Divulgação: este artigo contém links de afiliados. Se você contratar através deles, podemos receber uma comissão sem nenhum custo adicional para você.

Todo dono de site teme o momento em que percebe que ele pode estar vulnerável a hackers. Uma única invasão pode prejudicar instantaneamente a reputação e a receita que você construiu com tanto esforço.

Você pode achar que proteger o site exige ferramentas caras ou conhecimento avançado de programação, mas isso não é verdade. A maioria das medidas de segurança é, na verdade, bem fácil de aplicar.

Neste guia, apresentamos um checklist completo de segurança para você proteger o seu site e dormir tranquilo.

The Ultimate WordPress Security Guide - Step by Step

Embora o núcleo do WordPress seja muito seguro e auditado regularmente por centenas de desenvolvedores, ainda há muito a ser feito para manter o seu site protegido. Segurança não é só eliminar riscos — é também reduzi-los. Mesmo sem ser um especialista, há muito que você pode fazer.

Por que a segurança do site é importante?

Um site WordPress invadido pode causar sérios danos à receita e à reputação do seu negócio. Hackers podem roubar informações e senhas dos usuários, instalar softwares maliciosos e até distribuir malware aos seus visitantes. Em casos piores, você pode acabar pagando resgate (ransomware) só para recuperar o acesso ao seu próprio site.

Ransomware Attack

Todos os dias, o Google avisa milhões de usuários de que um site que tentam visitar pode conter malware, e coloca milhares de sites em lista negra por malware ou phishing. Assim como um lojista físico protege sua propriedade, o dono de um negócio online precisa cuidar da segurança do WordPress.

Mantenha o WordPress atualizado

Easily update WordPress

O WordPress é um software de código aberto, mantido e atualizado regularmente. Por padrão, ele instala automaticamente as atualizações menores; para as versões maiores, você precisa iniciar a atualização manualmente. Temas e plugins, mantidos por desenvolvedores terceiros, também recebem atualizações. Manter o núcleo, os plugins e o tema atualizados é fundamental para a segurança e a estabilidade do site.

Use senhas fortes e permissões de usuário

Manage strong passwords

As tentativas de invasão mais comuns usam senhas roubadas. Use senhas fortes e únicas — não só no painel do WordPress, mas também nas contas de FTP, banco de dados, hospedagem e e-mails do seu domínio.

Muitos iniciantes evitam senhas fortes por serem difíceis de lembrar. A boa notícia é que você não precisa decorá-las: use um gerenciador de senhas. Recomendamos o LastPass, que guarda e preenche suas senhas com segurança. Além disso, só dê acesso de administrador a quem for realmente necessário e entenda os papéis de usuário antes de adicionar novas contas.

Entenda o papel da hospedagem

A sua hospedagem tem o papel mais importante na segurança do site. Um bom provedor toma medidas extras para proteger os servidores contra ameaças comuns: monitora a rede em busca de atividades suspeitas, previne ataques DDoS em larga escala, mantém o software do servidor e o PHP atualizados, e tem planos de recuperação de desastres.

Recomendamos a Hostinger, que oferece servidores rápidos, atualizados e seguros, com data center em São Paulo e suporte em português. Hospedagens gerenciadas vão além, com backups e atualizações automáticas e firewalls avançados, cuidando de várias tarefas técnicas de segurança por você.

Segurança do WordPress em passos fáceis (sem programar)

Melhorar a segurança pode parecer assustador para iniciantes, mas você não está sozinho. Veja como reforçar a proteção com poucos cliques, sem código.

1. Instale uma solução de backup

WordPress Backup

Backups são a sua primeira defesa. Nada é 100% seguro — se sites de governo são invadidos, o seu também pode ser. Os backups permitem restaurar o site rapidamente se algo der errado. O mais importante é salvar backups completos com regularidade em um local remoto (não na própria hospedagem), como Google Drive, Dropbox ou outro serviço de nuvem. Conforme a frequência de atualização do site, o ideal é backup diário ou em tempo real, o que pode ser feito facilmente com plugins de backup (sem código).

2. Instale um bom plugin de segurança

Depois dos backups, configure um sistema de auditoria e monitoramento que acompanhe tudo que acontece no site: integridade de arquivos, tentativas de login falhas, varredura de malware e mais. Isso é facilmente resolvido com um dos melhores plugins de segurança do WordPress.

Setting up the Sucuri WordPress security plugin

Após instalar, acesse o painel do plugin para ver se há problemas imediatos no código do site. Em seguida, vá até a aba de “Hardening” (reforço) e aplique as proteções recomendadas, que bloqueiam as áreas mais usadas pelos hackers.

