O que fazer se o seu site WordPress for invadido

English version: What to do if your WordPress site has been hacked

1. Mude imediatamente as senhas. Sua conta de usuário do WordPress e todas as contas com privilégios administrativos no site. A senha do MySQL para o banco de dados do seu site e a senha para o administrador do servidor MySQL. FTP também, se estiver habilitado.
2. Reinstale o WordPress. Remova manualmente o antigo e instale novamente (não se esqueça de fazer backup da pasta de uploads). Baixe a última versão estável do wordpress.org .
3. Reinstale todos os plugins e temas. Use as últimas versões estáveis. Reinstalar significa remover todas as pastas e arquivos da instalação anterior. Não copie novos arquivos sobre arquivos e pastas existentes.
4. Examine o site com o scanner de malware Cerber Security gratuito e exclua todos os arquivos maliciosos detectados.
5. Altere as chaves de segurança no arquivo wp-config.php. Obtenha-o em: https://api.wordpress.org/secret-key/1.1/salt/
6. Faça chmod 444 para wp-config.php.
7. Verifique a(s) pasta(s) de uploads para arquivos php. Remova-o sem dúvida.
8. Coloque o arquivo .htaccess na pasta de uploads com string nele

    motor php_flag desligado

9. Verifique o tema com o plug-in Theme Check.