: Como Remover Injeções de Links de Spam no WordPress?
Use um plugin de segurança como Sucuri ou Wordfence para escanear seu site e encontrar o código malicioso. Em seguida, limpe seu banco de dados com Search & Replace Everything, substitua arquivos de tema e plugin infectados por cópias novas e redefina todas as suas senhas.
Por que você deve se importar com Injeções de Links de Spam?
Injeções de links de spam permitem que hackers sequestrem o SEO e a reputação do seu site, muitas vezes sem que você perceba.
- Mecanismos de busca podem sinalizar ou penalizar seu site, fazendo com que você perca tráfego orgânico e receita potencial.
- Links de spam ocultos prejudicam a confiança do visitante e podem fazer com que seu site seja temporariamente colocado na lista negra do Google.
Passo 1. Encontrando Links de Spam
Vamos guiá-lo pelo processo que usamos para descobrir conteúdo malicioso oculto.
Existem algumas maneiras diferentes de fazer isso, e você pode querer tentar todas essas abordagens para não perder nada.
Opção 1: Encontrando Links de Spam Usando o Google Search Console
O Google Search Console é sua primeira linha de defesa na detecção de links de spam. É uma ferramenta gratuita do Google que permite aos proprietários de sites ver como seus sites estão se saindo nos resultados de pesquisa.
Ele fornece muitas informações e possui excelentes ferramentas de diagnóstico que ajudam você a detectar a saúde do seu site no Google Search. Se você ainda não o configurou, consulte nosso tutorial completo do Google Search Console.
Depois de configurá-lo, veja exatamente o que você precisa fazer.
Primeiro, faça login no Google Search Console e selecione seu site. Depois disso, navegue até a guia 'Ações Manuais e Segurança' na barra lateral esquerda.
Aqui, você precisa procurar por quaisquer avisos sobre "links não naturais" ou "conteúdo de spam".
Lembre-se de que, se você vir 'Nenhum problema detectado', isso não significa necessariamente que seu site está limpo. Você ainda pode ter links de spam que o Google ainda não sinalizou.
Em seguida, você precisará verificar o relatório 'Links' para identificar quaisquer padrões suspeitos.
Você vai querer procurar por quaisquer domínios suspeitos ou texto de link que apareçam nesses relatórios. Por suspeito, queremos dizer qualquer coisa que venha de um domínio que você não reconhece e não consegue verificar como credível.
Opção 2. Encontrando Links de Spam com uma Verificação Manual do Site
Hackers são criativos em esconder seus rastros. Recentemente, encontramos links de spam escondidos no site de um cliente usando texto invisível que só aparecia ao selecionar a página inteira.
Locais comuns de ocultação incluem rodapés, dentro de conteúdo legítimo (especialmente posts antigos), áreas de widgets e arquivos de template.
Às vezes, você pode encontrar links de spam verificando manualmente o código-fonte do seu site.
Dica Profissional: Use o recurso 'Exibir código fonte' do seu navegador para examinar o código fonte em busca de links de spam ocultos.
Preste atenção especial a qualquer código que pareça codificado ou confuso — isso geralmente é um sinal de alerta.
Outra maneira de localizar esses links é olhando os resultados de pesquisa do Google para páginas indexadas em seu site.
Se o seu site foi injetado com spam, você pode ver links com descrições meta estranhas, páginas com palavras-chave farmacêuticas ou caracteres em idiomas estrangeiros ao analisar os resultados.
O problema em encontrar esses links de spam no seu site é que removê-los ou excluí-los nem sempre funciona. Além disso, esse processo pode consumir muito tempo.
Localizar o código malicioso que *causa* esses links de spam é mais rápido e eficaz. Abordaremos como fazer isso na próxima seção.
Opção 3. Localize Código e Links Maliciosos Usando Scanners de Segurança
Plugins de segurança como Sucuri ou Wordfence podem escanear ativamente seu site e detectar problemas automaticamente.
Essas ferramentas escaneiam seu site em busca de arquivos principais modificados, padrões de código suspeitos, assinaturas de malware conhecidas e alterações não autorizadas de arquivos.
Pense neles como o guarda de segurança do seu site, constantemente em patrulha em busca de atividades suspeitas. Executar uma varredura pode ajudá-lo a encontrar backdoors ocultos que hackers podem ter deixado em seu site.
