Sites WordPress são alvos de ataques de phishing com mais frequência do que a maioria dos proprietários de sites imagina. Os invasores usam seu domínio, sua marca e a confiança de seus usuários para roubar credenciais, dados de pagamento e informações pessoais.
Este guia aborda todos os tipos de ataques de phishing direcionados a sites WordPress, como reconhecê-los antes que causem danos e exatamente como impedi-los.
Os ataques de phishing no WordPress são tentativas de invasores de roubar informações confidenciais, personificando seu site, sua marca ou serviços confiáveis com os quais seus usuários interagem. Esses ataques incluem páginas de login falsas, notificações fraudulentas por e-mail, formulários para coleta de credenciais e páginas maliciosas injetadas em sites WordPress comprometidos. Reconhecer e impedir esses ataques exige uma combinação de medidas técnicas de segurança, treinamento de usuários e monitoramento ativo.
Tipos de ataques de phishing direcionados a sites WordPress
Os ataques de phishing em sites WordPress seguem padrões previsíveis. Saber quais tipos existem ajuda você a identificá-los mais rapidamente e a corrigir as vulnerabilidades específicas que cada um explora.

- Ataques com páginas de login falsas: os atacantes criam cópias convincentes da sua página de login do WordPress para capturar as credenciais de administrador dos proprietários do site ou de usuários que não percebem a diferença na URL.
- Ataques de falsificação de e-mail: E-mails fraudulentos enviados em nome da sua marca direcionam os destinatários para páginas de login falsas ou formulários maliciosos criados para capturar credenciais ou dados de pagamento.
- Phishing em Sites Comprometidos: Os atacantes que obtêm acesso ao seu site WordPress injetam páginas de phishing ocultas, visando usuários de outras marcas, utilizando a credibilidade do seu domínio e os recursos de hospedagem.
- Falsificação de Plugins e Temas: Notificações falsas de atualização de plugins ou páginas fraudulentas de download de temas enganam administradores, levando-os a instalar malware disfarçado de atualizações de software legítimas.
- Phishing de pagamento no WooCommerce: Páginas de finalização de compra falsas ou e-mails de confirmação de pagamento coletam dados de cartão de crédito e informações pessoais de visitantes de lojas WooCommerce.
- Phishing de redefinição de senha: e-mails falsos de redefinição de senha, idênticos às notificações legítimas do WordPress, direcionam os usuários para páginas de coleta de credenciais, projetadas para capturar novas senhas.
- Phishing de Notificação de Administrador: E-mails que se fazem passar pelo núcleo do WordPress, provedores de hospedagem ou plugins de segurança notificam os administradores sobre falsos problemas críticos que exigem login imediato por meio de um link fraudulento.
Como reconhecer um ataque de phishing no WordPress?
Detectar ataques de phishing precocemente limita significativamente os danos. Estes são os sinais que indicam que algo está errado.
Arquivos ou páginas incomuns em seu servidor
Se você descobrir páginas em seu site que não criou, especialmente aquelas que imitam páginas de login de outras marcas ou que contêm formulários que solicitam informações confidenciais, seu site foi comprometido e está sendo usado para phishing.
Execute uma verificação completa de arquivos com o Wordfence ou o Sucuri e procure por arquivos criados ou modificados recentemente, principalmente nas pastas wp-content, wp-includes e na pasta do seu tema. Os atacantes costumam esconder páginas de phishing em diretórios com aparência legítima e nomes de arquivos inócuos.
E-mails suspeitos usando seu domínio
Se seus clientes relatarem ter recebido e-mails do seu domínio que você não enviou, ou se seu provedor de e-mail sinalizar atividades de envio incomuns, é possível que invasores tenham obtido acesso às suas credenciais de e-mail ou estejam falsificando seu domínio para enviar mensagens de phishing.
Verifique imediatamente os registros de envio de e-mails. Configure os registros DMARC, DKIM e SPF em seu domínio, caso ainda não estejam configurados. Esses padrões de autenticação de e-mail dificultam significativamente o envio de e-mails de phishing convincentes por invasores, que aparentam vir do seu domínio.
Avisos de navegação segura do Google
Se o Google sinalizar seu site como perigoso ou se os visitantes virem uma página de aviso vermelha antes do carregamento do seu site, o Google detectou conteúdo de phishing em seu domínio. Verifique sua conta do Google Search Console em busca de alertas de segurança e execute seu URL no Relatório de Transparência de Navegação Segura do Google.
