Como proteger o WordPress contra hackers: guia completo de segurança

Deixe um comentário / Por /

O WordPress é o CMS mais usado do mundo — e por isso mesmo, é também um dos mais visados por hackers. Segurança WordPress não é paranóia: é precaução básica para qualquer site que funciona como vitrine, loja, blog ou ferramenta de trabalho.

Mas segurança não é instalar um plugin e esquecer. É um conjunto de camadas que, juntas, reduzem muito o risco de invasão, malware e perda de dados.

Neste guia, você vai ver as principais ameaças a sites WordPress e as medidas práticas que pode aplicar hoje — desde atualizações e senhas fortes até firewall, 2FA, permissões de arquivo e monitoramento.

Antes de qualquer alteração técnica, um aviso essencial: faça backup completo do site. Alterar configurações de segurança, plugins, permissões ou arquivos do core pode causar problemas se algo for feito errado. Se precisar, veja o guia de backup do WordPress antes de seguir.

Principais ameaças a sites WordPress

Antes de se proteger, vale entender contra o que se proteger. As ameaças mais comuns a sites WordPress são:

Força bruta (brute force)

O atacante tenta milhares de combinações de usuário e senha até acertar. É o tipo de ataque mais frequente contra WordPress. Sites com senha fraca ou usuário “admin” são alvos fáceis.

Exploração de vulnerabilidades

Plugins, temas e até o core do WordPress podem ter falhas de segurança. Quando uma vulnerabilidade é descoberta, scanners automatizados varrem a internet procurando sites desatualizados para explorar.

Malware e injeção de código

Malware pode ser injetado no site por meio de vulnerabilidades, arquivos comprometidos ou acesso não autorizado. O resultado pode ser redirecionamento para sites maliciosos, exibição de spam, roubo de dados ou bloqueio do site.

Phishing e engenharia social

O atacante tenta enganar o administrador para obter credenciais — por e-mail falso, página de login falsa ou mensagens que parecem ser da hospedagem ou do WordPress.

Acesso não autorizado via XML-RPC

O XML-RPC, quando habilitado, pode ser explorado para ataques de força bruta amplificados e ataques DDoS, permitindo que o atacante teste centenas de senhas em uma única requisição.

A boa notícia: a maioria dessas ameaças pode ser mitigada com práticas simples e consistentes.

Atualizações: a camada mais importante de segurança

A medida de segurança mais eficaz para WordPress é manter tudo atualizado. Segundo dados da Sucuri e do próprio WordPress, a maioria dos sites comprometidos estava rodando software desatualizado.

O que precisa ser atualizado:

  • Core do WordPress: versões menores (security releases) já são aplicadas automaticamente. Versões maiores precisam de ação manual ou configuração.
  • Plugins: cada plugin desatualizado é uma porta de entrada potencial. Atualize regularmente ou ative atualizações automáticas para plugins confiáveis.
  • Temas: temas desatualizados, especialmente temas nulled (piratas), são vetores de ataque conhecidos. Use apenas temas de fontes confiáveis.

Dica prática

No painel do WordPress, em Atualizações, você verá o que precisa ser atualizado. Verifique regularmente — pelo menos uma vez por semana. Para plugins críticos, ative atualizações automáticas individuais.

Se um plugin ou tema não é mais mantido pelo desenvolvedor (sem atualizações há mais de 12-18 meses), considere substituí-lo. Software abandonado é software vulnerável.

Senhas fortes e gestão de usuários

Senha fraca é convite para invasão. Muitos ataques de força bruta funcionam porque o administrador usou “123456”, “admin” ou o nome do site como senha.

Boas práticas de senha

  • Use senhas longas (mínimo 12 caracteres, idealmente 16+).
  • Combine letras maiúsculas, minúsculas, números e caracteres especiais.
  • Não reutilize senhas entre sites.
  • Use um gerenciador de senhas (Bitwarden, 1Password, KeePass).
  • Nunca use “admin” como nome de usuário. Se o seu usuário atual é “admin”, crie um novo administrador com outro nome, transfira o conteúdo e exclua o antigo.

Privilégios de usuário

  • Cada pessoa deve ter seu próprio usuário.
  • Use o menor nível de privilégio necessário. Editores e autores não precisam de acesso de administrador.
  • Revise usuários periodicamente. Remova acessos que não são mais necessários.
  • Em sites com vários colaboradores, defina papéis claros.

