Site fora do ar? Descubra se foi queda, hospedagem ou invasão
Escrito por Oxigenweb
Site fora do ar é uma das piores sensações para quem depende da internet para vender. A cada minuto offline, sua empresa perde visitas, leads e faturamento. E a primeira pergunta é sempre a mesma: foi um problema da hospedagem, um erro técnico ou o site foi invadido?
A resposta importa, e muito, porque cada causa pede uma ação diferente. Neste guia, você vai aprender a diagnosticar o seu site fora do ar em poucos minutos, entender as causas mais comuns e, principalmente, identificar os sinais de que o problema é mais grave: uma invasão. E os números de 2026 mostram que essa hipótese deixou de ser rara.
Resposta rápida: site fora do ar tem 3 origens principais: problema na hospedagem, erro técnico (geralmente após atualização de plugin ou tema) ou invasão. Para diagnosticar em minutos:
- Verifique se o site caiu para todos ou só para você (use um verificador como downforeveryoneorjustme.com);
- Cheque a página de status da hospedagem, os pagamentos e a validade do domínio;
- Confira se o código de erro exibido indica servidor, banco de dados ou DNS;
- Procure sinais de invasão: aviso vermelho do Google, suspensão pela hospedagem ou perda de acesso ao wp-admin.
Primeiro passo: o site está fora do ar para todos ou só para você?
Antes de qualquer pânico, confirme se a queda é real. Acesse um verificador gratuito como o downforeveryoneorjustme.com e digite o seu domínio. Dois cenários:
- Fora do ar só para você: o problema está do seu lado. Limpe o cache do navegador, teste em uma janela anônima, tente pelo 4G do celular (isso descarta problemas na sua rede) e verifique se o antivírus ou o roteador não está bloqueando o acesso.
- Fora do ar para todos: o problema é no site. Siga o diagnóstico abaixo.
As 6 causas mais comuns de site fora do ar
1. Problema na hospedagem
A causa mais frequente. Servidores caem, passam por manutenção ou sofrem sobrecarga. Verifique a página de status da sua hospedagem e abra um chamado. Se outros sites no mesmo servidor também caíram, o diagnóstico está feito.
2. Domínio ou hospedagem vencidos
Mais comum do que parece: o boleto do domínio ou do plano de hospedagem venceu e ninguém viu o e-mail. Consulte a situação do domínio no registro.br (para domínios .br) e confira os pagamentos da hospedagem.
3. Erro de DNS
Se você trocou de hospedagem ou mexeu nas configurações de DNS recentemente, a propagação pode levar até 48 horas, ou os apontamentos podem ter ficado errados. Ferramentas como o dnschecker.org mostram para onde o seu domínio está apontando.
4. Erro técnico no WordPress
Telas brancas, “erro ao estabelecer conexão com o banco de dados” ou o famoso erro 500 costumam aparecer depois de uma atualização de plugin, tema ou do próprio WordPress que deu conflito. Nesse caso o site “existe”, mas quebrou. A solução passa por desativar o plugin problemático via FTP ou restaurar o backup. Vale dizer que esse tipo de queda é muito mais comum em sites montados sobre temas genéricos e dezenas de plugins: na criação e desenvolvimento de sites em WordPress, trabalhamos com arquitetura enxuta e menos dependências justamente para reduzir esses conflitos.
5. Estouro de recursos do plano
Picos de tráfego (uma campanha que viralizou) ou processos pesados podem estourar os limites de memória e processamento de planos de hospedagem compartilhada, derrubando o site temporariamente.
6. Invasão
A hipótese que ninguém quer, mas que precisa ser verificada sempre. Sites invadidos costumam ser derrubados pelo próprio ataque (scripts maliciosos sobrecarregam o servidor), suspensos pela hospedagem ao detectar malware, ou bloqueados pelo Google com avisos como “site enganoso” ou “este site pode ter sido invadido”.