Um alerta de Navegação Segura significa que o Google encontrou páginas de phishing, malware ou conteúdo enganoso em seu domínio. Isso exige investigação imediata, remoção do problema e uma solicitação de reconsideração antes que o Google remova o aviso e restaure o acesso normal ao seu site.
Picos inesperados de tráfego para páginas desconhecidas
Um aumento repentino no tráfego para páginas que você não reconhece nos seus dados do Google Analytics é um forte indicador de que invasores inseriram páginas de phishing e estão direcionando tráfego para elas por meio de e-mails de phishing ou outros canais.
Verifique seu relatório em tempo real do GA4 e seu relatório de cobertura do Search Console em busca de URLs que você não reconhece. Qualquer página que apareça em suas análises e que você não tenha criado precisa ser investigada imediatamente.
Como impedir ataques de phishing no WordPress: passo a passo
Para impedir ataques de phishing, é necessário tanto evitar que seu site seja comprometido em primeiro lugar quanto fortalecê-lo contra os vetores específicos que os invasores usam para injetar conteúdo de phishing.

Passo 1: Proteja seu acesso administrativo ao WordPress
A forma mais comum de invasores injetarem conteúdo de phishing em sites WordPress é por meio de contas de administrador comprometidas. Proteja todas as contas de administrador com uma senha forte e exclusiva e habilite a autenticação de dois fatores para todos os usuários com acesso de administrador.
Altere o nome de usuário padrão do administrador, caso ainda não o tenha feito. Habilite a limitação de tentativas de login para impedir ataques de força bruta. Considere restringir o acesso do WP-Admin a endereços IP específicos se sua equipe fizer login de locais consistentes. Cada melhoria na segurança da conta de administrador reduz diretamente o risco de uma invasão bem-sucedida que permita a injeção de conteúdo de phishing.
Passo 2: Mantenha o WordPress, os plugins e os temas atualizados
Plugins e temas desatualizados são o ponto de entrada mais comum para atacantes que buscam comprometer sites WordPress para campanhas de phishing. Vulnerabilidades de segurança em plugins populares são descobertas regularmente e corrigidas rapidamente, mas a proteção do seu site só é garantida se você aplicar as atualizações.
Ative as atualizações automáticas para o núcleo do WordPress e para plugins focados em segurança. Revise sua lista de plugins e remova aqueles que você não usa ativamente. Cada plugin inativo com uma vulnerabilidade não corrigida é uma porta aberta para ataques, mesmo que você não utilize suas funcionalidades.
Passo 3: Instale um plugin de segurança do WordPress com verificação de malware
Um plugin de segurança que verifica ativamente seus arquivos em busca de assinaturas de malware conhecidas e conteúdo de phishing é uma das defesas mais eficazes contra ataques de phishing em sites comprometidos. Tanto o Wordfence quanto o Sucuri verificam modelos de páginas de phishing conhecidos e sinalizam alterações suspeitas nos arquivos.
Configure seu plugin de segurança para executar verificações diárias e enviar alertas por e-mail quando arquivos suspeitos forem detectados. Habilite o monitoramento de alterações de arquivos em tempo real para ser notificado imediatamente quando novos arquivos forem criados ou arquivos existentes forem modificados inesperadamente. A detecção precoce de páginas de phishing injetadas limita significativamente os danos que elas podem causar antes da limpeza.
Etapa 4: Configurar registros de autenticação de e-mail
Se os atacantes estiverem falsificando seu domínio para enviar e-mails de phishing em nome da sua marca, os registros de autenticação de e-mail são sua principal defesa. Os registros SPF, DKIM e DMARC informam aos servidores de e-mail destinatários que os e-mails que alegam ser do seu domínio só devem ser considerados confiáveis se vierem de suas fontes de envio autorizadas.
Adicione um registro SPF ao seu DNS listando todos os servidores autorizados a enviar e-mails em seu nome. Configure a assinatura DKIM por meio do seu provedor de e-mail para assinar criptograficamente as mensagens enviadas. Configure uma política DMARC que instrua os servidores de recebimento a rejeitar ou colocar em quarentena e-mails que não passarem nas verificações de SPF ou DKIM. Esses três registros, em conjunto, tornam seu domínio significativamente mais difícil de ser falsificado em campanhas de phishing.
