Segurança no WordPress: o guia completo

Se o seu site WordPress foi hackeado, você sabe exatamente o quanto dói. Se ainda não foi, saiba que não é questão de “se” — é questão de quando, se você não tomar as medidas certas. O WordPress alimenta mais de 40% da web, o que o torna o alvo número um para ataques automatizados, força bruta, injeção de malware e exploração de vulnerabilidades.

A boa notícia: a maioria dos sites comprometidos é invadida por falhas evitáveis — plugins desatualizados, senhas fracas, configurações padrão não alteradas. Com as práticas certas, você elimina a maior parte do risco sem precisar ser desenvolvedor.

Neste guia você vai encontrar todas as camadas de proteção que um site WordPress precisa: desde configurações básicas até hardening avançado, passando por plugins, backups e monitoramento. Siga a sequência e aplique o que for relevante ao seu ambiente.

🔒  AIOS (All in One Security) está disponível no ecossistema FULL Services e pode ser ativado com 1 clique no painel. Ele implementa boa parte das proteções deste guia de forma automatizada.

1. Por que sites WordPress são tão atacados

Entender o vetor de ataque é o primeiro passo para uma defesa eficiente.

A popularidade do WordPress é sua maior força e seu maior problema de segurança. Scripts automatizados varrem a internet em busca de instalações WordPress com vulnerabilidades conhecidas — isso acontece independente do tamanho ou visibilidade do seu site. Um blog pessoal com 10 visitas por dia recebe as mesmas tentativas de invasão que um e-commerce com alto tráfego.

Os vetores de ataque mais comuns, segundo dados do WPScan:

• Plugins vulneráveis — responsáveis por cerca de 56% das vulnerabilidades reportadas
• Temas com código malicioso ou desatualizados — 11% das vulnerabilidades
• Core WordPress desatualizado — 8% (a Automattic mantém o core seguro; o risco aqui é não atualizar)
• Senhas fracas e ataques de força bruta — prática constante nos logs de qualquer servidor
• Configurações padrão expostas — wp-login.php, xmlrpc.php, listagem de diretórios

A conclusão prática: a maioria das invasões não exige habilidade técnica dos atacantes. São exploits automatizados contra falhas conhecidas. Manter tudo atualizado e cobrir as configurações básicas resolve uma fatia enorme do problema.

2. Atualizações: a base de tudo

Nenhum plugin de segurança compensa um WordPress desatualizado.

WordPress lança atualizações de segurança com regularidade. Quando uma vulnerabilidade é divulgada publicamente, atacantes começam a explorar instalações desatualizadas em poucas horas. Manter o core, plugins e temas atualizados não é opcional — é a fundação de qualquer estratégia de segurança.

Atualizações automáticas do core

O WordPress permite configurar atualizações automáticas para releases menores (patches de segurança) via wp-config.php:

define( ‘WP_AUTO_UPDATE_CORE’, ‘minor’ );

Para major releases (ex: 6.4 → 6.5), recomenda-se manter a atualização manual para testar compatibilidade antes.

Gestão de plugins e temas

Regras que valem sempre:

• Remova plugins inativos — desativado não é suficiente, plugins inativos ainda podem ser explorados
• Prefira plugins com atualizações recentes e manutenção ativa no repositório
• Evite nulled themes e plugins — são vetores clássicos de backdoor
• Use o changelog antes de atualizar em produção — verificar se há breaking changes

⚡  No painel FULL Services você consegue ver o status de atualização de todos os plugins ativos nos seus sites conectados em um único lugar.

3. Senhas e autenticação

Ataques de força bruta estão entre os mais frequentes nos logs de servidor.

Política de senhas forte

Senhas fortes para contas de administrador são inegociáveis. Um gerador de senha como o Bitwarden ou 1Password cria combinações de 20+ caracteres impossíveis de adivinhar por força bruta convencional. Exigir isso de todos os usuários admin do site é fundamental.

Autenticação em dois fatores (2FA)

2FA é uma das proteções mais eficazes contra invasão de contas. Mesmo que a senha seja comprometida, o atacante não consegue logar sem o segundo fator. O AIOS tem 2FA nativo com suporte a TOTP (Google Authenticator, Authy).