Autenticação em dois fatores (2FA)

A autenticação em dois fatores adiciona uma segunda camada de verificação além da senha. Mesmo que o atacante descubra a senha, sem o segundo fator (geralmente um código temporário no celular), ele não consegue acessar.

Como ativar 2FA no WordPress

Plugins populares para 2FA:

  • WP 2FA (anteriormente Two Factor Authentication): plugin dedicado, fácil de configurar, compatível com Google Authenticator, Authy e outros apps de autenticação.
  • Wordfence: inclui 2FA no plugin de segurança.
  • Solid Security (anteriormente iThemes Security): também oferece 2FA entre outros recursos.

Para configurar, em geral o processo é:

  1. Instale e ative o plugin de 2FA.
  2. Configure qual método de autenticação usar (app autenticator é o mais recomendado).
  3. Escaneie o QR code com o app de autenticação no celular.
  4. Guarde os códigos de backup em local seguro.
  5. Teste o login para confirmar que funciona.

Dica importante

Guarde os códigos de backup em local seguro (impresso, gerenciador de senhas ou cofre digital). Se perder o celular e não tiver o código de backup, pode perder o acesso ao painel.

Backup: a última linha de defesa

Nenhuma técnica de segurança é 100% eficaz. Se tudo falhar — invasão, malware, erro humano — o backup é o que permite recuperar o site.

Por isso, backup não é opcional. É parte fundamental da segurança WordPress.

O que fazer

  • Mantenha backups regulares de arquivos e banco de dados.
  • Guarde backups em local externo ao servidor (nuvem, Google Drive, Amazon S3).
  • Teste a restauração periodicamente. Backup que nunca foi testado pode não funcionar quando precisar.
  • Mantenha pelo menos 2-3 versões de backup.

Para um guia completo sobre backup, veja como fazer backup do WordPress.

Firewall WordPress: como funciona e como escolher

Um firewall de aplicação web (WAF) filtra o tráfego que chega ao site, bloqueando requisições maliciosas antes que atinjam o WordPress.

Existem dois tipos principais:

Firewall baseado em servidor (nuvem)

O tráfego passa por um proxy antes de chegar ao servidor. Exemplos: Sucuri Firewall, Cloudflare (plano pago com WAF).

Vantagens: bloqueia ataques antes que cheguem ao servidor, reduz carga no hosting, protege contra DDoS.

Desvantagem: requer configuração de DNS e pode ter custo adicional.

Firewall baseado em aplicação (plugin)

O plugin roda dentro do WordPress e filtra requisições na camada da aplicação. Exemplo: Wordfence.

Vantagens: fácil de instalar, integra scanner de malware, não depende de configuração externa.

Desvantagem: consome recursos do servidor, o tráfego já chega ao hosting antes de ser filtrado.

Wordfence

O Wordfence é o plugin de segurança mais instalado no WordPress. A versão gratuita oferece:

  • Firewall de aplicação com regras atualizadas.
  • Scanner de malware e arquivos comprometidos.
  • Bloqueio de IP e países.
  • Monitoramento de tráfego em tempo real.
  • 2FA integrado.
  • Verificação de vulnerabilidades em plugins e temas.

A versão paga adiciona regras de firewall em tempo real (as regras da versão gratuita têm atraso de 30 dias), bloqueio de IP em tempo real e suporte.

Sucuri

A Sucuri oferece firewall baseado em nuvem e scanner de malware. É mais indicada para sites que precisam de proteção contra DDoS e tráfego malicioso na borda.

O SiteCheck da Sucuri (gratuito) permite verificar se um site está comprometido: https://sitecheck.sucuri.net/

Como escolher

  • Para sites pequenos e blogs: Wordfence gratuito pode ser suficiente como ponto de partida.
  • Para sites com mais tráfego ou que já sofreram ataques: considere Sucuri ou Cloudflare com WAF.
  • Não instale múltiplos plugins de firewall ao mesmo tempo — isso causa conflitos e pode até enfraquecer a segurança.

Observação: a disponibilidade, os recursos e os preços dos plugins podem mudar. Consulte a documentação oficial de cada plugin para informações atualizadas antes de instalar.

Desabilitar ou restringir XML-RPC

O XML-RPC é uma funcionalidade legada do WordPress que permite comunicação remota. Era usada para pingbacks, trackbacks e aplicativos móveis antigos.

