⚠️ Seu site parece normal para você… mas redireciona visitantes?
Esse é um dos tipos de infecção mais perigosos e discretos em sites WordPress. O cloaking e o geo-redirecionamento malicioso são técnicas usadas por invasores para exibir conteúdos diferentes de acordo com:
- 🌍 A região geográfica do visitante
- 📱 O tipo de dispositivo (mobile ou desktop)
- 🕵️ Se o usuário é um robô do Google ou humano
💣 Isso permite que o malware evite detecção por você e por mecanismos de segurança, enquanto mostra spam, vírus ou páginas falsas para o restante dos visitantes.
🕵️ Como identificar se seu site está sendo vítima de cloaking
Mesmo se seu site parecer perfeitamente normal para você, verifique os seguintes sintomas:
🧪 Testes simples:
- 🔍 Acesse o site em modo anônimo ou de outro dispositivo e IP
- 📱 Acesse via 4G ou VPN, simulando visitantes de outro país
- 🔄 Veja se há redirecionamento para páginas como:
- Cassinos
- Sites adultos
- Baixadores falsos de antivírus
- Páginas em outro idioma
📈 Sinais técnicos:
- Tráfego anormal vindo de páginas que você não criou
- Aumento de URLs falsas indexadas no Google
- Alertas de segurança no Search Console (como “Cloaking detectado” ou “Conteúdo enganoso”)
🔍 Como funciona o cloaking no WordPress?
Os hackers utilizam técnicas como:
| Técnica | Como Funciona |
|---|---|
| Verificação de IP geográfico | Se o IP for brasileiro, exibe o site normal. Se for europeu, redireciona para spam. |
| User-Agent Detection | Exibe uma versão falsa se o visitante for do Googlebot ou de um navegador comum. |
| Injeção no .htaccess | Adicionam regras que direcionam para URLs externas, dependendo do visitante. |
| Códigos em JavaScript ofuscados | Detectam movimento do mouse, dispositivo ou região e ativam redirecionamentos silenciosos. |
🧼 Como remover cloaking e geo-redirecionamento
✅ 1. Faça uma verificação com plugin especializado
- Instale o Anti-Malware Security and Brute-Force Firewall (GOTMLS.NET)
- Execute a verificação completa
- Corrija arquivos infectados e revise os colocados em quarentena
✅ 2. Verifique o arquivo .htaccess
- Procure por linhas estranhas como:
apacheCopiarEditarRewriteCond %{HTTP_USER_AGENT} .*curl.*
RewriteRule ^(.*)$ http://spam-site.com [R,L]
- Restaure o
.htaccesspadrão do WordPress
✅ 3. Analise arquivos como:
functions.phpdo seu temawp-config.php- Plugins recém-instalados ou desconhecidos
Procure por funções como base64_decode, eval, preg_replace, gzinflate com strings estranhas
🛡️ Como evitar que isso aconteça de novo
- ✅ Atualize todos os plugins e temas
- ✅ Use Wordfence ou outro firewall de aplicação
- ✅ Instale o Limit Login Attempts Reloaded
- ✅ Desative o XML-RPC, se não usar
- ✅ Crie regras no
.htaccesspara bloquear agentes suspeitos (se souber fazer com cuidado)
💬 Exemplo real que limpamos na Server Express:
“O cliente relatava que o site estava normal, mas clientes do Japão e da Alemanha viam páginas de pornografia e jogos de azar. Após análise, detectamos 3 backdoors, scripts em base64 no functions.php e regras no .htaccess com redirecionamentos por IP. Tudo foi limpo com uso do GOTMLS, regras foram removidas e medidas de hardening aplicadas. Hoje, o site está 100% seguro e monitorado.”
✅ Conclusão
Cloaking e geo-redirecionamento são formas silenciosas de sequestro de tráfego.
Se o seu site estiver passando por isso, você pode nem perceber — mas o Google sim.
⚠️ Esse tipo de ataque compromete a reputação, SEO, e pode levar à desindexação completa.
Ao menor sinal de comportamento estranho em seu site WordPress, investigue com profundidade.
Na dúvida, nossa equipe da Server Express está pronta para ajudar.