Etapa 5: Ativar um firewall de aplicativos da Web
Um firewall de aplicações web (WAF) fica entre o seu site WordPress e o tráfego de entrada, bloqueando padrões de ataque conhecidos antes que eles cheguem ao seu site. Tanto o Wordfence quanto o Cloudflare oferecem soluções de WAF que incluem regras especificamente projetadas para detectar e bloquear padrões de ataque relacionados a phishing.
Habilite seu WAF e mantenha suas regras atualizadas. Configure-o para bloquear o tráfego de faixas de IP maliciosas conhecidas e para alertá-lo quando padrões de ataque forem detectados. Um WAF não substitui outras medidas de segurança, mas adiciona uma camada importante que impede muitos ataques automatizados antes que eles consigam se infiltrar em seu site.
Etapa 6: Monitore seu site em busca de alterações não autorizadas
O monitoramento ativo detecta injeções de conteúdo de phishing mais rapidamente do que qualquer medida reativa. Configure seu plugin de segurança para monitorar a integridade dos arquivos e alertá-lo imediatamente quando arquivos forem adicionados, modificados ou excluídos inesperadamente.
Configure um sistema de monitoramento de disponibilidade que verifique não apenas se o seu site está acessível, mas também se páginas específicas exibem o conteúdo correto. Um serviço de monitoramento que detecta alterações inesperadas no conteúdo da página pode alertá-lo sobre páginas de phishing inseridas em questão de minutos após a sua inclusão, em vez de dias ou semanas depois, quando as reclamações dos clientes começam a surgir.
Etapa 7: Implementar cabeçalhos de política de segurança de conteúdo
Um cabeçalho de Política de Segurança de Conteúdo (CSP) informa aos navegadores quais fontes de conteúdo são confiáveis em suas páginas. Uma CSP bem configurada impede que invasores injetem scripts externos ou redirecionem seus usuários para páginas externas maliciosas, mesmo que consigam injetar código em seu site.
Adicione cabeçalhos CSP ao seu site WordPress por meio do seu plugin de segurança ou da configuração do servidor. Comece com uma política que apenas gere relatórios para identificar o que seu site carrega atualmente e, em seguida, aplique-a. Gradualmente, restrinja a política para limitar o carregamento de conteúdo apenas às fontes que seu site realmente precisa.
Como proteger os clientes do WooCommerce contra phishing?
Lojas WooCommerce são alvos particularmente atraentes para phishing porque processam informações de pagamento e armazenam dados de contas de clientes. Seus clientes precisam de proteções específicas que vão além da segurança padrão de sites WordPress.
Use HTTPS em todas as páginas
Todas as páginas da sua loja WooCommerce devem carregar via HTTPS. Um certificado SSL válido é o sinal mínimo de confiança que os clientes usam para verificar se estão em um site legítimo. Uma página HTTP ou um aviso de conteúdo misto indica aos clientes preocupados com a segurança que algo está errado e não oferece proteção contra a interceptação de credenciais.
Redirecione todo o tráfego HTTP para HTTPS no nível do servidor e configure as definições de endereço do WordPress e do WooCommerce para usar HTTPS. Verifique se há erros de conteúdo misto que carregam qualquer recurso via HTTP e corrija cada um deles. Um site totalmente HTTPS com um certificado válido torna significativamente mais difícil para os atacantes criarem clones convincentes de phishing das suas páginas de finalização de compra.
Adicione sinais de confiança às páginas de finalização de compra
Os sinais de confiança visíveis nas suas páginas de finalização de compra ajudam os clientes a verificar se estão no seu site legítimo e não em uma cópia fraudulenta. Exiba o selo do seu certificado SSL, logotipos de segurança de pagamento reconhecidos e um URL claro e consistente que os clientes possam verificar se corresponde ao seu domínio real.
Envie e-mails de confirmação de pedido que incluam detalhes verificáveis que os clientes possam comparar com o pedido. Clientes que sabem reconhecer uma comunicação legítima da sua empresa estão muito mais preparados para identificar e-mails de phishing que se fazem passar pela sua marca.