Hoje, a maioria dos aplicativos móveis do WordPress usa a REST API. Se você não usa o XML-RPC para nada específico (alguns plugins e integrações ainda dependem dele), desabilitá-lo reduz a superfície de ataque.

Por que desabilitar

O XML-RPC permite que um atacante:

  • Teste centenas de senhas em uma única requisição (ataque de força bruta amplificado).
  • Use o site para ataques DDoS via pingback.
  • Acesse funcionalidades remotas sem autenticação robusta.

Como desabilitar

Opção 1: plugin

Plugins como “Disable XML-RPC” ou funcionalidades dentro de plugins de segurança (Wordfence, Solid Security) podem desabilitar o XML-RPC com um clique.

Opção 2: filtro no functions.php

Adicionar um filtro no tema filho pode desabilitar o XML-RPC:


add_filter('xmlrpc_enabled', '__return_false');

Opção 3: regra no servidor

Em servidores Apache, é possível bloquear acesso ao xmlrpc.php via .htaccess. Em Nginx, via configuração de bloco. Mas isso exige acesso ao servidor e conhecimento do ambiente — não é recomendado para iniciantes sem orientação específica da hospedagem.

Cuidado: antes de desabilitar, verifique se nenhum plugin, aplicativo móvel ou integração (como Jetpack) depende do XML-RPC. Se usar Jetpack, a desabilitação pode quebrar a conexão com o WordPress.com.

Alterar a URL do wp-login.php

Por padrão, a página de login do WordPress fica em /wp-login.php ou /wp-admin/. Atacantes automatizados sabem disso e direcionam tentativas de força bruta para essa URL.

Alterar a URL de login não é segurança por si só — mas reduz ataques automatizados e rastreamento por bots.

Como alterar

Plugins como WPS Hide Login permitem mudar a URL de login sem alterar arquivos do core.

  1. Instale e ative o WPS Hide Login.
  2. Configure a nova URL de login desejada (ex.: /meu-painel/).
  3. Defina uma URL de redirecionamento para quem tentar acessar /wp-login.php (ex.: página 404 ou home).
  4. Teste a nova URL e confirme que o login funciona.

Cuidados

  • Anote a nova URL de login. Se esquecer, pode perder acesso ao painel.
  • Não use URLs óbvias como /login ou /admin.
  • Essa técnica complementa, mas não substitui, firewall e 2FA.
  • Alguns plugins de cache ou segurança podem conflitar. Teste após ativar.

Bloqueio de IP e limitação de tentativas de login

Limitar tentativas de login falhadas é uma das medidas mais simples e eficazes contra brute force.

Limitar tentativas de login

O Wordfence e outros plugins de segurança permitem configurar:

  • Número máximo de tentativas antes do bloqueio.
  • Tempo de bloqueio após exceder tentativas.
  • Bloqueio permanente após múltiplos bloqueios temporários.
  • Whitelist para IPs confiáveis (seu IP, por exemplo).

Plugins dedicados como Limit Login Attempts Reloaded fazem apenas isso — limitar tentativas — e são leves para quem não quer um plugin de segurança completo.

Bloqueio de IP manual

Se você identificar IPs específicos atacando o site (verificando logs de acesso), pode bloqueá-los:

  • No painel do Wordfence (se instalado).
  • No painel da hospedagem (muitos hosts permitem bloqueio de IP no cPanel ou painel próprio).
  • Via .htaccess (Apache) ou configuração de servidor (Nginx), mas com cuidado.

Dica: bloquear IPs individualmente é uma medida reativa. Para proteção contínua, prefira firewall e limitação de tentativas.

Permissões de arquivo e diretório

Permissões incorretas podem permitir que atacantes modifiquem arquivos do WordPress, injetem malware ou acessem dados sensíveis.

Permissões recomendadas

  • Arquivos: 644 (leitura e escrita para o proprietário, leitura para grupo e outros).
  • Diretórios: 755 (leitura, escrita e execução para o proprietário; leitura e execução para grupo e outros).
  • wp-config.php: 600 ou 640 (acesso restrito ao proprietário do processo).

Como verificar

No painel da hospedagem (File Manager ou SSH), verifique as permissões dos arquivos e diretórios. Se estiverem incorretas, ajuste com cautela.

Cuidado: permissões muito restritivas podem quebrar o site (o WordPress não consegue ler arquivos). Permissões muito permissivas abrem portas para invasão. Se não tem certeza, consulte a hospedagem.

