RevealTheme logo

Guia · Atualizado 2026

Lista de verificação de segurança do WordPress: 30 passos que de fato importam

A maioria das dicas de segurança do WordPress é genérica, alarmista e se esquece do que de fato importa. Esta lista ordena as medidas de segurança por impacto real, com base nos padrões de ataque reais usados contra sites WordPress (força bruta, plugins vulneráveis, credenciais fracas, núcleos desatualizados).

Os 5 essenciais: faça-os primeiro

  1. Mantenha atualizados o núcleo do WordPress, os temas e os plugins. Os plugins vulneráveis são o vetor de ataque número 1. Ative as atualizações automáticas de versões menores (o WordPress 5.6+ faz isso por padrão). Para versões maiores, atualize dentro de 7 dias após o lançamento. Para plugins, ative a atualização automática dos confiáveis; revise manualmente as notas de versão dos plugins críticos.
  2. Use senhas fortes e únicas para cada conta do WordPress. Especialmente as de administrador. Use um gerenciador de senhas (1Password, Bitwarden). Desative o nome de usuário «admin»: crie um novo administrador e exclua o antigo.
  3. Ative a autenticação de dois fatores. Use o Wordfence Login Security (grátis) ou nosso Gerador de QR 2FA com qualquer app TOTP. O 2FA derrota mais de 99% dos ataques de preenchimento de credenciais.
  4. Instale um plugin de segurança confiável. Wordfence (a versão gratuita basta para a maioria dos sites) ou Solid Security. Não empilhe vários: eles entram em conflito. O plugin gerencia o limite de tentativas de login, o monitoramento de integridade de arquivos e a análise de malware.
  5. Backups diários fora do site. UpdraftPlus → Dropbox/Google Drive. Faça o backup antes de precisar dele. Teste o processo de restauração pelo menos uma vez.

As 10 seguintes: medidas adicionais de alto impacto

  1. Force o HTTPS. O Let's Encrypt é grátis em toda hospedagem moderna. Redirecione HTTP para HTTPS no nível do servidor.
  2. Mude o prefixo das tabelas do banco de dados. O WordPress usa wp_ por padrão; troque por algo personalizado durante a instalação. Não evita ataques, mas dificulta alguns padrões de ataque.
  3. Desative o XML-RPC se você não o usa. O XML-RPC é um vetor comum de amplificação de força bruta. Se você não usa o app móvel do Jetpack nem a publicação remota, desative-o via .htaccess ou um plugin.
  4. Limite as tentativas de login. O Wordfence faz isso automaticamente. Evita o preenchimento de credenciais por força bruta.
  5. Rotacione as chaves/salts de autenticação do WordPress. Use nosso Gerador de Salts do WordPress. Rotacione-as após qualquer suspeita de comprometimento, após excluir um administrador comprometido e a cada 6-12 meses de forma rotineira.
  6. Use SSH ou SFTP para transferir arquivos, nunca FTP simples. O FTP transmite as credenciais em texto puro.
  7. Restrinja o acesso ao wp-admin por IP se possível. Se a sua equipe usa IPs fixos (escritório, VPN), limite o wp-admin somente a esses IPs. Via .htaccess ou a configuração do Nginx.
  8. Desative a edição de arquivos no wp-config.php. Adicione: define('DISALLOW_FILE_EDIT', true); Evita que os atacantes editem temas/plugins pelo painel se comprometerem uma conta.
  9. Oculte o número de versão do WordPress. Remova a meta tag generator. Não evita ataques, mas reduz o fingerprinting.
  10. Bloqueie as permissões de arquivos. Arquivos 644, diretórios 755, wp-config.php 600. A maioria das hospedagens gerenciadas faz isso automaticamente; em um VPS, configure-o explicitamente.

Refinamento: bom, mas não crítico

  1. URL de login personalizada (p. ex., WPS Hide Login). Sobretudo reduz o ruído do tráfego de bots; não é segurança real.
  2. CAPTCHA nos formulários de login. Uma leve fricção para os ataques automatizados.
  3. Desative a execução de PHP em /uploads/. Evita que shells PHP enviados sejam executados.
  4. Use o WAF da Cloudflare (nível gratuito). Filtra o tráfego malicioso antes que chegue ao seu servidor.
  5. Configure um alerta por e-mail de administrador para as atualizações de plugins/núcleo.
  6. Use o pré-carregamento HSTS para forçar o HTTPS no nível do navegador.
  7. Desative a enumeração de usuários por meio da API REST (Solid Security ou Wordfence cuidam disso).
  8. Use cabeçalhos de Política de Segurança de Conteúdo (CSP).
  9. Desative a navegação por diretórios (a maioria das hospedagens faz isso por padrão).
  10. Monitore o tempo de atividade + a integridade com um serviço externo (nível gratuito do UptimeRobot + Sucuri SiteCheck semanal).
  11. Limite os papéis de usuário ao mínimo privilégio. A maioria dos colaboradores não precisa de acesso de nível editor.
  12. Criptografia de backups do banco de dados (o UpdraftPlus Premium oferece).
  13. Hospedagem de imagens fora do domínio por meio de CDN (reduz a superfície de ataque).
  14. Revisão periódica do registro de auditoria de segurança.
  15. Teste de penetração anual se o site gera receita significativa.