Hardening your WordPress blog or website

Vale personalizar os alertas por e-mail para receber notificações apenas das ações importantes (como mudanças em plugins e novos cadastros de usuário), evitando lotar a caixa de entrada.

Customizing your website's security alerts

3. Ative um firewall de aplicação web (WAF)

O plugin de monitoramento ajuda a detectar problemas, mas não bloqueia ataques em tempo real. Para isso, você precisa de um firewall de aplicação web (WAF), que bloqueia o tráfego malicioso antes que ele chegue ao site.

How website firewall blocks attacks
  • Firewall em nível de DNS: roteia o tráfego por servidores proxy na nuvem, enviando apenas o tráfego legítimo ao seu servidor.
  • Firewall em nível de aplicação: examina o tráfego depois que ele chega ao servidor, sendo menos eficiente em reduzir a carga.

Um bom firewall bloqueia spam, ataques DDoS, hackers e requisições maliciosas, além de muitas vezes incluir CDN para acelerar o site.

4. Migre o site para SSL/HTTPS

O SSL criptografa a transferência de dados entre o seu site e o navegador do visitante, dificultando o roubo de informações. Com o SSL ativo, o endereço passa a usar HTTPS e aparece um cadeado no navegador.

How SSL Works

Hoje, ter SSL é requisito para todos os sites — sem ele, o Chrome e outros navegadores marcam o site como “Não seguro”, afastando visitantes. Felizmente, a maioria das hospedagens já oferece certificado SSL gratuito (via Let's Encrypt).

5. Proteja a sua conexão com uma VPN

Ao acessar o painel do WordPress em redes Wi-Fi públicas (cafés, aeroportos, hotéis), suas credenciais podem ser interceptadas. Uma VPN como a NordVPN criptografa a sua conexão, impedindo que hackers capturem o seu login — uma camada extra de segurança para quem administra o site de qualquer lugar.

Segurança do WordPress para usuários avançados

Se você fez tudo até aqui, já está em boa forma. Mas há mais o que fazer para reforçar a segurança. Alguns destes passos podem exigir conhecimento técnico.

Mude o nome de usuário “admin” padrão

Antigamente, o usuário padrão do WordPress era “admin”. Como o nome de usuário é metade das credenciais, isso facilitava ataques de força bruta. Hoje o WordPress exige escolher um nome personalizado na instalação, mas alguns instaladores antigos ainda usam “admin”. Se for o seu caso, troque o nome de usuário (criando um novo admin e excluindo o antigo, ou via plugin/phpMyAdmin).

Desative a edição de arquivos

O WordPress tem um editor de código embutido para editar tema e plugins direto pelo painel. Nas mãos erradas, isso é um risco. Recomendamos desativá-lo.

Adding custom CSS in a child theme's stylesheet in the theme file editor

Você faz isso adicionando este código ao seu arquivo wp-config.php (ou via um plugin de snippets):

// Desativa a edição de arquivos
define( 'DISALLOW_FILE_EDIT', true );

Alternativamente, dá para fazer isso com 1 clique pela função de “Hardening” do plugin de segurança gratuito mencionado acima.

Desative a execução de PHP em certas pastas

Outra forma de reforço é desativar a execução de arquivos PHP em pastas onde isso não é necessário, como /wp-content/uploads/.

Observação: este método funciona em servidores Apache (usados pela maioria das hospedagens compartilhadas). Em hospedagens gerenciadas, isso geralmente já é cuidado para você. Crie um arquivo de texto com este código:

<Files *.php>
deny from all
</Files>

Salve o arquivo como .htaccess e envie-o para a pasta /wp-content/uploads/ via FTP. (Também é possível fazer isso com 1 clique pelo recurso de hardening do plugin de segurança.)

Limite as tentativas de login

Por padrão, o WordPress permite tentativas ilimitadas de login, o que deixa o site vulnerável a ataques de força bruta. Limitar as tentativas falhas resolve isso. Se você usa um firewall (WAF), isso já é feito automaticamente. Caso contrário, instale um plugin gratuito de “Limit Login Attempts”.

Limit Login Attempts

Adicione autenticação em dois fatores (2FA)

A autenticação em dois fatores (2FA) exige dois passos para entrar: (1) usuário e senha; (2) um código de um app no seu celular, que o hacker não tem acesso. Instale um plugin de 2FA — ele vai gerar um QR Code.

