Página hackeada com links ocultos｜Como corrigir a queda drástica no ranking do Google

Seu site foi repentinamente infectado por links ocultos (dark links), o que pode causar graves problemas: no mínimo, uma queda brusca no ranking do Google e uma redução pela metade no tráfego; no pior caso, seu site pode ser marcado como “site perigoso” e ser completamente bloqueado.

Muitos administradores só percebem o problema tarde demais — apagar páginas aleatoriamente ou desligar o servidor só piora a penalização.

Como profissionais de SEO com 8 anos de experiência, lidamos com mais de 60 casos de invasão por links ocultos e desenvolvemos um processo padronizado de “controle de danos em 72 horas + recuperação rápida do ranking”.

Desde a localização precisa dos links ocultos (por exemplo, usando o Screaming Frog para capturar códigos de redirecionamento escondidos), até a remoção manual e envio de evidências para o Google (com modelo real de pedido de revisão), passando pela publicação direcionada de “conteúdo confiável” para diluir o impacto dos links ruins — cada etapa deve respeitar 3 prazos chave (24 horas / 3 dias / 7 dias).

Aviso especial: Se nos últimos 7 dias suas palavras-chave principais caíram mais de 10 posições e seu índice de páginas inclui muitos parâmetros “?redirect=casino”, provavelmente seu site foi hackeado — entre imediatamente na primeira etapa de investigação.

Seu site realmente está com links ocultos?

Links ocultos não abrem pop-ups nem derrubam seu site imediatamente — e é isso que os torna tão perigosos.

Muitos só percebem quando o ranking do Google cai mais de 50%, e o link oculto pode estar lá há semanas, até o Google marcar seu site como “malicioso”.

Em 70% dos casos que tratamos, os links ocultos estavam escondidos em diretórios de imagens, páginas antigas ou scripts JS, difíceis de ver a olho nu.

Vou mostrar um método barato e fácil (sem precisar saber código) para você localizar os “links parasitas” em 10 minutos.

Google Search Console: veja os alertas oficiais

• Acesse “Segurança e ações manuais” → relatório de “Ações manuais”. Se aparecer alerta vermelho de “links não naturais” ou “páginas invadidas”, provavelmente tem links ocultos.
• Cuidado com armadilhas: hackers podem falsificar status “sem problemas” — clique em “Problemas de segurança” → “Ver páginas de exemplo” e cheque manualmente URLs marcadas para redirecionamentos, por exemplo, <meta http-equiv="refresh" content="0;url=site-de-cassino">.

Ferramentas para webmasters: escaneie códigos de redirecionamento ocultos

Use o Screaming Frog (versão gratuita varre até 500 URLs) para escanear todo site e filtre:

1. Páginas com número anormal de links externos (mais de 10 links numa página, fique atento)
2. Links com “style=display:none” (verifique no código <a href="site-de-cassino" style="display:none">)
3. Páginas que carregam scripts JS de terceiros (confira <script src="http://domínio-suspeito.js">)

Verificação rápida: use a extensão Chrome Link Redirect Trace para acompanhar redirecionamentos 301 para sites de cassino em tempo real.

Indexação nos buscadores: encontre “páginas sombra”

Pesquise no Google:

site:seu-dominio.com intitle:casino/loteria/palavras-adultas  
site:seu-dominio.com inurl:.php?ref=

Se aparecer conteúdo que você não criou (ex: “promoções de cassino online”), hackers criaram páginas spam no seu site.

Checagem final: no log do servidor (/var/log/apache2/access.log) procure por requisições com parâmetro “.php?”, observe origens suspeitas (ex: muitos POSTs de IPs do Vietnã ou Ucrânia).

Dica: Se os links ocultos estiverem concentrados em /wp-content/uploads/2023/ ou pastas similares, hackers podem ter explorado vulnerabilidades em uploads de mídia. Verifique nomes de arquivos de imagem para códigos estranhos, tipo <?php eval(.

3 passos para remover os links ocultos completamente

Após detectar, você tem 72 horas de ouro para conter os danos. Muitos apagam páginas ou reinstalam sistema rápido demais, o que pode causar punição extra do Google por “flutuação anormal de conteúdo”.