O que significa o código de erro que aparece na tela
Na maioria das quedas, o site não some em silêncio: ele exibe um código de erro. Esse código é a pista mais rápida para saber onde está o problema. Use a tabela abaixo como atalho de diagnóstico:
| Erro exibido | O que significa | Causa provável | Primeira ação |
|---|---|---|---|
| Erro 500 Internal Server Error |
O servidor encontrou um problema interno e não conseguiu responder | Conflito de plugin ou tema, arquivo .htaccess corrompido, limite de memória PHP | Desative os plugins via FTP (renomeie a pasta) e teste; restaure o backup se persistir |
| Erro 502 Bad Gateway |
Um servidor intermediário recebeu resposta inválida do servidor principal | Sobrecarga ou instabilidade na hospedagem, problema em proxy ou CDN | Aguarde alguns minutos e recarregue; se persistir, acione a hospedagem |
| Erro 503 Service Unavailable |
O servidor existe, mas está temporariamente indisponível | Manutenção do servidor, estouro de recursos do plano ou pico de tráfego | Verifique a página de status da hospedagem e o consumo de recursos do plano |
| Erro 504 Gateway Timeout |
O servidor demorou demais para responder | Processos pesados, consultas lentas ao banco de dados, servidor sobrecarregado | Recarregue; se for recorrente, investigue plugins pesados e a qualidade da hospedagem |
| Erro 403 Forbidden |
O servidor entendeu o pedido, mas negou o acesso | Permissões de arquivo erradas, regra de segurança ou bloqueio após atividade suspeita | Confira as permissões de arquivos e se a hospedagem ou o firewall bloqueou o acesso |
| Error establishing a database connection | O WordPress não conseguiu se conectar ao banco de dados | Credenciais erradas no wp-config.php, banco corrompido ou servidor de banco fora do ar | Confira as credenciais no wp-config.php e o status do banco na hospedagem |
| Tela branca White Screen of Death |
O PHP falhou antes de renderizar qualquer coisa | Erro fatal em plugin ou tema, quase sempre após uma atualização | Desative o último plugin ou tema atualizado via FTP e restaure o backup se preciso |
| DNS_PROBE_FINISHED_NXDOMAIN | O navegador não encontrou o endereço do domínio | Domínio vencido, apontamento de DNS errado ou propagação em andamento | Consulte o domínio no registro.br e os apontamentos no dnschecker.org |
| Sua conexão não é particular Erro de SSL |
O certificado de segurança está inválido ou vencido | Certificado SSL expirado ou mal configurado após migração | Renove ou reinstale o certificado no painel da hospedagem |
Se nenhum código aparece e o site simplesmente não carrega, volte ao primeiro passo do diagnóstico: o problema pode estar no DNS, no domínio ou na sua própria conexão.
Como saber se o seu site fora do ar foi invadido
Estes são os sinais de que a queda não foi acidente:
- O navegador exibe um aviso vermelho do Google (“site enganoso” ou “o site à frente contém malware”) antes mesmo de o site abrir.
- A hospedagem suspendeu a conta alegando atividade maliciosa, envio de spam ou malware detectado.
- Antes de cair, o site apresentava redirecionamentos estranhos para páginas de apostas, farmácias ou conteúdo adulto.
- Você não consegue mais entrar no painel (wp-admin) ou a sua conta de administrador sumiu.
- Aparecem arquivos ou usuários que você não criou, ou o Google Search Console enviou alertas de segurança.
Se dois ou mais desses sinais estiverem presentes, trate como invasão. Preparamos um guia passo a passo completo para essa situação: site WordPress invadido: o que fazer em 10 passos.
Por que a hipótese de invasão ficou mais provável: os dados de 2026
Se há alguns anos a invasão era a causa improvável, os números atuais mudaram esse cálculo. O relatório State of WordPress Security in 2026, da Patchstack, referência mundial em segurança WordPress, traz um retrato preocupante:
- 11.334 novas vulnerabilidades foram descobertas no ecossistema WordPress em 2025, um crescimento de 42% em relação ao ano anterior. As falhas de alta severidade, aquelas usadas em ataques automatizados em massa, mais que dobraram (alta de 113%).
- 91% das vulnerabilidades estão nos plugins, não no WordPress em si. O núcleo do WordPress segue seguro; o risco mora nas dezenas de plugins que todo site carrega.
- 46% das falhas não tinham correção disponível no momento em que foram divulgadas publicamente. Ou seja, em quase metade dos casos, não existia atualização para aplicar.
- A exploração começa em horas, não em dias: entre as vulnerabilidades mais visadas, 20% sofrem ataques em até 6 horas após a divulgação e 45% em até 24 horas. O tempo mediano até a primeira exploração é de apenas 5 horas.