Notificar os clientes sobre tentativas de phishing
Se você descobrir que estão sendo enviados e-mails de phishing em nome da sua marca, notifique seus clientes imediatamente. Uma comunicação clara e direta, explicando como são os e-mails de phishing, o que você nunca pedirá aos clientes que façam por e-mail e como denunciar mensagens suspeitas, limita o número de clientes que caem no golpe.
Publique um aviso no seu site, envie um e-mail para sua lista de clientes e atualize seus perfis nas redes sociais. A rapidez é fundamental. Quanto mais cedo você alertar os clientes após descobrir uma campanha de phishing usando sua marca, menor será o número de vítimas do ataque
Seu site WordPress foi comprometido ou usado para phishing?
Nossa equipe de segurança remove conteúdo de phishing, fecha todos os pontos de entrada usados por invasores e implementa o monitoramento e o reforço de segurança necessários para manter seu site protegido no futuro.
O que fazer se o seu site WordPress foi usado para phishing?
Se você descobrir que seu site foi comprometido e usado para hospedar conteúdo de phishing, aja imediatamente. Cada hora que as páginas de phishing permanecem online causa mais danos à sua reputação e aos seus usuários.

Remova imediatamente o conteúdo de phishing
Identifique e exclua todas as páginas de phishing e arquivos injetados do seu servidor. Use o verificador de arquivos do seu plugin de segurança para identificar todos os arquivos suspeitos e revise cada um antes de excluí-los. Faça um backup do seu estado atual antes de fazer qualquer alteração para que você tenha um registro do que foi encontrado para fins de investigação.
Após remover o conteúdo malicioso, verifique todos os arquivos da sua instalação do WordPress em busca de backdoors. Os atacantes que injetam conteúdo de phishing quase sempre também instalam backdoors para manter o controle após a limpeza. A ausência de um backdoor significa que o conteúdo de phishing retorna em poucos dias após a limpeza.
Solicitar remoção do Google Safe Browsing
Se o Google sinalizou seu site, envie uma solicitação de reconsideração pelo Google Search Console após concluir a limpeza. Explique o que você encontrou, o que removeu e quais medidas de segurança implementou para evitar que isso aconteça novamente.
O Google analisa manualmente as solicitações de reconsideração. O tempo de resposta varia de alguns dias a algumas semanas. Monitore seus alertas de segurança do Search Console diariamente durante esse período e resolva imediatamente quaisquer novas descobertas. Uma limpeza completa e documentada geralmente resulta em uma restauração mais rápida do que uma correção superficial.
Notificar os usuários afetados
Se os dados do usuário foram comprometidos por meio de páginas de phishing em seu site, você tem a obrigação legal e ética de notificar os usuários afetados imediatamente. Dependendo da sua jurisdição e da natureza dos dados envolvidos, você também pode ter obrigações legais de notificação de acordo com regulamentações como o GDPR ou o CCPA.
Comunique de forma clara o que aconteceu, quais dados podem ter sido acessados, quais medidas foram tomadas para resolver a situação e quais passos os usuários afetados devem seguir para se proteger. Uma comunicação transparente e imediata limita a responsabilidade legal e preserva a confiança do cliente, ao contrário de notificações vagas ou atrasadas.
Erros comuns a evitar na prevenção de phishing no WordPress
Esses erros deixam os sites WordPress e seus usuários desnecessariamente expostos a ataques de phishing.
- Autenticação de dois fatores não é necessária: contas de administrador sem autenticação de dois fatores são o ponto de entrada mais fácil para invasores que planejam injetar conteúdo de phishing. Habilite-a para todos os usuários administradores, sem exceção.
- Plugins e temas desatualizados: Cada vulnerabilidade não corrigida na sua lista de plugins é um ponto de entrada potencial para injeção de conteúdo de phishing. Atualize tudo regularmente e remova o que você não usa.
- Ausência de registros de autenticação de e-mail: Sem registros SPF, DKIM e DMARC, seu domínio pode ser falsificado em e-mails de phishing direcionados aos seus clientes com o mínimo esforço técnico por parte dos atacantes.
- Ausência de monitoramento da integridade dos arquivos: Sem monitoramento ativo, páginas de phishing inseridas em seu site podem permanecer indetectáveis por semanas, prejudicando sua reputação e seus usuários.