Mitos de segurança do WordPress: pule-os

Várias medidas de «segurança» muito recomendadas oferecem proteção real mínima: (1) «Ocultar a versão do WordPress»: conhecer a sua versão ajuda ligeiramente nos ataques direcionados, mas a solução real é atualizar, não ocultar. (2) «Mover o wp-config.php para cima de public_html»: traz essencialmente zero benefício de segurança; o arquivo já está protegido por .htaccess. (3) «Desativar a API REST»: quebra muitos plugins e bloqueia pouco. Limite endpoints específicos em vez disso. (4) «Empilhar vários plugins de segurança»: eles entram em conflito e se sobrepõem. Um plugin confiável (Wordfence ou Solid Security) cobre o que três fariam. (5) «Renomear o wp-login.php»: segurança por obscuridade; os atacantes encontram a nova URL facilmente por meio de redirecionamentos.

Se você foi hackeado: lista de recuperação

  1. Não entre em pânico; não exclua coisas de imediato. Tire primeiro um instantâneo do estado atual para a análise forense.
  2. Coloque o site fora do ar (plugin de modo manutenção ou redirecionamento .htaccess para uma página estática).
  3. Mude todas as senhas de administrador e rotacione os salts do WordPress.
  4. Audite as contas de usuário: exclua de imediato as contas de administrador não reconhecidas.
  5. Analise em busca de malware com o Wordfence Premium ou Sucuri.
  6. Compare os arquivos atuais com um download limpo do WordPress: o diff revela os arquivos do núcleo modificados.
  7. Revise a tabela wp_options do banco de dados em busca de entradas inesperadas (muitas vezes contém JS injetado).
  8. Restaure a partir do backup limpo mais recente (é por isso que os backups diários importam).
  9. Uma vez restaurado, audite cada plugin: remova os não usados, atualize todos e substitua qualquer um com CVEs públicas.
  10. Atualize o núcleo do WordPress para a versão mais recente.
  11. Reative o site e fique atento à reinfecção por 30 dias.
Gere salts novos do WordPress agora

Perguntas frequentes

O WordPress é menos seguro que outros CMS?
Não de forma inerente. A reputação do WordPress como risco de segurança vem de dois fatores: ele impulsiona 43% da web, então os atacantes o miram; e os usuários casuais instalam plugins vulneráveis sem auditá-los. Um site WordPress mantido com plugins verificados é tão seguro quanto Drupal ou Joomla. Um site WordPress abandonado com 30 plugins desatualizados é um alvo fácil.
Preciso de um plugin de segurança pago?
A maioria dos sites não. O Wordfence Free cobre o que 90% dos sites WordPress precisam: firewall, análise de malware, segurança de login, integridade de arquivos. A versão Premium adiciona atualizações de ameaças em tempo real (em vez de um atraso de 30 dias), bloqueio por país e suporte prioritário: vale a pena para sites com receita real, opcional nos demais casos.
Com que frequência devo atualizar o WordPress?
Versões menores (5.6.1 → 5.6.2): automaticamente, de imediato. Versões maiores (5.x → 6.x): dentro de 7 dias após o lançamento. Atualizações de plugins: revisão semanal; atualização automática se você tiver backups; revisão manual para plugins críticos (segurança, e-commerce, código personalizado).
Qual é a forma mais comum em que os sites WordPress são hackeados?
Os plugins vulneráveis, responsáveis por ~55% dos ataques bem-sucedidos ao WordPress segundo os relatórios anuais do Wordfence. O próprio código do plugin tem uma vulnerabilidade que o atacante explora. Mitigação: mantenha os plugins atualizados, remova os não usados e instale apenas plugins de desenvolvedores confiáveis.
Devo usar uma hospedagem com segurança de WordPress integrada?
As hospedagens gerenciadas de WordPress (Kinsta, WP Engine, Pressable) incluem WAF, análise de malware e atualizações automáticas do núcleo: acréscimos significativos. Se justificam o preço premium depende do seu tráfego e perfil de ameaças. Para um site de pequena empresa, uma instalação gratuita do Wordfence em hospedagem compartilhada cobre a maioria das ameaças.

Leituras relacionadas

Inscreva-se para receber novidades

Não vendemos seu e-mail. Não enviamos spam.

© 2026 RevealTheme. All rights reserved.