A conclusão do próprio relatório é dura para quem cuida do site “quando dá tempo”: manter plugins atualizados continua necessário, mas deixou de ser suficiente, porque os atacantes exploram as falhas mais rápido do que o dono do site consegue reagir. Entre a divulgação de uma vulnerabilidade e o ataque automatizado, a janela é menor que um expediente de trabalho.
O que fazer em cada cenário
- Hospedagem instável: acione o suporte e, se as quedas forem recorrentes, avalie migrar para um provedor mais confiável.
- Domínio ou plano vencido: regularize o pagamento. A reativação costuma levar de minutos a algumas horas.
- DNS errado: corrija os apontamentos e aguarde a propagação.
- Erro técnico: restaure o backup mais recente ou desative o plugin/tema que causou o conflito. Sem backup, o conserto exige acesso técnico via FTP.
- Invasão: siga o guia de site invadido: isolar o site, trocar todas as senhas, limpar o malware, restaurar backup limpo e pedir a revisão do Google. Rapidez aqui reduz o dano à reputação e ao SEO.
Como evitar que o site caia de novo
Desde 2009 a Oxigenweb desenvolve e mantém no ar sites de marcas como JBS, Caloi e Itaipava, e o padrão que vemos na prática se repete: a maioria das quedas não vem de ataques sofisticados, e sim de rotinas básicas negligenciadas, como o backup que nunca foi testado, o plugin desatualizado há meses ou o boleto do domínio esquecido. Todos os cenários deste artigo têm algo em comum: são muito mais baratos de prevenir do que de remediar. A prevenção passa por quatro rotinas que precisam acontecer de forma contínua, não “quando sobrar tempo”:
- Backups automáticos e testados, armazenados fora do servidor do site.
- Atualizações gerenciadas de plugins, temas e WordPress, aplicadas com critério e teste, já que atualizar às cegas também derruba sites.
- Monitoramento de disponibilidade e segurança, para saber que o site caiu antes do cliente avisar.
- Varredura e proteção contra malware, cobrindo a janela entre a descoberta de uma falha e a correção oficial, que como vimos é de poucas horas.
E a prevenção começa antes mesmo da manutenção: um site bem construído desde o início, com código limpo e poucos plugins, tem menos pontos de falha e menos superfície de ataque. É assim que desenvolvemos os sites em WordPress dos nossos clientes.
É exatamente esse pacote de rotinas que entregamos no serviço de suporte e manutenção de sites WordPress da Oxigenweb: sua equipe cuida do negócio, a nossa cuida de manter o site no ar, atualizado, protegido e com backup pronto para qualquer emergência.
Quero manutenção profissional para o meu site
Perguntas frequentes sobre site fora do ar
Meu site está fora do ar, o que fazer primeiro?
Confirme se a queda é geral (use um verificador como downforeveryoneorjustme.com), depois cheque a página de status e os pagamentos da hospedagem e a validade do domínio. Se tudo estiver em ordem e o site continuar fora do ar, investigue erro técnico ou invasão.
Quanto tempo um site pode ficar fora do ar sem prejudicar o SEO?
Quedas curtas, de minutos a poucas horas, raramente afetam o ranking. A partir de 1 a 2 dias fora do ar, o Google pode começar a remover páginas do índice, e a recuperação das posições pode levar semanas. Por isso a velocidade do diagnóstico importa.
Como saber se o meu site fora do ar foi hackeado?
Os sinais mais claros são o aviso vermelho do Google (“site enganoso”), a suspensão da conta pela hospedagem por malware, redirecionamentos estranhos antes da queda e a perda de acesso ao painel administrativo. Dois ou mais sinais juntos indicam invasão.
Site WordPress cai mais que os outros?
O WordPress em si é seguro, mas é a plataforma mais usada do mundo e por isso a mais atacada. Segundo a Patchstack, 91% das vulnerabilidades descobertas em 2025 estavam em plugins, e não no WordPress. Com manutenção adequada dos plugins, um site WordPress é tão estável quanto qualquer outro.
Vale a pena contratar manutenção de site?
Para sites que geram negócio, sim. O custo mensal da manutenção é uma fração do prejuízo de um único dia fora do ar ou de uma limpeza de invasão, que envolve remoção de malware, restauração e revisão do Google. A manutenção contínua também cobre a janela crítica entre a descoberta de falhas e as correções oficiais.
Sobre o autor
Oxigenweb
Desde 2009 inovando a comunicação através da tecnologia. Tecnologia e marketing focados em resultados.
Deixe seu comentário