Baseado em 60+ casos, siga a regra: “primeiro colete evidências, depois limpe, corrija e envie relatórios”.

1. Backup completo do site para evitar perda de dados importantes

Pastas que devem ser salvas:

• /wp-content/uploads/ (verifique se arquivos de imagem não têm código PHP embutido)
• /wp-includes/js/ (confira se arquivos como jquery-migrate.min.js foram alterados)

Ferramentas recomendadas:

• Painel BaoTa — para empacotar site e banco de dados num só clique
• Plugin Duplicator — cria pacote para migração do site, pulando arquivos de cache

2. Remoção manual de código malicioso (com características de alto risco)

Busca global pelas seguintes palavras-chave：

eval(base64_decode('string criptografada'));
 $k="senha do hacker";error_reporting(0);
<iframe src="http://domínio-malicioso" style="visibility: hidden;">  

Arquivos para verificar prioritariamente：

• .htaccess (verifique se foi inserido RewriteRule ^.*$ http://site-de-jogos [R=301,L])
• header.php/footer.php (procure chamadas JS suspeitas, como document.write(""))

Ferramentas auxiliares：

Use o D-Shield (D_Safe) para escanear o servidor, marcando automaticamente arquivos com funções perigosas como system() ou passthru().

3. Fechar as portas de entrada: prevenir reinjeções

• Modificar o caminho de login do backend (para WordPress):
  Instale o plugin WPS Hide Login para mudar /wp-admin/ para um caminho personalizado (exemplo /mylogin-2024/).
• Corrigir vulnerabilidades urgentes:
  • Atualize todos os plugins para a última versão (use WPScan para verificar plugins com vulnerabilidades conhecidas)
  • Remova temas e plugins não usados (especialmente com nomes suspeitos como wp-seo-optimize)
• Reforçar permissões do servidor:
  bash

  Copiar

  # Proibir execução de PHP no diretório de uploads
  find /caminho/para/o/site/wp-content/uploads/ -type f -name "*.php" -exec rm -f {} \;
  chmod 644 .htaccess  # Restringir permissão de escrita  

Dica-chave: Após a limpeza, execute imediatamente uma varredura completa no site usando o plugin Link Redirect Trace para garantir que não restem códigos de redirecionamento.
Se encontrar links ocultos armazenados no banco de dados (como códigos criptografados no campo post_content da tabela wp_posts), utilize a ferramenta Adminer para executar o comando SQL:

UPDATE wp_posts SET post_content = REPLACE(post_content, 'código malicioso', '');

Enviar solicitação de reanálise para o Google

Limpar links ocultos é apenas o primeiro passo.
Enviar uma solicitação de reanálise eficaz dentro de 48 horas é o núcleo para recuperar seu ranking.

90% dos webmasters falham por “falta de provas” ou “erros na argumentação”, o que pode levar a uma segunda revisão manual (estendendo o período de recuperação para 3-6 meses).

Eu forneço um modelo de texto em inglês pronto para uso e um pacote com “cadeia de provas forte” que aumenta a chance de aprovação em 80%.

1. Enviar solicitação de reanálise na “ação manual” do Search Console

Caminho:
Acesse “Segurança e ações manuais” → “Ações manuais” → Clique em “Solicitar reanálise”.

Modelo em inglês (substituir as partes em vermelho):

We have removed all spammy backlinks injected by hackers:  
1. Deleted malicious codes in .htaccess and footer.php (see screenshot_1.png).  
2. Blocked 142 suspicious IPs from Vietnam/Ukraine (access.log attached).  
3. Fixed the vulnerability via updating plugins (e.g. Elementor from 3.6 to 3.19).  
Request to revoke the manual penalty.  

Documentos obrigatórios:

1. Capturas de tela da comparação do código antes e depois da limpeza (usando WinMerge)
2. Trechos dos logs do servidor com os IPs maliciosos bloqueados (com data, IP e caminho do ataque)
3. Relatório de varredura completa de backlinks usando Screaming Frog (exportado em PDF)

2. Trate simultaneamente o relatório de “problemas de segurança”

Acesse “Problemas de segurança” → Marque todas as páginas infectadas → Clique em “Marcar como resolvido”.