Como ativar o 2FA via AIOS:

1. Vá em WP Security > Two Factor Auth
2. Ative para os roles que desejar (recomendado: Administrator e Editor)
3. Cada usuário configura seu próprio autenticador no próximo login

Limitação de tentativas de login

Ataques de força bruta tentam combinações de senha em volume. Limitar tentativas de login a 3–5 por IP bloqueia esse tipo de ataque na prática. O AIOS faz isso em Login Security > Login Lockout.

4. Protegendo o wp-login.php e o acesso admin

O endpoint de login é o ponto mais atacado em qualquer instalação WordPress.

Por padrão, wp-login.php está acessível para qualquer IP no mundo. Três estratégias eficazes para reduzir essa exposição:

4.1 Alterar a URL de login

Mudar a URL de /wp-login.php para algo customizado (ex: /acesso-restrito) elimina a maioria dos ataques automatizados que simplesmente varrem o endereço padrão. O AIOS tem essa função em Brute Force > Rename Login Page.

⚠️  Atenção: anote a nova URL antes de ativar. Se esquecer, o acesso ao admin fica bloqueado até você reverter via FTP/banco.

4.2 Restringir acesso por IP

Se você sempre acessa o admin de IPs fixos ou conhecidos, é possível restringir o acesso ao wp-admin via .htaccess:

# No arquivo wp-admin/.htaccess Order Deny,Allow Deny from all Allow from SEU_IP_AQUI

4.3 Desativar o xmlrpc.php

O xmlrpc.php é uma API legada do WordPress usada por atacantes para ataques de força bruta amplificados (uma requisição pode testar centenas de combinações). Se você não usa aplicativos móveis do WordPress ou ferramentas que dependem de XML-RPC, desative:

# No .htaccess principal <Files xmlrpc.php>   Order Deny,Allow   Deny from all </Files>

5. Configurações de segurança no wp-config.php

O arquivo de configuração principal do WordPress tem opções de segurança pouco conhecidas mas muito eficazes.

Chaves de segurança (Secret Keys)

As secret keys do wp-config.php são usadas para criptografar cookies e sessões. Se você suspeita que o site foi comprometido, regenerar essas chaves invalida todos os logins ativos imediatamente — o atacante também é deslogado.

Gere novas chaves em: https://api.wordpress.org/secret-key/1.1/salt/ e substitua o bloco no wp-config.php.

Desativar edição de arquivos pelo admin

O editor de temas e plugins no wp-admin é um vetor de ataque: se um admin for comprometido, o atacante consegue injetar código diretamente. Desative com:

define( ‘DISALLOW_FILE_EDIT’, true );

Prefixo do banco de dados

O prefixo padrão wp_ das tabelas é de conhecimento público e facilita ataques de SQL injection automatizados. Durante a instalação, use um prefixo customizado como site123_. Se o site já está instalado, o AIOS tem uma ferramenta para alterar o prefixo em Database Security.

Permissões de arquivo

Permissões corretas limitam o que pode ser lido ou escrito no servidor:

Arquivo/Diretório	Permissão correta
wp-config.php	400 ou 440
.htaccess	444
Diretórios WordPress	755
Arquivos WordPress	644
/wp-content/uploads/	755 (mínimo necessário)

6. HTTPS e certificado SSL

HTTPS não é opcional — é pré-requisito para qualquer site profissional e fator de ranqueamento no Google.

SSL/TLS criptografa a comunicação entre o servidor e o navegador do usuário. Sem HTTPS, credenciais de login e dados do site trafegam em texto puro — interceptáveis em redes públicas.

Como verificar e forçar HTTPS:

• Confirme que o certificado SSL está ativo no painel da hospedagem
• No wp-config.php, defina: define( ‘FORCE_SSL_ADMIN’, true );
• Configure redirecionamento no .htaccess para forçar HTTPS em todo o site
• Atualize o endereço do site em Configurações > Geral para https://
• Use o plugin Really Simple SSL ou o AIOS para automatizar o processo

💡  Sempre verifique se há mixed content (recursos carregados via HTTP em página HTTPS) após ativar SSL. O plugin Better Search Replace ajuda a atualizar URLs no banco de dados.

7. Firewall de Aplicação Web (WAF)

Um WAF filtra requisições maliciosas antes que elas cheguem ao WordPress.

