Não é exagero: segundo dados do WPScan, mais de 90% das vulnerabilidades conhecidas em WordPress são causadas por plugins desatualizados, senhas fracas e configurações padrão que nunca foram alteradas. Sites pequenos são alvos frequentes justamente porque os proprietários acreditam que “não têm nada de valor para roubar”.
Têm. Dados de clientes, acesso a e-mails, capacidade de distribuir malware para visitantes, uso do servidor para envio de spam, um site invadido pode causar prejuízos que vão muito além da indisponibilidade.
A boa notícia é que a grande maioria das invasões é prevenível com medidas básicas que qualquer pessoa pode implementar. Este checklist cobre os 8 passos mais importantes, em ordem de prioridade, para blindar o seu WordPress hoje.
Por que o WordPress é tão visado?
Com mais de 43% de todos os sites da internet rodando WordPress, ele é simplesmente o maior alvo disponível. Hackers não escolhem vítimas manualmente, usam bots automatizados que varrem a internet em busca de vulnerabilidades conhecidas. Se o seu site tem um plugin desatualizado com uma falha de segurança documentada, é questão de tempo até ser encontrado.
Isso não é uma falha do WordPress em si, é uma consequência da sua popularidade e do ecossistema aberto de plugins e temas. A segurança depende, em grande parte, das decisões do proprietário do site.
Os 8 passos do checklist
✅ Passo 1: Mantenha tudo atualizado sempre
Este é o item mais importante e mais negligenciado. Atualize regularmente:
- WordPress core: cada atualização corrige vulnerabilidades conhecidas. Ative atualizações automáticas para versões menores (patches de segurança).
- Plugins: verifique semanalmente se há atualizações pendentes. Plugins desatualizados são a principal porta de entrada para invasores.
- Temas: mesmo temas que você não usa ativamente podem ter vulnerabilidades exploráveis, delete os que não usa.
Ferramenta recomendada: o plugin Easy Updates Manager permite configurar atualizações automáticas com granularidade, você decide o que atualiza automaticamente e o que prefere revisar manualmente.
Atenção: antes de atualizar plugins em um site em produção, faça um backup. Atualizações raramente quebram coisas, mas raramente não é nunca.
✅ Passo 2: Use senhas fortes e autenticação em dois fatores (2FA)
Ataques de força bruta, onde bots tentam milhares de combinações de senha por minuto, são um dos vetores de invasão mais comuns. A defesa é dupla:
Senhas fortes: use uma senha com no mínimo 16 caracteres, combinando letras maiúsculas, minúsculas, números e símbolos. Nunca use “admin”, o nome do site ou datas. Use um gerenciador de senhas como Bitwarden ou 1Password.
2FA (Autenticação em dois fatores): mesmo que sua senha seja comprometida, o 2FA impede o acesso sem o código gerado no seu celular. É a camada de segurança mais eficiente por esforço investido.
Plugins recomendados:
- WP 2FA: gratuito, simples de configurar, suporta Google Authenticator e Authy
- Wordfence Login Security: inclui 2FA e proteção contra força bruta
✅ Passo 3: Troque o usuário “admin” e o prefixo do banco de dados
Dois padrões que facilitam a vida dos invasores:
Usuário “admin”: é o nome de usuário padrão do WordPress e o primeiro que bots tentam em ataques de força bruta. Se você ainda usa “admin”, crie um novo usuário com papel de Administrador, faça login com ele, delete o “admin” antigo e transfira os conteúdos.
Prefixo do banco de dados: por padrão, todas as tabelas do WordPress começam com wp_. Isso torna ataques de SQL Injection mais fáceis, pois o invasor já sabe o nome das tabelas. Troque para algo como meusite_ ou uma string aleatória.
Como trocar o prefixo: o plugin Better WP Security (iThemes Security) faz isso automaticamente com um clique, incluindo atualização das referências no banco de dados.
✅ Passo 4: Instale um plugin de segurança completo
Um bom plugin de segurança atua como uma camada de proteção ativa, monitorando tentativas de invasão, bloqueando IPs suspeitos e auditando mudanças no sistema.
As três melhores opções:
Wordfence Security, o mais popular, com firewall de aplicação web (WAF), scanner de malware, proteção contra força bruta e alertas em tempo real. A versão gratuita já é muito robusta.
Solid Security (antigo iThemes Security): interface mais amigável, com um assistente de configuração que guia pelas principais proteções. Bom para quem não tem perfil técnico.
Sucuri Security: focado em auditoria e monitoramento. A versão gratuita monitora integridade de arquivos. A versão paga inclui um CDN de segurança que filtra tráfego malicioso antes de chegar ao seu servidor.
Recomendação: escolha um e configure-o bem. Não instale dois plugins de segurança, eles podem conflitar e gerar mais problemas do que resolver.