Dica para acelerar o rastreamento:

No “Inspeção de URL”, insira os URLs infectados → Clique em “Solicitar indexação” (máximo 50 por dia).

3. Dicas ocultas para evitar falha na reanálise

• Evite usar expressões como “We apologize” (o Google pode entender como tentar fugir da responsabilidade), prefira descrever fatos.
• Anexe relatórios de segurança de terceiros (como os scans do Sucuri ou SiteCheck) comprovando que o site está limpo.

Mantenha o conteúdo do site sempre atualizado:

Publique 2 artigos originais nas 24 horas seguintes à solicitação de reanálise (o Google interpreta como sinal de manutenção ativa).

Dica-chave:
Se após 7 dias não houver resposta do Google, use a função “Aparência da pesquisa → Acelerar rastreamento” para enviar o sitemap.xml e escreva na nota:
“Malware cleaned up, please recrawl critical pages like /contact-us/ and /blog/”.

Se o aviso de ação manual não for removido, repita o envio com as mesmas provas após 28 dias (para evitar o gatilho do mecanismo anti-spam).

Lista de configurações de proteção de baixo custo

“Proteção cara” é um mito – 80% dos ataques de hackers exploram vulnerabilidades básicas:
plugins desatualizados, senhas fracas, caminhos padrão de acesso ao painel.

Com menos de 500 RMB por ano, já bloqueamos mais de 20.000 tentativas de ataques para clientes.

Mesmo com conhecimento básico em servidor, você pode reforçar a segurança em 1 hora.

1. Kit básico de proteção (custo zero)

Monitoramento de arquivos em tempo real:

• Use a função “Proteção contra modificação de arquivos” do painel BaoTa (gratuita), bloqueie arquivos críticos como wp-config.php e .htaccess, qualquer alteração dispara alerta por SMS.

Bloqueio de ataques de força bruta:

• Instale o Wordfence (versão gratuita) → Ative o monitoramento em tempo real, bloqueia automaticamente IPs que falharem mais de 5 vezes em login dentro de 15 minutos.

Backup automático na nuvem:

• Use o UpdraftPlus para configurar backups diários no Google Drive (guarde 7 versões), caso invadido, restaure para uma versão limpa.

2. Configurações críticas do servidor que precisam ser alteradas

Desabilitar funções perigosas do PHP:

Edite o arquivo php.ini e adicione após disable_functions:

system,exec,passthru,shell_exec,proc_open,curl_multi_exec  

Restringir permissões do diretório de upload:

# Proibir execução de PHP em /uploads/  
find /caminho-do-site/wp-content/uploads/ -type f -name "*.php" -delete  
chmod -R 755 /caminho-do-site/wp-content/uploads/  

Ocultar informações do servidor:
Adicione o seguinte no início do arquivo .htaccess:

ServerSignature Off  
Header unset X-Powered-By  

3. Regras de firewall (custo mensal ≤ 20$)

Configuração do plano gratuito do Cloudflare:

• Regra 1: Desafiar todos os acessos que contenham /wp-admin/ ou xmlrpc.php (exceto IPs da lista branca)
• Regra 2: Bloquear requisições com User-Agent contendo sqlmap ou nmap

Bloquear faixas de IP de países de alto risco:

Adicione as regras abaixo no firewall do painel BaoTa:

Vietnã: 14.224.0.0/11  
Rússia: 46.161.0.0/18  
Ucrânia: 37.52.0.0/14  

Dica importante: Faça uma varredura de vulnerabilidades a cada trimestre com o WPScan (comando: wpscan --url seu-dominio --api-token sua-chave) e priorize o tratamento de plugins com risco médio ou alto.
Se estiver usando servidor Nginx, não esqueça de adicionar esta configuração:

location ~* ^/(uploads|wp-content)/.*\.(php|php5|phtml)$ {  
    deny all;  
}  

(Isso bloqueia totalmente a execução de código PHP escondido em imagens.)

Não dependa de “plugins de correção com um clique” — analisamos 13 plugins de segurança populares, e 9 deles têm permissões excessivas ou removem arquivos importantes por engano.
Configuração manual (como regras .htaccess e permissões do servidor) é a única maneira realmente segura e controlável.