Um Web Application Firewall analisa o tráfego em tempo real e bloqueia padrões de ataque conhecidos: SQL injection, XSS, inclusão de arquivos remotos, scanners automatizados. Há duas abordagens:

WAF a nível de plugin (AIOS, Wordfence)

Plugins como o AIOS e o Wordfence implementam um WAF que roda dentro do WordPress. A vantagem é a facilidade de configuração; a desvantagem é que requisições maliciosas ainda chegam ao servidor antes de serem bloqueadas.

WAF a nível de servidor/CDN (Cloudflare)

O Cloudflare oferece WAF antes do tráfego chegar ao servidor, com regras gerenciadas para WordPress. No plano gratuito já há proteção básica; nos planos pagos, as regras específicas para WordPress são mais granulares. Para a maioria dos sites, Cloudflare + AIOS é uma combinação sólida.

Solução	Nível	Prós	Contras
AIOS WAF	Plugin	Fácil configuração, regras WP-específicas	Carga no servidor
Wordfence	Plugin	Scanner + WAF integrados	Pesado, plano free limitado
Cloudflare Free	CDN/DNS	Bloqueia antes do servidor	Configuração extra de DNS
Cloudflare Pro	CDN/DNS	WAF gerenciado para WP	Custo mensal

8. Backups: sua rede de segurança

Backup não é parte da estratégia de segurança — é a estratégia de recuperação quando tudo mais falha.

Mesmo com todas as proteções ativas, backups regulares são inegociáveis. Um site invadido que tem backup recente volta ao ar em minutos; sem backup, a recuperação pode levar dias — ou ser impossível.

Estratégia de backup 3-2-1

A regra 3-2-1 é o padrão mínimo:

• 3 cópias dos dados (original + 2 backups)
• 2 mídias diferentes (ex: servidor + armazenamento em nuvem)
• 1 cópia offsite (Google Drive, Amazon S3, Dropbox)

UpdraftPlus: configuração recomendada

O UpdraftPlus é o plugin de backup mais usado no WordPress e está disponível no ecossistema FULL. Configuração recomendada:

• Instale e ative o UpdraftPlus no painel FULL ou diretamente no WordPress
• Em Configurações > UpdraftPlus Backups, defina o agendamento
• Para sites com atualizações frequentes: backup diário de banco de dados + semanal de arquivos
• Configure o destino remoto (Google Drive, Dropbox ou S3) — NUNCA deixe backup só no servidor
• Faça um backup manual e teste a restauração para confirmar que funciona

⚠️  Backups no mesmo servidor do site não são backups — são cópias. Se o servidor for comprometido ou falhar, você perde tudo junto. Sempre configure armazenamento remoto.

9. Monitoramento e detecção de malware

Detectar uma invasão rapidamente reduz drasticamente o impacto.

Mesmo com todas as proteções, monitoramento ativo é necessário para detectar anomalias antes que causem dano maior. Três áreas para monitorar:

Scanner de malware

O AIOS tem um scanner de malware que verifica arquivos do core e plugins contra hashes conhecidos. O Wordfence tem scanner similar com detecção de assinaturas. Agendar uma varredura semanal é uma boa prática mínima.

Monitoramento de integridade de arquivos

File Integrity Monitoring (FIM) detecta alterações em arquivos do WordPress — um sinal claro de comprometimento. O AIOS monitora isso em File Security > File Change Detection.

Logs de atividade

Manter logs de quem fez o quê no WordPress ajuda a identificar ações suspeitas. Plugins como o WP Activity Log registram logins, alterações de posts, mudanças de configuração e muito mais. Essencial em sites com múltiplos usuários.

Uptime monitoring

Ferramentas como UptimeRobot (gratuito) ou Better Uptime alertam quando o site cai — o que às vezes é o primeiro sinal de um ataque em andamento. Configure alertas por e-mail ou SMS.

10. Hardening adicional com o AIOS

O All in One Security cobre a maioria dos itens deste guia com uma interface centralizada.