Dependendo do plugin de segurança do WordPress que você está usando, basta iniciar uma nova varredura para procurar por código malicioso.
Por exemplo, se você estiver usando o Wordfence, precisará ir para Wordfence » Scan e clicar no botão ‘Start New Scan’.
Esses plugins são muito bons em detectar alterações de arquivos e procurar por código suspeito e malicioso.
Ao detectar, eles também mostrarão ações sugeridas que você pode tomar para corrigir os problemas.
Para mais detalhes sobre este processo, confira nosso guia para iniciantes sobre como escanear seu site WordPress em busca de código potencialmente malicioso.
Post Relacionado: Melhores Scanners de Segurança do WordPress para Detectar Malware e Hacks
Passo 2. Removendo Links de Spam do WordPress
Depois de encontrar os links de spam ou o código malicioso que injetou esses links, o próximo passo é removê-los.
Se você estiver usando um plugin de segurança WordPress, ele poderá sugerir automaticamente ações para remover esses links.
No entanto, às vezes remover ou excluir esses arquivos não funciona, e seu site ainda pode exibir links de spam.
Para uma limpeza completa, você precisará usar várias ferramentas e técnicas, dependendo de como e onde o código malicioso e os links são inseridos.
Veremos essas ferramentas e como usá-las nas próximas etapas.
Passo 3. Limpeza do Banco de Dados Usando Pesquisar e Substituir Tudo
Agora que você sabe que seu site tem links de spam, o próximo passo é limpá-los.
Você pode não ter encontrado todas as instâncias desses links de spam irritantes. Mas se você sabe como eles se parecem, é mais fácil removê-los em massa.
É aqui que o Search & Replace Everything será útil.
É um poderoso plugin de busca de banco de dados WordPress que pode pesquisar todo o seu banco de dados WordPress para encontrar qualquer texto correspondente.
Simplesmente instale e ative o Search & Replace Everything e, em seguida, vá para a página Ferramentas » WP Search & Replace.
Você precisa inserir o link ou texto suspeito que encontrou anteriormente no campo ‘Procurar por’.
Depois disso, selecione em quais tabelas do banco de dados procurar.
Agora, basta clicar no botão ‘Visualizar Pesquisa e Substituição’ para executar a pesquisa.
O plugin procurará o termo que você inseriu no seu banco de dados WordPress e mostrará uma prévia dos resultados.
O plugin mostrará então onde esses links aparecem. Eles podem estar em posts ou páginas, comentários ou outras áreas do seu site.
Você também pode limpar links suspeitos usando Search & Replace Everything. Localize o texto exato usado para inserir o link e substitua-o por uma string vazia.
Para mais detalhes, você pode ver nosso tutorial sobre como realizar busca e substituição no WordPress.
Passo 4. Limpando Links de Spam em Arquivos de Tema e Plugin do WordPress
Se você não conseguir identificar os links de spam no seu banco de dados WordPress, há uma boa chance de que os links tenham sido adicionados aos seus arquivos de tema ou plugin do WordPress.
Hoje em dia, a maioria dos temas e plugins modernos do WordPress vêm com vários arquivos, e seria difícil para você verificar cada um deles manualmente.
Se você estiver usando apenas alguns plugins, a solução mais simples seria excluí-los. Você pode fazer isso indo em Plugins » Plugins Instalados. No menu suspenso ‘Ações em massa’, selecione ‘Excluir’ e depois ‘Aplicar’.
Aviso: Se algum dos seus plugins instalados for responsável por funcionalidades essenciais ou elementos de design no seu site (como um sistema de pedidos ou um rodapé personalizado), então não recomendamos essa abordagem.
Isso pode interromper ainda mais as operações do seu site e fazer com que você perca dados importantes. Nesse caso, sempre recomendamos contratar especialistas em segurança WordPress para lidar com o seu problema de spam.
Depois disso, você pode baixar cópias novas desses plugins e instalá-los no seu site. Para detalhes, veja nosso tutorial sobre como desinstalar corretamente um plugin WordPress.