Outras medidas

  • Proteger wp-config.php: adicionar regra no .htaccess (Apache) para negar acesso externo.
  • Desabilitar edição de arquivos pelo painel: adicionar em wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Isso impede que um atacante (ou administrador descuidado) edite arquivos de tema/plugin pelo editor do WordPress.

Atualizações automáticas: o que atualizar e como

Atualizações automáticas reduzem a janela de vulnerabilidade. Mas é importante entender o que é atualizado automaticamente e o que exige ação manual.

Atualizações automáticas por padrão

  • Versões menores do core WordPress (security releases) são aplicadas automaticamente desde o WordPress 3.7.
  • Traduções são atualizadas automaticamente.

O que pode ser configurado para atualização automática

  • Plugins: desde o WordPress 5.5, é possível ativar atualizações automáticas individualmente para cada plugin.
  • Temas: também é possível ativar atualizações automáticas individuais desde o WordPress 5.5.
  • Versões maiores do core: podem ser habilitadas via configuração, mas exigem cautela — versões maiores podem causar incompatibilidades.

Boas práticas

  • Ative atualizações automáticas para plugins e temas confiáveis e bem mantidos.
  • Mantenha backups regulares para o caso de uma atualização causar problema.
  • Em sites críticos (WooCommerce, área de membros), teste atualizações em staging antes de aplicar em produção, quando possível.
  • Monitore o site após atualizações automáticas para detectar problemas rapidamente.

HTTPS como camada de segurança

HTTPS não é apenas SEO ou “cadeado verde”. É uma camada de segurança que protege a comunicação entre o visitante e o site.

Para a segurança WordPress, HTTPS é importante porque:

  • Protege credenciais de login transmitidas pelo formulário.
  • Protege dados enviados por formulários de contato e checkout.
  • Previne ataques man-in-the-middle.
  • É pré-requisito para funcionalidades modernas do navegador (service workers, HTTP/2 em alguns casos).

Ativar HTTPS é relativamente simples com hospedagens que oferecem SSL gratuito. Veja o guia completo sobre como configurar HTTPS no WordPress.

Monitoramento e detecção de comprometimento

Prevenção é a primeira linha, mas detecção é a segunda. Se o site for comprometido, quanto antes souber, mais rápido poderá reagir.

Sinais de que o site pode ter sido hackeado

  • Redirecionamentos para sites desconhecidos.
  • Exibição de conteúdo estranho ou spam.
  • Avisos do Google “Este site pode estar comprometido”.
  • Lentidão repentina sem causa aparente.
  • E-mails de spam enviados pelo servidor.
  • Arquivos novos ou modificados no servidor.
  • Contas de usuário criadas sem sua ação.
  • Alertas do plugin de segurança.

Ferramentas de monitoramento

  • Wordfence Scan: verifica arquivos do core, temas e plugins contra o repositório oficial. Detecta malware conhecido e alterações suspeitas.
  • Sucuri SiteCheck: verificação online gratuita (https://sitecheck.sucuri.net/).
  • Google Search Console: avisa se o site for marcado como comprometido.
  • Logs de acesso do servidor: podem revelar tentativas de invasão, IPs suspeitos e requisições anormais.

O que fazer se detectar comprometimento

  1. Não entre em pânico, mas aja rápido.
  2. Faça backup do site atual (para análise, mesmo comprometido).
  3. Coloque o site em modo manutenção, se possível.
  4. Verifique arquivos do core, temas e plugins contra versões limpas.
  5. Altere todas as senhas (admin, banco de dados, FTP, hospedagem).
  6. Use um scanner para identificar malware.
  7. Restaure o último backup limpo, se disponível.
  8. Atualize tudo (core, plugins, temas).
  9. Reaplique as medidas de segurança deste guia.
  10. Monitore o site nos dias seguintes.

Checklist completo de segurança WordPress

Use este checklist como ponto de partida e referência contínua.

Essencial (faça hoje)

  • [ ] Atualize o core WordPress para a versão mais recente.
  • [ ] Atualize todos os plugins.
  • [ ] Atualize o tema ativo.
  • [ ] Remova plugins e temas inativos que não são usados.
  • [ ] Altere senhas fracas de todos os administradores.
  • [ ] Verifique se o nome de usuário “admin” não está em uso.
  • [ ] Configure backups regulares em local externo.
  • [ ] Ative HTTPS.

