Recuperação de hospedagem invadida: passo a passo para empresas

Hospedagem invadida é emergência de negócio — não só “problema do site”

Quando a conta de hospedagem é comprometida, invasores podem alterar DNS, enviar spam pelo seu domínio, instalar phishing em subpastas, roubar formulários de contato e usar o servidor para ataques a terceiros. O site fora do ar é só o sintoma visível; o prejuízo inclui blacklist, Google Safe Browsing, e-mail bloqueado e perda de confiança B2B.

Este guia cobre recuperação de hospedagem invadida em ambiente corporativo — complementar ao artigo site hackeado: como recuperar, com foco na conta, servidor compartilhado e serviços associados (FTP, e-mail, banco).

Sinais de que a hospedagem foi invadida

• Alertas do provedor ou do Google Search Console (site comprometido / malware).
• Redirecionamentos para sites estranhos (mobile ou só em aba anônima).
• Arquivos desconhecidos via FTP: wp-content/uploads/*.php, pastas com nomes aleatórios.
• Picos de CPU/banda sem campanha de marketing.
• E-mails retornando como spam ou blacklist (Spamhaus, Barracuda).
• Clientes reportando antivírus bloqueando seu domínio.

Primeiras 2 horas — contenção

1. Não apague tudo — preserve evidência (logs, timestamps) se houver disputa ou seguro.
2. Altere todas as senhas: painel hospedagem, FTP/SFTP, SSH, banco MySQL, e-mail, WordPress admin, registrador de domínio.
3. Ative 2FA onde existir (painel, registrador, e-mail).
4. Coloque site em manutenção ou bloqueio temporário na borda (firewall/CDN) para interromper exfiltração.
5. Revise usuários FTP e subcontas — remova desconhecidos.
6. Notifique TI/gestor e, se aplicável, DPO (vazamento de formulários = LGPD).

Passo a passo de recuperação

1. Diagnóstico no painel e arquivos

Varredura de arquivos modificados nos últimos 7–30 dias, comparar checksum de core WordPress (se WP), listar cron jobs e .htaccess alterados. Scan com ferramentas do provedor ou ClamAV no servidor.

2. Isolar a conta

Em hospedagem compartilhada, provedor pode suspender conta para proteger vizinhos — coopere e peça log de acesso (IP, horários). Em VPS, snapshot do disco antes de limpar.

3. Restaurar a partir de backup limpo

Backup anterior à invasão (verifique data no index.php malicioso). Restaure arquivos + banco em ambiente staging; teste antes de apontar DNS de volta. Backup infectado perpetua backdoor.

4. Limpeza manual (sem backup confiável)

Reinstalar core/temas oficiais, revisar cada plugin, caçar eval/base64/gzinflate em PHP, remover usuários WP desconhecidos, prefixo de tabela padrão auditado. Ver artigo sobre plugins maliciosos.

5. E-mail e DNS

Revise registros SPF, DKIM, DMARC — invasores criam subdomínios para spam. Remova registros TXT/MX não autorizados. Troque senhas de todas as caixas; spam enviado pode manter blacklist por dias.

6. Blacklist e SEO

Solicite revisão no Google Search Console, Microsoft Bing, Norton Safe Web. Envie sitemap limpo após 48–72 h estável. Veja otimização SEO pós-incidente.

7. Hardening pós-recuperação

• WAF, limit login attempts, desabilitar editor de arquivos WP, permissões 644/755 corretas.
• Atualizar PHP, MySQL client, plugins — plano manutenção WordPress.
• Monitoramento de integridade de arquivos (Uptime + alertas de alteração).

Precauções e erros graves

• Só trocar senha sem remover backdoor — reinvasão em horas.
• Restaurar backup do dia da invasão — malware já estava presente.
• Ignorar e-mail corporativo — domínio continua em blacklist.
• Esconder incidente — clientes e Google descobrem antes; pior para reputação.
• Contratar “limpeza” sem SLA — cobrança sem remoção de rootkit em .htaccess encadeado.

Quando acionar a ITC Service (emergência)

A ITC Hosting e equipe de suporte atendem recuperação de hospedagem invadida com backup, staging e hardening — Rio Grande do Sul e remoto nacional.

• WhatsApp: (51) 98143-8470
• Contato urgente · Emergências de TI · ITC Hosting