Meu site foi hackeado: o que fazer agora, na ordem certa

Por Darlei Cordeiro 7 min de leitura
Ilustração de uma janela de site com o cadeado quebrado

Primeiro, o pronto-socorro na ordem certa: troque as senhas de tudo que encosta no site (hospedagem, painel, e-mail, FTP), acione o suporte da hospedagem avisando da invasão, e se o site estiver fazendo vítimas (redirecionando pra golpe, espalhando vírus), tire do ar com uma página de manutenção enquanto durar a limpeza. Depois vêm o backup limpo, a porta de entrada e o Google. Cada passo está detalhado abaixo.

Segundo, o que NÃO fazer: apagar tudo no pânico, "reinstalar do zero" sem guardar cópia, ou esconder o problema da equipe. A cópia do site infectado é a prova de como entraram; sem ela, você limpa a casa e deixa a mesma janela aberta. Respira. Site hackeado tem conserto, e quase nunca é o desastre que parece na primeira hora.

Os passos, com calma

Senhas primeiro porque é a porta mais barata de fechar. Todas, não só a que você desconfia: hospedagem, painel do site, banco, FTP e o e-mail que recebe as recuperações de senha dessas contas (se o invasor tem o seu e-mail, ele recupera todo o resto). Senhas novas, únicas, de um computador que você confia.

Hospedagem em seguida porque é quem tem acesso aos bastidores. Suporte de hospedagem lida com invasão toda semana: eles varrem malware, olham logs de acesso e dizem o que foi comprometido. Abra o chamado com "site invadido" e o que você já observou. Aliás, se o site simplesmente caiu e você nem sabe se foi invasão, comece pelo diagnóstico geral que escrevi em site fora do ar.

Backup limpo pra voltar ao ar rápido: restaurar uma cópia de antes da invasão é o caminho mais curto de volta. Aqui aparece a pergunta que separa as empresas: existe backup? De quando? Guardado fora da hospedagem? Se a resposta for não, a limpeza é manual, mais lenta e mais cara, e a lição fica anotada pra próxima seção.

A porta de entrada é o passo que todo mundo pula, e por isso tanto site é invadido duas vezes. Na esmagadora maioria dos casos a entrada foi um plugin ou tema desatualizado do WordPress com falha conhecida, uma senha fraca ou vazada, ou uma hospedagem ruim. Robôs varrem a internet o dia inteiro procurando essas portas; não foi nada pessoal contra a sua empresa. Atualize tudo, remova plugin abandonado, confira se não criaram usuário administrador estranho, ligue o duplo fator. Restaurou sem fechar a porta? O robô volta amanhã.

Ilustração de chaves antigas sendo trocadas por chaves novas num chaveiro

Se dados de clientes vazaram

Formulários, cadastros, histórico de pedidos: se o site guardava dado pessoal e ele pode ter sido copiado, a LGPD entra em cena. Avalie a extensão com quem estiver te ajudando na limpeza, documente o que aconteceu e o que foi feito, e, havendo risco relevante pros titulares, comunique a ANPD e os afetados. Sei que a tentação de ficar quieto é grande. Resista: cliente que descobre o vazamento sozinho não perdoa, e a multa por esconder é maior que o constrangimento de avisar. O básico da lei pro seu site eu expliquei em LGPD no site da empresa.

Não pague resgate. Se a invasão veio com pedido de dinheiro pra "devolver" o site, não alimente: com backup e hospedagem decente, você recupera tudo sem financiar o golpe. E registre boletim de ocorrência, ajuda em disputa futura com seguradora, banco ou plataforma.

Por que isso aconteceu (e como não repetir)

A verdade desconfortável: site invadido é quase sempre site sem dono. Montado anos atrás, nunca mais atualizado, sem backup testado, com a senha do e-mail do sobrinho. Funciona até o dia em que um robô encontra a versão velha do plugin de formulário. A prevenção não tem segredo, tem rotina: atualização em dia, backup automático guardado fora da hospedagem, senhas únicas com duplo fator, hospedagem séria e alguém olhando. Meia dúzia de hábitos que transformam a invasão de "quando" em "quase nunca", e, se acontecer, de tragédia em chateação de uma tarde.

É o mesmo argumento da continuidade que eu repito desde 2012: site não é produto que se entrega e abandona, é ativo que se cuida. Nos meus projetos a manutenção faz parte do combinado justamente por isso, e em mais de 350 projetos entregues, invasão é notícia rara por aqui. Se o seu fornecedor sumiu depois da entrega, escrevi sobre esse padrão também.

Ilustração de um escudo reconstruído e reforçado protegendo uma janela de site

Quer uma segunda opinião?

Se o seu site está invadido AGORA, esse resgate é um dos meus serviços: eu faço a remoção de vírus com atendimento urgente, conserto o estrago, fecho a porta e deixo protegido com backup. Já foram mais de 100 sites recuperados assim.

E se você leu o artigo inteiro com um frio na barriga porque não sabe responder "existe backup?", me chama antes do problema. Na análise gratuita eu olho a estrutura do seu site com olhos de quem faz isso há mais de uma década, aponto as portas destrancadas e te devolvo um plano honesto do que arrumar primeiro, com resposta rápida. Melhor conferir a fechadura agora do que trocar todas as portas depois.

Perguntas frequentes

Como saber se meu site foi hackeado?

Sinais clássicos: páginas com conteúdo estranho (remédio, apostas, texto em outro idioma), redirecionamento pra sites desconhecidos, aviso vermelho do Google ("este site pode ter sido invadido"), queda brusca de visitas, e-mails da empresa caindo em spam ou a hospedagem avisando de atividade suspeita. Qualquer um deles já justifica agir.

O que fazer primeiro quando o site é invadido?

Trocar as senhas de tudo que encosta no site (hospedagem, painel do site, e-mail, FTP), a partir de um computador confiável, e acionar o suporte da hospedagem avisando da invasão. Essas duas ações fecham a porta mais comum e colocam alguém com acesso aos bastidores trabalhando junto.

Preciso tirar o site do ar?

Se ele está espalhando vírus, redirecionando visitantes pra golpe ou exibindo conteúdo impróprio, sim, temporariamente: uma página de manutenção protege seus clientes e sua marca enquanto se limpa a casa. A hospedagem faz isso rápido. Site hackeado no ar trabalhando contra você é pior que site fora do ar.

Como o site foi invadido?

Na esmagadora maioria dos casos que eu vejo: WordPress, tema ou plugin desatualizado com falha conhecida, senha fraca ou reaproveitada que vazou, ou hospedagem de quinta compartilhada com sites já infectados. Quase nunca é um ataque direcionado à sua empresa; são robôs varrendo a internet atrás de portas conhecidas abertas.

Vazaram dados de clientes. E agora?

Se o site guardava dados pessoais (formulários, cadastros, pedidos), a LGPD entra em cena: avalie a extensão do vazamento e, se houver risco relevante aos titulares, a empresa deve comunicar a ANPD e os afetados. Documente tudo que foi feito. Transparência dói menos que o cliente descobrir sozinho.

Análise gratuita

O seu site mostra o tamanho que a sua indústria tem?

Me conta sobre a sua indústria. Eu olho o seu site sem custo e te mostro, na prática, onde ele deixa o comprador desconfiado e o que fazer pra ele mostrar a força que a sua estrutura tem. E-mail e suporte entram na conversa também.

Resposta rápida, sem compromisso, direto no seu WhatsApp.

Pedir minha análise gratuita

Me chama no WhatsApp, quem responde sou eu Fale comigo no WhatsApp