Recomendado (faça esta semana)

  • [ ] Ative autenticação em dois fatores (2FA) para administradores.
  • [ ] Instale um plugin de firewall/segurança (Wordfence ou alternativa).
  • [ ] Configure limitação de tentativas de login.
  • [ ] Desabilite XML-RPC se não for necessário.
  • [ ] Ative atualizações automáticas para plugins e temas confiáveis.
  • [ ] Verifique permissões de arquivo (644 para arquivos, 755 para diretórios).
  • [ ] Adicione define('DISALLOW_FILE_EDIT', true) no wp-config.php.

Avançado (faça este mês)

  • [ ] Considere alterar a URL de login (WPS Hide Login).
  • [ ] Configure bloqueio de IP para tentativas repetidas.
  • [ ] Proteja wp-config.php via .htaccess ou configuração de servidor.
  • [ ] Configure monitoramento de arquivos (Wordfence scan agendado).
  • [ ] Verifique se a hospedagem oferece firewall no nível do servidor.
  • [ ] Teste a restauração do backup.
  • [ ] Revise privilégios de usuários.
  • [ ] Monitore logs de acesso para padrões suspeitos.

Perguntas frequentes

O WordPress é seguro?

O core do WordPress é bem mantido e considerado seguro pela comunidade. A maioria das vulnerabilidades vem de plugins, temas desatualizados, senhas fracas e más configurações. Com as práticas deste guia, o risco é significativamente reduzido.

Preciso de um plugin de segurança?

Depende do site e da hospedagem. Muitas hospedagens já oferecem firewall e monitoramento no nível do servidor. Mas um plugin como Wordfence adiciona camadas específicas para o WordPress: scanner de malware, verificação de integridade de arquivos, 2FA e limitação de login. Para a maioria dos sites, ter pelo menos um plugin básico de segurança é recomendado.

Wordfence gratuito é suficiente?

Para sites pequenos e blogs, o Wordfence gratuito oferece proteção significativa: firewall de aplicação (com regras com atraso de 30 dias), scanner de malware, bloqueio de IP e 2FA. Para sites com mais tráfego, lojas WooCommerce ou sites que já sofreram ataques, considere a versão paga ou uma solução baseada em nuvem como Sucuri.

Alterar a URL de login resolve o problema de segurança?

Não. Alterar a URL de login reduz ataques automatizados, mas não impede atacantes determinados ou que descobram a nova URL. É uma medida complementar, não substituta para firewall, 2FA e senhas fortes.

Desabilitar XML-RPC pode quebrar meu site?

Pode, se algum plugin, aplicativo ou integração depender do XML-RPC. O Jetpack e alguns plugins de automação usam XML-RPC. Antes de desabilitar, verifique se nenhuma funcionalidade do site depende dele. Se usar apenas o navegador para gerenciar o site, é seguro desabilitar.

Com que frequência devo verificar a segurança do site?

  • Diariamente: verifique se há atualizações pendentes.
  • Semanalmente: verifique alertas do plugin de segurança.
  • Mensalmente: execute um scan completo, revise usuários e confirme backups.
  • Após qualquer incidente: revise todo o checklist.

Minha hospedagem já protege o site?

Muitas hospedagens oferecem camadas de segurança (firewall, scan de malware, backups). Mas a responsabilidade é compartilhada. A hospedagem protege a infraestrutura; a segurança da aplicação (plugins, temas, senhas, configurações) é sua. Não dependa apenas da hospedagem.

O que é hardening WordPress?

Hardening é o processo de reforçar a segurança do WordPress aplicando múltiplas camadas de proteção: atualizações, senhas, firewall, 2FA, permissões, desabilitar funcionalidades desnecessárias e monitoramento. Este guia cobre as principais técnicas de hardening.

Conclusão

Segurança WordPress não é um botão que se liga — é um processo contínuo. Comece pelo essencial: atualize tudo, use senhas fortes, ative 2FA e mantenha backups regulares.

Depois, avance para camadas adicionais: firewall, bloqueio de IP, permissões de arquivo, desabilitação de XML-RPC e monitoramento. Cada camada reduz o risco. Nenhuma elimina 100%, mas juntas tornam o site um alvo muito mais difícil.

Se você ainda está construindo a base técnica do site, aproveite para revisar sua hospedagem WordPress, garantir que o HTTPS está ativo, configurar backup completo e verificar a performance do WordPress. Para continuar aprendendo, veja também o guia sobre o que é WordPress.

Artigos Relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *