Meu site foi hackeado: o que fazer agora, na ordem certa
Primeiro, o pronto-socorro na ordem certa: troque as senhas de tudo que encosta no site (hospedagem, painel, e-mail, FTP), acione o suporte da hospedagem avisando da invasão, e se o site estiver fazendo vítimas (redirecionando pra golpe, espalhando vírus), tire do ar com uma página de manutenção enquanto durar a limpeza. Depois vêm o backup limpo, a porta de entrada e o Google. Cada passo está detalhado abaixo.
Segundo, o que NÃO fazer: apagar tudo no pânico, "reinstalar do zero" sem guardar cópia, ou esconder o problema da equipe. A cópia do site infectado é a prova de como entraram; sem ela, você limpa a casa e deixa a mesma janela aberta. Respira. Site hackeado tem conserto, e quase nunca é o desastre que parece na primeira hora.
Os passos, com calma
Senhas primeiro porque é a porta mais barata de fechar. Todas, não só a que você desconfia: hospedagem, painel do site, banco, FTP e o e-mail que recebe as recuperações de senha dessas contas (se o invasor tem o seu e-mail, ele recupera todo o resto). Senhas novas, únicas, de um computador que você confia.
Hospedagem em seguida porque é quem tem acesso aos bastidores. Suporte de hospedagem lida com invasão toda semana: eles varrem malware, olham logs de acesso e dizem o que foi comprometido. Abra o chamado com "site invadido" e o que você já observou. Aliás, se o site simplesmente caiu e você nem sabe se foi invasão, comece pelo diagnóstico geral que escrevi em site fora do ar.
Backup limpo pra voltar ao ar rápido: restaurar uma cópia de antes da invasão é o caminho mais curto de volta. Aqui aparece a pergunta que separa as empresas: existe backup? De quando? Guardado fora da hospedagem? Se a resposta for não, a limpeza é manual, mais lenta e mais cara, e a lição fica anotada pra próxima seção.
A porta de entrada é o passo que todo mundo pula, e por isso tanto site é invadido duas vezes. Na esmagadora maioria dos casos a entrada foi um plugin ou tema desatualizado do WordPress com falha conhecida, uma senha fraca ou vazada, ou uma hospedagem ruim. Robôs varrem a internet o dia inteiro procurando essas portas; não foi nada pessoal contra a sua empresa. Atualize tudo, remova plugin abandonado, confira se não criaram usuário administrador estranho, ligue o duplo fator. Restaurou sem fechar a porta? O robô volta amanhã.

Se dados de clientes vazaram
Formulários, cadastros, histórico de pedidos: se o site guardava dado pessoal e ele pode ter sido copiado, a LGPD entra em cena. Avalie a extensão com quem estiver te ajudando na limpeza, documente o que aconteceu e o que foi feito, e, havendo risco relevante pros titulares, comunique a ANPD e os afetados. Sei que a tentação de ficar quieto é grande. Resista: cliente que descobre o vazamento sozinho não perdoa, e a multa por esconder é maior que o constrangimento de avisar. O básico da lei pro seu site eu expliquei em LGPD no site da empresa.
Por que isso aconteceu (e como não repetir)
A verdade desconfortável: site invadido é quase sempre site sem dono. Montado anos atrás, nunca mais atualizado, sem backup testado, com a senha do e-mail do sobrinho. Funciona até o dia em que um robô encontra a versão velha do plugin de formulário. A prevenção não tem segredo, tem rotina: atualização em dia, backup automático guardado fora da hospedagem, senhas únicas com duplo fator, hospedagem séria e alguém olhando. Meia dúzia de hábitos que transformam a invasão de "quando" em "quase nunca", e, se acontecer, de tragédia em chateação de uma tarde.
É o mesmo argumento da continuidade que eu repito desde 2012: site não é produto que se entrega e abandona, é ativo que se cuida. Nos meus projetos a manutenção faz parte do combinado justamente por isso, e em mais de 350 projetos entregues, invasão é notícia rara por aqui. Se o seu fornecedor sumiu depois da entrega, escrevi sobre esse padrão também.

Quer uma segunda opinião?
Se o seu site está invadido AGORA, esse resgate é um dos meus serviços: eu faço a remoção de vírus com atendimento urgente, conserto o estrago, fecho a porta e deixo protegido com backup. Já foram mais de 100 sites recuperados assim.
E se você leu o artigo inteiro com um frio na barriga porque não sabe responder "existe backup?", me chama antes do problema. Na análise gratuita eu olho a estrutura do seu site com olhos de quem faz isso há mais de uma década, aponto as portas destrancadas e te devolvo um plano honesto do que arrumar primeiro, com resposta rápida. Melhor conferir a fechadura agora do que trocar todas as portas depois.
Perguntas frequentes
Como saber se meu site foi hackeado?
Sinais clássicos: páginas com conteúdo estranho (remédio, apostas, texto em outro idioma), redirecionamento pra sites desconhecidos, aviso vermelho do Google ("este site pode ter sido invadido"), queda brusca de visitas, e-mails da empresa caindo em spam ou a hospedagem avisando de atividade suspeita. Qualquer um deles já justifica agir.
O que fazer primeiro quando o site é invadido?
Trocar as senhas de tudo que encosta no site (hospedagem, painel do site, e-mail, FTP), a partir de um computador confiável, e acionar o suporte da hospedagem avisando da invasão. Essas duas ações fecham a porta mais comum e colocam alguém com acesso aos bastidores trabalhando junto.
Preciso tirar o site do ar?
Se ele está espalhando vírus, redirecionando visitantes pra golpe ou exibindo conteúdo impróprio, sim, temporariamente: uma página de manutenção protege seus clientes e sua marca enquanto se limpa a casa. A hospedagem faz isso rápido. Site hackeado no ar trabalhando contra você é pior que site fora do ar.
Como o site foi invadido?
Na esmagadora maioria dos casos que eu vejo: WordPress, tema ou plugin desatualizado com falha conhecida, senha fraca ou reaproveitada que vazou, ou hospedagem de quinta compartilhada com sites já infectados. Quase nunca é um ataque direcionado à sua empresa; são robôs varrendo a internet atrás de portas conhecidas abertas.
Vazaram dados de clientes. E agora?
Se o site guardava dados pessoais (formulários, cadastros, pedidos), a LGPD entra em cena: avalie a extensão do vazamento e, se houver risco relevante aos titulares, a empresa deve comunicar a ANPD e os afetados. Documente tudo que foi feito. Transparência dói menos que o cliente descobrir sozinho.
Leia também
Como divulgar o site da empresa: o que é grátis, o que vale pagar
Site no ar e ninguém visita? Veja a ordem certa pra divulgar: os canais gratuitos que quase ninguém completa e a hora certa de pagar anúncio sem queimar verba.
ComparativoCriar site com IA vale a pena? O que ela entrega e onde quebra
Dá pra criar site com IA em minutos, e de graça. A pergunta é se esse site sustenta uma empresa. Veja onde funciona, onde quebra e como usar IA a seu favor.
GuiaDomínio .com ou .com.br: qual escolher pro site da empresa
Empresa brasileira vendendo no Brasil: .com.br. Exporta ou mira fora: .com junto. Veja o porquê, os preços reais e as regras pra escolher um bom nome.