- Ignorar alertas de segurança: os alertas de plugins de segurança sobre alterações suspeitas em arquivos ou tentativas de login são sinais de alerta precoce. Ignorá-los significa perder a chance de impedir um ataque antes que o conteúdo de phishing seja publicado.
- Ausência de um plano de comunicação com o cliente: Quando uma campanha de phishing tem como alvo sua marca ou seus usuários, a comunicação tardia ou inexistente pode agravar significativamente os danos em comparação com uma resposta rápida e transparente.
Melhores ferramentas para proteger sites WordPress contra phishing
Essas ferramentas abrangem todas as camadas de prevenção contra phishing, desde a detecção de malware até a autenticação de e-mail e o monitoramento em tempo real.
| Ferramenta | Ideal para | Beneficiar |
|---|---|---|
| Segurança Wordfence | Análise de malware e WAF | Detecta arquivos de phishing injetados. |
| Segurança Sucuri | Limpeza e monitoramento do local | Detecção e remoção de páginas de phishing. |
| WAF da Cloudflare | Filtragem de tráfego | Bloqueia padrões conhecidos de ataques de phishing. |
| Google Search Console | Alertas de navegação segura | Denuncia conteúdo de phishing no seu domínio. |
| MXToolbox | Configuração de autenticação por e-mail | Verifica registros SPF, DKIM e DMARC. |
Conclusão: Proteja seu site, sua marca e seus usuários contra phishing
Os ataques de phishing no WordPress prejudicam mais do que apenas o seu site. Eles afetam a confiança dos seus usuários, a reputação da sua marca e a sua visibilidade nos mecanismos de busca simultaneamente.
Proteja suas contas de administrador. Mantenha tudo atualizado. Instale um plugin de segurança com varredura ativa. Configure registros de autenticação de e-mail. Monitore seu site em busca de alterações não autorizadas. E tenha um plano de resposta pronto antes que seja necessário.
Os sites que se recuperam mais rapidamente de ataques de phishing são aqueles que possuem as medidas de prevenção mais robustas implementadas antes que um ataque ocorra.
Perguntas frequentes sobre ataques de phishing no WordPress
Como posso saber se meu site WordPress está sendo usado para phishing?
Verifique se há páginas no seu site que você não criou, picos de tráfego incomuns para URLs desconhecidas no Google Analytics, avisos do Google Safe Browsing no Search Console e relatos de clientes sobre e-mails suspeitos que alegam ser da sua marca. Execute imediatamente uma verificação de malware com o Wordfence ou o Sucuri se suspeitar de uma invasão.
Como os atacantes injetam páginas de phishing em sites WordPress?
Os pontos de entrada mais comuns são contas de administrador comprometidas, plugins ou temas vulneráveis com falhas de segurança não corrigidas e credenciais de hospedagem fracas. Uma vez dentro do sistema, os atacantes carregam arquivos de páginas de phishing para o seu servidor, muitas vezes escondendo-os em diretórios de aparência legítima para evitar a detecção durante revisões casuais de arquivos.
Ataques de phishing podem fazer com que meu site WordPress seja incluído na lista negra do Google?
Sim. O sistema de Navegação Segura do Google verifica ativamente os sites em busca de conteúdo de phishing. Se páginas de phishing forem detectadas em seu domínio, o Google exibirá uma página de aviso vermelha para os visitantes e removerá seu site dos resultados de pesquisa normais até que você limpe o site e envie uma solicitação de reconsideração aprovada.
Como faço para impedir que e-mails de phishing usem meu domínio?
Configure os registros SPF, DKIM e DMARC no seu domínio através das configurações de DNS. Esses padrões de autenticação de e-mail verificam se os e-mails que alegam vir do seu domínio realmente se originam de suas fontes de envio autorizadas. E-mails que não passam nessas verificações são rejeitados ou colocados em quarentena pelos servidores de e-mail de recebimento antes de chegarem aos seus clientes.
O que devo fazer se meu site WordPress foi usado para phishing?
Remova imediatamente todo o conteúdo de phishing e arquivos de backdoor. Após a limpeza, envie uma solicitação de reconsideração ao Google Search Console. Notifique os usuários afetados sobre a violação e as medidas que devem tomar. Revise e reforce todas as medidas de segurança do seu site para evitar que o incidente se repita. Considere contratar um serviço de segurança profissional para uma análise completa pós-incidente.