🔁 Seu WordPress Foi Hackeado e Continua Sendo Reinfectado? Veja o Que Pode Estar Por Trás

---

✅ Palavras-chave principais (SEO):

• WordPress reinfectado
• site hackeado continua com vírus
• reinfecção WordPress
• shell persistente WordPress
• limpar site WordPress definitivamente
• backdoor WordPress
• WordPress continua sendo invadido

---

🚨 Introdução

Você limpou o seu site WordPress.
Rodou plugins de segurança, removeu arquivos estranhos…
Mas dois dias depois, os mesmos malwares voltam.

❗ Isso não é normal.
❗ Isso é sinal de que existe um backdoor ainda ativo no seu site.

Essas reinfecções são causadas por códigos persistentes escondidos no seu servidor — e, em muitos casos, nem plugins de segurança detectam.

Neste artigo, vamos explicar:

• Como funciona uma reinfecção por malware
• Onde os backdoors geralmente se escondem
• E como resolver de forma definitiva

---

🦠 Por Que Sites WordPress Reinfectam?

Quando um site é hackeado, limpar os sintomas não é o suficiente.
Você precisa eliminar a causa da infecção, que pode estar:

Origem da reinfecção	O que acontece
Shell persistente (backdoor)	Arquivo escondido que permite reentradas remotas
Plugins e temas piratas	Contêm códigos maliciosos que reativam a infecção
Permissões mal configuradas	Facilitam a reescrita de arquivos do WordPress
Servidor mal configurado ou vulnerável	Mesmo limpando o site, o hacker acessa novamente
Sites vizinhos em hospedagem compartilhada	A infecção vem de outro site hospedado no mesmo servidor

---

🧨 O Que é um Shell Persistente?

Um shell é um script escondido no servidor que permite que o hacker continue tendo acesso, mesmo após a limpeza.

Esses arquivos normalmente:

• Têm nomes inocentes: functions.php, social.png, style.php
• Estão fora das pastas principais (ex: /wp-content/uploads/2022/12/)
• Raramente aparecem em varreduras básicas

📌 Quando o hacker quiser, ele ativa esse shell e injeta o malware novamente, como se tivesse a chave da porta de casa.

---

🔍 Como Identificamos Reinfecções na Prática

Na Server Express, acompanhamos muitos casos como esse.
Veja um cenário comum:

🧾 Caso real de reinfecção:

1. O site é invadido, centenas de páginas falsas são criadas
2. O cliente usa um plugin de segurança e remove os arquivos maliciosos
3. Após 3 dias, as mesmas páginas voltam, com novos nomes
4. Descobrimos:
   • Um shell escondido no /wp-content/uploads com extensão .jpg
   • .htaccess em subpastas criando redirecionamentos
   • Um script injetando código malicioso via cron

---

🛠️ Etapas para Eliminar Reinfecções de Forma Definitiva

1. Varredura completa com plugins confiáveis

Utilizamos:

• Anti-Malware Security (GOTMLS.NET)
• Wordfence
• MalCare (verificação externa)

Verificamos todos os arquivos e o banco de dados.

---

2. Busca manual por arquivos suspeitos

Inspecionamos pastas como:

• /uploads/
• /themes/ e /plugins/ (especialmente os desativados)
• /wp-content/languages/
• Pastas fora do WordPress: /tmp/, /cgi-bin/

🔍 Procuramos arquivos com:

• Permissões incomuns (777)
• Extensões .php em locais onde não deveriam estar
• Tamanhos muito pequenos (1-5 KB) com códigos ofuscados

---

3. Reinstalação dos arquivos principais do WordPress

Reinstalamos os diretórios:

• wp-admin
• wp-includes
• Arquivos raiz como index.php, wp-settings.php

Isso garante que nenhum código modificado continue no core do WordPress.

---

4. Limpeza profunda do banco de dados

Alguns backdoors se escondem em:

• wp_options com autoloads ocultos
• wp_posts com scripts em campos de conteúdo
• wp_users com usuários ocultos

Removemos entradas maliciosas e checamos funções de redirecionamento e cron jobs.

---

5. Mudanças em segurança e permissões

Ação	Por quê
Mudar todas as senhas (FTP, cPanel, Admin WP)	Hacker pode ter acesso persistente
Corrigir permissões de arquivos (644 / 755)	Impede execução de scripts maliciosos
Desabilitar execução de PHP fora de /wp-content	Evita shells escondidos
Desativar temas e plugins não utilizados	Reduz superfícies de ataque

---

🔐 Proteções que Adicionamos Após a Limpeza

• Firewall com bloqueio de IPs suspeitos
• Proteção de login (2FA + limite de tentativas)
• Monitoramento constante com plugin de segurança
• Notificações de alterações em arquivos
• Verificações programadas semanais

---

❗ Atenção com Hospedagens Compartilhadas

Se o seu site volta a ser infectado mesmo após limpeza profissional, pode ser:

• Outro site na mesma hospedagem está comprometido
• O servidor está vulnerável a ataques laterais
• Não há isolamento entre sites (problema comum em hospedagens baratas)

📌 Nesses casos, mover seu site para uma hospedagem mais segura pode ser necessário.

---

🧠 Conclusão

Se o seu site WordPress foi hackeado e continua sendo reinfectado, é sinal de que:

• Alguma porta ainda está aberta
• Existe um backdoor ativo ou configuração insegura
• Ou seu servidor está exposto

A Server Express já ajudou dezenas de sites com esse problema.

🎯 Nossa missão é resolver a causa real da infecção, e não apenas apagar os sintomas.

Entre em contato com nossa equipe de especialistas. Vamos te ajudar a recuperar e proteger seu site de forma definitiva.

---

🏷️ Tags SEO:

WordPress reinfecção, site hackeado de novo, malware retornando, como remover shell WordPress, site WordPress sempre hackeado, backdoor WordPress, limpar vírus WordPress completamente

---