Use Your Authenticator App to Scan the QR Code

Escaneie o QR Code com um app autenticador no celular, como o Google Authenticator, o Authy ou o LastPass Authenticator. Recomendamos apps que fazem backup das contas na nuvem — assim, se você perder ou trocar de celular, recupera tudo facilmente.

Users Must Enter an Authentication Code Before Logging In

Na próxima vez que entrar no site, após a senha, será pedido o código de 2FA. Basta abrir o app autenticador e digitar o código de uso único.

Mude o prefixo do banco de dados

Por padrão, o WordPress usa wp_ como prefixo das tabelas do banco. Isso facilita os hackers adivinharem os nomes das tabelas, por isso recomendamos mudar o prefixo. Atenção: feito de forma incorreta, isso pode quebrar o site — só faça se tiver segurança técnica.

Proteja a página de login e o wp-admin com senha

Password protect WordPress admin example

Normalmente, hackers podem acessar a pasta wp-admin e a página de login sem restrições, para testar invasões ou rodar ataques DDoS. Adicionar uma proteção por senha no nível do servidor bloqueia essas requisições.

Desative a listagem de diretórios

Directory Browsing

Quando uma pasta do site não tem um arquivo de índice, o navegador mostra a lista de arquivos dela. Hackers usam isso para encontrar arquivos com vulnerabilidades. Para desativar, adicione esta linha ao final do seu arquivo .htaccess:

Options -Indexes

Importante: verifique o site logo após salvar. Se aparecer erro, a sua hospedagem pode não permitir essa configuração — então remova a linha.

Desative o XML-RPC

O XML-RPC é uma API do WordPress que conecta o site a aplicativos web e móveis, ativada por padrão. Porém, ela pode amplificar ataques de força bruta (com a função system.multicall, um hacker testa milhares de senhas em poucas requisições). Se você não usa o app do WordPress nem o Jetpack, recomendamos desativá-la. Um firewall (WAF) também cuida disso automaticamente.

Deslogue usuários inativos automaticamente

Usuários logados que se afastam da tela são um risco — alguém pode sequestrar a sessão. Por isso bancos deslogam usuários inativos. Você pode fazer o mesmo com um plugin de “Inactive Logout”, definindo o tempo de inatividade.

Logout idle users

Adicione perguntas de segurança no login

Uma pergunta de segurança na tela de login dificulta ainda mais o acesso não autorizado. Isso pode ser adicionado com um plugin de autenticação de dois fatores que ofereça essa opção.

Adding Security Questions to WordPress Login

Verifique malware e vulnerabilidades

Malware Scan

Com um plugin de segurança instalado, o site é verificado rotineiramente. Mas se notar uma queda repentina de tráfego ou de posições, faça uma varredura manual com o plugin ou com um scanner online de malware. Lembre-se: a maioria dos scanners online só avisa se há malware — geralmente não removem nem limpam um site invadido.

Corrija um site invadido

Muitos só percebem a importância da segurança e dos backups quando o site é invadido. Hackers instalam “backdoors”, e se elas não forem removidas corretamente, o site é invadido de novo. Limpar um site invadido é difícil e demorado — o ideal é deixar um profissional cuidar disso, ou restaurar um backup limpo e trocar todas as senhas.

Perguntas frequentes (FAQ)

O WordPress é seguro?

Sim, o WordPress é projetado para ser seguro, especialmente se mantido atualizado. Como é muito popular, é bastante visado por hackers — mas seguindo dicas simples como as deste artigo, você reduz muito as chances de invasão.

O que coloca meu site em risco?

As ameaças mais comuns são senhas fracas, plugins e temas desatualizados, malware e falhas no código. A maioria é controlável com boas práticas.

Com que frequência devo atualizar o WordPress?

Sempre que houver atualizações, pois elas costumam corrigir falhas de segurança. Ative atualizações automáticas ou verifique pelo menos uma vez por semana e instale rapidamente.

Preciso de um plugin de segurança?

Não é obrigatório, mas é altamente recomendado. Plugins de segurança funcionam como guardas extras, protegendo o site contra hackers e malware.

Como sei se meu site foi invadido?

Sinais comuns: novos usuários ou arquivos que você não criou, redirecionamentos estranhos, lentidão repentina e avisos do Google ou da hospedagem.

Conclusão

Segurança no WordPress é uma combinação de hábitos simples: atualizações, senhas fortes (com um gerenciador como o LastPass), backups, uma boa hospedagem e proteção da conexão com uma VPN. Aplicando este checklist, você protege o seu site e dorme tranquilo.

Deixe uma resposta

This site uses Akismet to reduce spam. Learn how your comment data is processed.