Em seguida, você precisará fazer o mesmo para o seu tema do WordPress. No entanto, tenha em mente que, ao excluir seu tema atual do WordPress, você pode perder as configurações do tema e ter que configurá-lo novamente da maneira que estava.
Primeiro, você precisa instalar um tema padrão do WordPress. Veja nosso tutorial sobre como instalar um tema WordPress para instruções.
Temas padrão do WordPress são temas oficiais do WordPress. Eles geralmente têm nomes baseados no ano em que foram lançados, como Twenty Twenty-Five, Twenty Twenty-Four e assim por diante.
Nota Importante: Se você já tem um tema padrão instalado, não poderá usá-lo, pois ele também pode ser afetado. Você precisará instalar um tema padrão novo.
Depois de instalar um tema padrão novo, você precisa ativá-lo.
Após ativar o tema padrão, o WordPress permitirá que você exclua quaisquer temas inativos.
Você pode clicar no seu tema anterior e excluí-lo do seu site.
Após excluir seu tema, você precisará baixar uma nova cópia dele da fonte e, em seguida, instalá-la.
Substituir arquivos de tema e plugin por cópias novas garante que você esteja trabalhando com código limpo e elimina quaisquer arquivos modificados que possam conter malware.
Passo 5. Limpeza de Arquivos Críticos
Sua instalação do WordPress possui vários arquivos críticos que os hackers adoram ter como alvo. O arquivo .htaccess é particularmente vulnerável a hacks de redirecionamento.
Felizmente, o WordPress pode regenerar o arquivo .htaccess sozinho. Portanto, você pode simplesmente conectar-se ao seu site usando um cliente FTP e excluir o arquivo .htaccess, que é encontrado na pasta raiz do seu site.
Se você quiser verificar se o seu arquivo .htaccess foi regenerado corretamente, consulte nosso guia sobre como corrigir o arquivo .htaccess do WordPress.
O arquivo wp-config.php é outro arquivo crítico do WordPress que os hackers comumente visam.
Você pode baixar uma cópia do seu arquivo wp-config.php existente como backup para o seu computador usando FTP.
Em seguida, você precisará ir para WordPress.org e baixar uma cópia nova do WordPress para o seu computador.
Descompacte o arquivo e, dentro dele, você encontrará o arquivo wp-config-sample.php.
Em seguida, você precisará fazer o upload do arquivo wp-config-sample.php para o seu site usando FTP.
Depois de fazer o upload, você pode renomeá-lo como wp-config.php.
No entanto, o arquivo wp-config não funcionará, pois ele não possui algumas informações importantes necessárias para se conectar ao seu banco de dados WordPress. Isso inclui seu:
- Nome do banco de dados
- Nome de usuário e senha do banco de dados
- Host do banco de dados
- Prefixo das tabelas do banco de dados
Você pode copiar essas informações do arquivo wp-config antigo que você baixou anteriormente como backup. Depois de adicionar as informações, você precisa salvar e fazer o upload das suas alterações.
Para mais detalhes, veja nosso tutorial explicando como editar o arquivo wp-config.php no WordPress.
Etapa 6. Protegendo seu site após a limpeza
Agora que seu site está limpo, vamos garantir que ele permaneça assim. Segurança não é algo único – é um processo contínuo que exige atenção e manutenção.
Altere Todas as Suas Senhas
Sua primeira tarefa de segurança é alterar todas as senhas associadas ao seu site.
Isso inclui contas de administrador do WordPress, credenciais de FTP, senhas de banco de dados, login do painel de controle de hospedagem e quaisquer contas de e-mail conectadas ao seu site.
Dica profissional: Use um gerenciador de senhas para gerar e armazenar senhas fortes e exclusivas. Recomendamos o 1Password por seus recursos de segurança e facilidade de uso.
Configuração de Firewall e Plugin de Segurança
Usar um firewall e um bom plugin de segurança é como ter uma equipe de segurança profissional para o seu site.
Recomendamos o uso destas ferramentas:
- Firewall de Aplicação Web (Cloudflare é o nosso favorito.)
- Monitoramento de integridade de arquivos (Gostamos tanto do Sucuri quanto do Wordfence.)
Post Relacionado: Melhores Plugins de Firewall para WordPress Comparados
Configure Backups Automatizados
Assim que seu site estiver limpo, o próximo passo é garantir que você nunca mais perca seu trabalho árduo. Backups regulares podem te salvar de grandes dores de cabeça se seu site for hackeado, travar ou sofrer perda acidental de dados.
