Google marcou meu site como enganoso: o que fazer?

Você marcou bobeira, instalou um plugin que parecia muito legal mas todo mundo dizia que era perigoso; ao invés de investir num template para o seu cliente pegou aquele “nulled”, pra não dizer pirata, e não reparou que não existe almoço grátis; passou uma temporada na praia e esqueceu de atualizar o WordPress e seus elementos. São vários os motivos que podem fazer com que seu site seja infectado por algum robô que fica rondando a Internet. Não importa o que aconteceu, se você deu mole, o Google é rápido e deixou aquela velha e famosa tela vermelha na home do seu site denegrindo a sua credibilidade, dizendo que seu site foi infectado por malware e pode ser enganoso, levando o visitante a fazer algo perigoso.

A maioria dos posts deste blog são para te ajudar na prevenção da segurança e performance do seu site. Mas se por acaso você não investiu 5 minutos semanais do seu tempo pra deixar tudo atualizado, então vou te ensinar como gastar bem mais pra reparar este problema: eis o artigo Removendo o aviso do Google de site enganoso do meu site.

O primeiro passo é, claro, limpar a sujeira. E não adianta varrê-la pra baixo do tapete. Se tiver qualquer malware alojado no seu site, seja em plugin, template ou mesmo no core do WordPress, o Google vai achar este código malicioso. É importante que você tenha a mais absoluta certeza de que seu site está limpo antes de prosseguir com o restante deste tutorial. E, por isso, vamos pedir ajuda do próprio Google pra entender onde está o problema.

Você já tem seu site cadastrado no Google Search Console? Antigamente esta ferramenta chamava-se Google Webmasters, podendo ser acessada pelo endereço https://www.google.com/webmasters.

Partimos do pressuposto que você já tem uma conta Google. Acessando o endereço acima, você verá essa tela e a opção de adicionar um site. Aqui usei o exemplo do Comideria, um site pessoal que usei para exemplo. Cadastre o seu.

Após cadastrar o endereço, o Google pedirá que você confirme a propriedade do domínio. Ou seja, confirme que você é realmente o proprietário do site (nada mais justo).

Existem algumas formas de fazer a verificação, a principal e mais fácil é subindo um arquivo HTML que eles mesmo geram contendo um código e subí-la via FTP. Seus dados para fazer a transferência via FTP são os mesmos do cPanel.

Se você cumpriu essa etapa corretamente, e penso ser a mais delicada para leigos, então verá esta tela. Meio caminho andado!

Se o seu site foi marcado pelo Google, então o console te dará amostras de URLs infectadas para você agir. Veja esta imagem:

As amostras serão elencadas ali em cima (no exemplo, as URLs foram removidas por uma questão de privacidade (note que o cliente que me enviou este print usa ainda a versão antiga da plataforma, pois as cores e a disposição estão diferentes da sequência acima. Mas o padrão segue no novo layout).

Uma ferramenta muito importante e que te ajudará bastante nesta etapa de encontrar o malware alojado no seu site é o WordFence Security. Instale e ative este plugin, em seguida faça um scan. Ele te apontará pelo menos 90% do problema, te dando ainda sugestões de melhorias para a sua segurança como por exemplo plugins que não são mais atualizados ou, pior, já foram removidos do repositório oficial do WordPress por serem inseguros.

Após fazer esta limpeza completa no seu site, você pode pedir desculpas ao Google. Clique em “Solicitar uma revisão”. Em até 72h o Google irá analisar seu site em busca de malware como anteriormente o fez e, não encontrando, removerá do seu site a tela vermelha.

É importante que você esteja certo de que seu site esteja limpo, e neste caso aqui não há fórmulas mágicas para fazê-lo. Por isso, repito, insisto bastante na prevenção. Limpar um site pode ser um processo penoso, em alguns casos impossível. Vasculhe cada canto do seu site, via FTP ou SSH, em busca de arquivos. Leia cada arquivo, também via FTP, em busca de códigos maliciosos. Se você desconfiar que ainda não ficou bem limpo, reinstale o core do WordPress, plugins e templates (mesmo que doa e dê trabalho). Uma vez que você declara que seu site está limpo e o Google torna a achar malware, a penalidade pode aumentar. Em casos extremos, ele é totalmente removido da ferramenta de busca.

Importante: este procedimento serve para qualquer tipo de site. Uso o exemplo do WordPress porque além de termos um grande know-how na área, tendo nossos clientes maciçamente como usuários deste CMS, é também o mais visado para invasões, por consequência desta fama.

Espero que este tutorial tenha ajudado você. Se você é cliente da Via e passa por este problema, não deixe de abrir um ticket em caso de dúvida neste processo.