✅ Passo 5: Implemente HTTPS e configure os cabeçalhos de segurança
HTTPS criptografa a comunicação entre o seu site e o visitante. Além de ser requisito básico de segurança, o Google penaliza sites sem HTTPS nos rankings de busca. Se o seu site ainda não tem HTTPS:
- A maioria dos servidores de hospedagem oferece certificados SSL gratuitos via Let’s Encrypt
- Após instalar o certificado, use o plugin Really Simple SSL para forçar redirecionamento de HTTP para HTTPS
Cabeçalhos de segurança HTTP: são instruções que o servidor envia ao navegador para proteger os visitantes. Os mais importantes:
X-Content-Type-Options: nosniff: impede que o navegador interprete arquivos de forma incorretaX-Frame-Options: SAMEORIGIN: bloqueia que seu site seja carregado dentro de iframes de outros domínios (proteção contra clickjacking)Content-Security-Policy: define quais fontes de scripts e recursos são permitidas
Ferramenta: o plugin HTTP Headers ou as configurações do .htaccess permitem adicionar esses cabeçalhos sem precisar mexer no servidor.
✅ Passo 6: Limite tentativas de login e bloqueia IPs suspeitos
Por padrão, o WordPress permite tentativas de login ilimitadas. Isso é uma porta aberta para ataques de força bruta. A correção é simples:
Limite de tentativas: após 3 a 5 tentativas falhas, o IP fica bloqueado por um período configurável. O Wordfence e o Solid Security fazem isso automaticamente.
Bloqueio geográfico: se o seu negócio é local e você não espera visitas administrativas de outros países, bloqueie acessos ao /wp-admin de regiões específicas. O Wordfence Premium oferece essa funcionalidade.
Ocultar a página de login: trocar /wp-login.php por uma URL personalizada (como /acesso-restrito) reduz drasticamente o volume de tentativas automatizadas. O plugin WPS Hide Login faz isso com segurança.
✅ Passo 7: Faça backups automáticos e externos
Nenhuma medida de segurança é 100% eficaz. O backup é a sua rede de segurança final, a garantia de que, mesmo no pior cenário, você consegue restaurar o site.
Regra do backup eficiente:
- Frequência: diária para sites com conteúdo dinâmico, semanal para sites estáticos
- Destino externo: nunca armazene o backup apenas no mesmo servidor do site. Use Google Drive, Dropbox, Amazon S3 ou outro serviço externo
- Retenção: mantenha pelo menos 30 dias de histórico, invasões silenciosas podem levar semanas para serem descobertas
Plugins recomendados:
- UpdraftPlus: gratuito, confiável, com integração nativa ao Google Drive e Dropbox
- BackWPup: alternativa sólida com agendamento flexível
- BlogVault: solução premium com restauração com um clique e staging integrado
Teste o backup: um backup que nunca foi restaurado é um backup que pode não funcionar. Faça um teste de restauração em ambiente de desenvolvimento ao menos a cada 3 meses.
✅ Passo 8: Monitore e audite regularmente
Segurança não é um evento único, é um processo contínuo. Configure monitoramentos que alertem você antes que os problemas se tornem crises:
Monitoramento de uptime: ferramentas como UptimeRobot (gratuito) avisam por e-mail ou SMS se o site cair. Uma queda inesperada pode ser sinal de invasão.
Alertas de mudanças em arquivos: o Wordfence monitora alterações nos arquivos do WordPress e alerta se algo for modificado sem sua autorização, um sinal clássico de comprometimento.
Monitoramento de malware: o Sucuri SiteCheck (gratuito, online) varre seu site em busca de código malicioso, blacklists e problemas de reputação. Rode essa verificação mensalmente.
Log de atividades: o plugin WP Activity Log registra tudo que acontece no seu WordPress, logins, alterações de conteúdo, instalação de plugins. Útil tanto para segurança quanto para auditoria de equipes.
Resumo visual do checklist
| # | Ação | Prioridade | Ferramenta sugerida |
|---|---|---|---|
| 1 | Manter tudo atualizado | 🔴 Crítica | Easy Updates Manager |
| 2 | Senhas fortes + 2FA | 🔴 Crítica | WP 2FA |
| 3 | Trocar usuário admin e prefixo DB | 🟠 Alta | iThemes Security |
| 4 | Plugin de segurança completo | 🟠 Alta | Wordfence |
| 5 | HTTPS + cabeçalhos de segurança | 🟠 Alta | Really Simple SSL |
| 6 | Limitar tentativas de login | 🟡 Média | Wordfence / WPS Hide Login |
| 7 | Backup automático e externo | 🔴 Crítica | UpdraftPlus |
| 8 | Monitoramento contínuo | 🟡 Média | UptimeRobot + WP Activity Log |
Conclusão: segurança não é paranoia, é responsabilidade
Manter um site WordPress seguro não exige ser especialista em cibersegurança. Exige consistência: manter as atualizações em dia, usar senhas adequadas, ter um backup confiável e monitorar o que acontece no seu ambiente.
Esses 8 passos, implementados corretamente, eliminam a esmagadora maioria dos vetores de ataque que afetam sites WordPress. Você não vai se tornar invulnerável, nenhum sistema é, mas vai deixar de ser o alvo fácil que a maioria dos bots procura.
Comece hoje. Escolha os 3 primeiros itens do checklist e implemente ainda esta semana.