Recomendamos o uso do Duplicator para configurar backups automatizados para seu site WordPress. É um plugin poderoso e fácil de usar que permite criar backups completos e armazená-los com segurança.
Por que recomendamos o Duplicator
Usamos o Duplicator em muitos dos nossos próprios sites e descobrimos que ele é a solução de backup do WordPress mais confiável do mercado. Com o Duplicator, você pode:
- Automatize Backups Agendados — Configure e esqueça. O Duplicator faz backup automático do seu site em intervalos regulares.
- Armazene Backups na Nuvem — Salve seus backups no Google Drive, Dropbox, Amazon S3 e outros.
- Restaure em 1 clique — Recupere rapidamente seu site com um único clique se algo der errado.
Para saber mais, confira nossa análise detalhada do Duplicator. Ou, se você estiver procurando por alternativas, pode ver nossa seleção dos melhores plugins de backup do WordPress.
Recupere o Controle da Segurança do Seu Site
Lidar com injeções de links de spam pode parecer difícil, mas lembre-se — você não está sozinho. Quer você escolha resolver o problema sozinho ou contratar especialistas, o importante é abordar o problema de forma rápida e completa.
A prevenção é sempre melhor do que o controle de danos. Ao configurar medidas de segurança adequadas e permanecer vigilante, você pode reduzir significativamente o risco de ataques futuros.
Pense nisso como um investimento no futuro do seu site — um que lhe renderá tranquilidade e receita protegida.
Perguntas Frequentes
Como saber se meu site WordPress foi injetado com links de spam?
Verifique o Google Search Console em busca de avisos de segurança, pesquise seu site no Google usando site:seudominio.com para identificar páginas suspeitas e execute uma varredura com um plugin de segurança como Wordfence ou Sucuri para detectar código malicioso.
Injeções de links de spam podem prejudicar meu ranking no Google?
Sim. O Google pode sinalizar seu site como comprometido ou até mesmo removê-lo dos resultados de pesquisa temporariamente. Isso pode causar uma queda significativa no tráfego orgânico e na receita até que o problema seja resolvido.
É seguro limpar um site WordPress hackeado por conta própria?
Se você se sente confortável trabalhando com FTP, seu banco de dados e plugins de segurança, pode seguir um guia passo a passo para limpá-lo sozinho. No entanto, se você não tem certeza, contratar um especialista em segurança WordPress é a opção mais segura.
Como os hackers injetam links de spam no WordPress?
Os hackers geralmente exploram plugins desatualizados, senhas fracas ou vulnerabilidades conhecidas para obter acesso. Em seguida, eles injetam código malicioso em seu banco de dados, arquivos de tema, arquivos de plugin ou arquivos principais como .htaccess e wp-config.php.
Como posso prevenir injeções de links de spam no futuro?
Mantenha o WordPress, temas e plugins atualizados, use senhas fortes e exclusivas, instale um firewall de aplicativo web como o Cloudflare, execute varreduras de segurança regulares e configure backups automatizados para que você possa restaurar seu site rapidamente, se necessário.
Recursos Adicionais de Segurança do WordPress
Manter seu site WordPress seguro é essencial para o crescimento do seu negócio. Aqui, reunimos alguns recursos úteis que você pode seguir para melhorar a segurança do seu site:
- Guia para Iniciantes para Corrigir Seu Site WordPress Hackeado
- Como Realizar uma Auditoria de Segurança do WordPress (Checklist Completo)
- Como Bloqueei 18.000 Ataques de Spam de Leads no Meu Formulário WordPress
- O Guia Definitivo de Segurança do WordPress — Passo a Passo
- Como Prevenir Ataques de Injeção de SQL no WordPress
- Como Impedir que o WordPress Redirecione para Sites de Spam
- Como Proteger Seu Site WordPress Contra Ataques de Força Bruta
- Dicas Essenciais para Proteger sua Área de Administrador do WordPress
- Como Redefinir Senhas para Todos os Usuários no WordPress
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Tem alguma pergunta ou sugestão? Por favor, deixe um comentário para iniciar a discussão.