Neste artigo
O WordPress alimenta mais de 43% da web — e, por isso, é o alvo principal de bots e hackers. Não por ser inseguro, mas por ser popular. A maioria dos ataques explora vulnerabilidades previsíveis: senhas fracas, plugins desatualizados e hospedagens mal configuradas. Este checklist cobre as medidas que eliminam a grande maioria dos riscos.
Por que a segurança é crítica
Um site comprometido pode ter conteúdo alterado, dados de clientes expostos, ser usado para distribuir malware ou ser completamente apagado. Além do dano imediato, o Google pode marcar o site como inseguro, destruindo meses ou anos de trabalho de SEO. A prevenção é sempre mais barata e simples do que a recuperação.
O básico que todo site precisa
Senhas fortes e únicas
Parece óbvio, mas senhas fracas continuam sendo a causa número um de invasões. Use senhas com pelo menos 16 caracteres, combinando letras, números e símbolos. Use um gerenciador de senhas (1Password, Bitwarden) e nunca reutilize senhas entre serviços.
Autenticação de dois fatores (2FA)
A 2FA adiciona uma camada extra ao login: além da senha, você precisa de um código gerado por um app como Google Authenticator ou Authy. Mesmo que a senha vaze, o invasor não consegue entrar sem o código. Ative para todos os usuários administradores.
Mantenha tudo atualizado
O core do WordPress, os temas e os plugins recebem atualizações que frequentemente corrigem falhas de segurança. Configure atualizações automáticas para o core e verifique plugins e temas pelo menos uma vez por semana.
No WordPress 5.5+, você pode ativar atualizações automáticas para cada plugin individualmente em Plugins → Plugins instalados. Use essa funcionalidade para plugins críticos como os de segurança.
Use HTTPS (SSL)
O certificado SSL criptografa a comunicação entre o navegador e o servidor. Além de proteger dados, é fator de ranqueamento no Google. A maioria das hospedagens oferece SSL gratuito via Let's Encrypt — ative-o imediatamente.
Hardening: endurecendo o WordPress
Mude o prefixo das tabelas do banco de dados
O prefixo padrão wp_ é conhecido por atacantes. Se você está instalando um novo WordPress, mude para algo aleatório como xk7_. Para sites existentes, plugins como Solid Security fazem essa alteração de forma segura.
Desative a edição de arquivos pelo painel
O WordPress permite editar arquivos do tema e plugins diretamente pelo painel. Se um invasor conseguir acesso admin, ele pode inserir código malicioso. Desative essa funcionalidade adicionando ao wp-config.php:
define('DISALLOW_FILE_EDIT', true);
Proteja o wp-config.php
O wp-config.php contém as credenciais do banco de dados e chaves de segurança. Mova-o para um diretório acima da raiz pública (o WordPress reconhece automaticamente) ou proteja-o via .htaccess.
Limite tentativas de login
Ataques de força bruta tentam milhares de combinações de senha automaticamente. Limite o número de tentativas de login (por exemplo, 5 tentativas a cada 15 minutos) com o Wordfence ou o plugin Limit Login Attempts Reloaded.
Desative o XML-RPC
O XML-RPC é uma interface antiga que permite comunicação externa com o WordPress. Se você não usa apps de terceiros para publicar, desative-o — ele é frequentemente explorado em ataques de força bruta e DDoS.
Plugins de segurança recomendados
| Plugin | Preço | Firewall | Scanner | 2FA | Destaque |
|---|---|---|---|---|---|
| Wordfence | Gratuito / Premium | Sim | Sim | Sim | O mais completo e popular |
| Solid Security | Gratuito / Pro | Sim | Sim | Sim | Interface intuitiva |
| Sucuri Security | Gratuito / Pago | Sim (pago) | Sim | Não | CDN com WAF integrado |
| All-In-One Security | Gratuito | Básico | Sim | Sim | Bom para iniciantes |
Backup como último recurso
O backup é a sua rede de segurança. Se tudo falhar — invasão, erro de atualização, exclusão acidental — o backup permite restaurar o site ao estado anterior. Configure backups automáticos com o UpdraftPlus e siga estas regras:
- Faça backups automáticos diários ou semanais, dependendo da frequência de atualização do site
- Armazene em pelo menos dois locais externos (Google Drive + Dropbox, por exemplo)
- Teste a restauração periodicamente — um backup que não restaura não é um backup
- Mantenha pelo menos 30 dias de histórico de backups
Monitoramento contínuo
Segurança não é uma configuração única — é um processo contínuo. Configure alertas para atividades suspeitas: tentativas de login falhas, alterações em arquivos do core, novos usuários administradores e instalação de plugins. O Wordfence e o Solid Security oferecem notificações por e-mail para todos esses eventos.
Se o site for hackeado
Coloque o site em manutenção
Ative o modo de manutenção para evitar que visitantes sejam expostos a conteúdo malicioso.
Restaure um backup limpo
Use o backup mais recente anterior à invasão. Verifique a data exata comparando os arquivos modificados.
Mude todas as senhas
WordPress, FTP, banco de dados, painel da hospedagem, e-mail administrativo — tudo. Gere novas security keys no wp-config.php.
Atualize tudo e escaneie
Atualize WordPress, temas e plugins. Execute um scanner de malware completo. Remova plugins e temas que não esteja usando.
Investigue e previna
Analise os logs para entender como a invasão aconteceu. Implemente as medidas de hardening deste artigo para evitar recorrência.