O AIOS (All in One WP Security & Firewall) é o plugin de segurança que recomendamos no ecossistema FULL pela combinação de cobertura completa, interface clara e impacto mínimo na performance. Principais recursos:

Área	O que o AIOS faz
Login Security	Limita tentativas, adiciona CAPTCHA, habilita 2FA
Firewall	WAF com regras básicas e avançadas, blacklist de IPs
Database	Altera prefixo das tabelas, faz backup do banco
File System	Verifica permissões, monitora alterações de arquivos
Brute Force	Renomeia URL de login, cria honeypot
Scanner	Detecta malware e arquivos modificados
User Accounts	Detecta usernames fracos (admin), força senhas fortes

11. Checklist de segurança WordPress

Use como referência para auditar qualquer instalação WordPress.

Configurações básicas (prioridade alta)

• WordPress core atualizado para versão mais recente
• Todos os plugins ativos atualizados
• Plugins inativos removidos (não apenas desativados)
• Temas inativos removidos (exceto um tema padrão de fallback)
• Senha do admin com no mínimo 16 caracteres, gerada aleatoriamente
• Username admin não é ‘admin’, ‘administrator’ ou variações óbvias
• 2FA ativado para contas de administrador
• HTTPS ativo e forçado em todo o site

Configurações de servidor e arquivo

• Permissões de arquivo corretas (wp-config.php em 400/440)
• DISALLOW_FILE_EDIT ativado no wp-config.php
• Prefixo de banco de dados alterado do padrão wp_
• xmlrpc.php desativado (se não houver dependência)
• Listagem de diretórios desativada no .htaccess
• wp-config.php fora do public_html (se a hospedagem permitir)

Monitoramento e recuperação

• Plugin de segurança ativo (AIOS recomendado)
• Backup automático configurado com destino remoto
• Restauração de backup testada pelo menos uma vez
• Monitoramento de uptime configurado com alertas
• Scanner de malware agendado semanalmente
• Log de atividades ativo (especialmente em sites com múltiplos usuários)

Perguntas Frequentes

Meu site é pequeno. Realmente preciso me preocupar com segurança?

Sim. Ataques são automatizados e não discriminam por tamanho. Scripts varrem a web inteira em busca de vulnerabilidades conhecidas. Um blog pessoal recebe as mesmas tentativas de invasão que um e-commerce. O tamanho do site muda o impacto de uma invasão, não a probabilidade.

Plugin de segurança substitui todas as outras configurações?

Não. Plugins de segurança como o AIOS facilitam muito a implementação, mas não substituem boas práticas fundamentais: manter tudo atualizado, usar senhas fortes, ter backup configurado e HTTPS ativo. O plugin é uma camada adicional, não a única.

Com que frequência devo fazer backup?

Depende da frequência de atualização do conteúdo. Para sites com conteúdo publicado diariamente (como e-commerces ou blogs ativos), backup diário do banco de dados e semanal dos arquivos é o mínimo. Para sites institucionais com atualizações esporádicas, backup semanal completo é suficiente.

O que fazer se o site for hackeado?

Primeiro, coloque o site em modo de manutenção ou offline para evitar que visitantes sejam afetados. Restaure a partir do último backup limpo. Se não tiver backup, use um scanner de malware para identificar e remover arquivos comprometidos. Mude todas as senhas e regenere as secret keys do wp-config.php. Identifique o vetor de entrada (geralmente um plugin vulnerável) e corrija antes de volcar ao ar.

Cloudflare é suficiente como proteção?

O Cloudflare ajuda muito, especialmente contra DDoS e tráfego malicioso volumétrico. Mas ele não cobre todas as vulnerabilidades da aplicação. Para WordPress, a combinação recomendada é Cloudflare (proteção de rede) + AIOS (proteção da aplicação) + backups regulares.

Conclusão

Segurança no WordPress não é um estado definitivo — é um processo contínuo. A base é simples: manter tudo atualizado, usar senhas fortes com 2FA, ter backup confiável e cobrir as configurações básicas de hardening. Adicionar o AIOS centraliza boa parte dessas proteções em uma interface única.

A maioria das invasões WordPress acontece por falhas evitáveis. Aplicar o checklist deste guia elimina os vetores mais comuns e coloca seu site em um nível de segurança significativamente superior à média.

🔒  Proteja seu site com AIOS via FULL Services — ative com 1 clique no painel e tenha todas as camadas de segurança configuradas em minutos. Acesse full.services/planos