Hardening WordPress

Hardening WordPress é o conjunto de práticas que reduzem a superfície de ataque do site, fechando portas abertas por padrão e reforçando configurações sensíveis. Inclui ações como desativar XML-RPC, ocultar a versão do WordPress, configurar headers HTTP de segurança, restringir permissões de arquivo, limitar acesso ao wp-admin e bloquear endpoints REST que não estão em uso. É trabalho contínuo, não tarefa única, e separa um site amador de uma operação WordPress profissional.

O que é hardening WordPress

O termo “hardening” vem da segurança de sistemas em geral. Significa endurecer um sistema removendo o que não é necessário e protegendo o que é. No contexto WordPress, isso vira um conjunto específico de medidas que abrange servidor, configuração do core, plugins, temas e fluxo de operação.

O motivo de fazer hardening é estatístico. WordPress roda em mais de 40% dos sites da web, o que torna o CMS um alvo prioritário de bots automatizados. Esses bots não escolhem sites: varrem ranges de IP testando vulnerabilidades conhecidas em massa. Site WordPress recém-instalado, sem hardening, recebe centenas de tentativas de brute force, scans de vulnerabilidade e tentativas de exploit por dia.

O que é hardening, em termos práticos, é eliminar o máximo de oportunidades antes que o atacante chegue. Cada XML-RPC desativado, cada header configurado, cada permissão restringida é uma classe de ataque inteiro que deixa de funcionar contra o site.

Hardening não substitui firewall, plugin de segurança ou backup. Soma. Defesa em camadas é a doutrina padrão: cada camada que falha é compensada pela próxima. Hardening é a primeira linha. Firewall WordPress é a segunda. Plugin de segurança e monitoramento são a terceira.

Checklist completo de hardening

Comece pelas senhas. Senha forte (mínimo 16 caracteres, mistura de tipos), gerador de senhas para todos os usuários, e two factor authentication obrigatório para administradores. Sem isso, qualquer outra medida vira teatro, porque brute force acerta no fim.

Atualize sempre. Core, plugins e temas com patches aplicados são a maior diferença prática entre site exposto e site fechado. 90% das invasões em WordPress exploram vulnerabilidades conhecidas com patch disponível há semanas ou meses.

Limite os usuários administrador ao mínimo. Cada admin é uma chave da casa. Editores, autores e contribuidores devem ter funções condizentes com o que fazem. Conta de admin nunca é usada para escrever post.

Configure permissões de arquivo no servidor: 644 para arquivos, 755 para diretórios, 600 para wp-config.php. Mova o wp-config.php um nível acima do diretório público quando possível. Bloqueie a edição de plugins e temas pelo painel via define(‘DISALLOW_FILE_EDIT’, true);.

Restrinja o acesso ao wp-admin por IP em sites internos ou usando autenticação HTTP adicional via .htaccess. Em sites públicos, ative limite de tentativas de login (Limit Login Attempts Reloaded ou similar) para barrar brute force automatizado.

Mantenha o ambiente saudável com backup regular. Backup WordPress automatizado, testado e armazenado fora do servidor é a rede de segurança que existe quando todo o resto falha.

Headers de segurança HTTP

Headers HTTP de segurança são instruções que o servidor envia ao navegador para impor políticas de proteção. São linhas pequenas no .htaccess ou na configuração do nginx, mas o impacto é gigante.

Strict-Transport-Security (HSTS) força o navegador a só acessar o site via HTTPS, mesmo que alguém digite http:// na barra. Combina com HTTPS e elimina downgrade attacks.

Content-Security-Policy (CSP) define quais fontes podem servir scripts, estilos, imagens e iframes. CSP bem configurado bloqueia XSS armazenado, porque mesmo se o atacante conseguir injetar script, o navegador se recusa a executar de origem não autorizada. É um dos headers mais poderosos.

X-Frame-Options DENY bloqueia o site de ser embedado em iframe de outros domínios, prevenindo clickjacking. X-Content-Type-Options nosniff impede o navegador de inferir o content-type, fechando classes de ataque baseadas em MIME confusion. Referrer-Policy strict-origin-when-cross-origin reduz vazamento de URLs internas em referer headers.

Permissions-Policy controla quais APIs do navegador (câmera, microfone, geolocalização) podem ser usadas. Se o site não precisa, desative tudo. Reduz superfície e protege visitantes em caso de comprometimento.

Hardening avançado: XML-RPC, REST API, login

XML-RPC é endpoint legado do WordPress (xmlrpc.php) que permite postar via apps externos e fazer pingbacks. Em 2026, raramente é usado: aplicações modernas usam REST API. Ataques contra XML-RPC são clássicos: brute force amplificado e DDoS via pingback. Bloqueie completamente via .htaccess se você não usa.

REST API exposta sem necessidade é outra superfície. WordPress expõe usuários, plugins, posts e configurações via /wp-json/. Para sites institucionais simples, restrinja com plugins como Disable REST API ou via filtros que limitam endpoints públicos a usuários autenticados. Em headless WordPress, mantenha aberto, mas com autenticação JWT em endpoints sensíveis.

Endpoint /wp-login.php é alvo de 80% das tentativas de invasão. Renomeie via plugin (WPS Hide Login), proteja com .htaccess, ative captcha, ative 2FA. Cada camada elimina uma classe de bot. Combine com wp-config blindado e vulnerabilidade WordPress monitorada.

Oculte sinais de versão. Remova o generator meta tag (), remova readme.html, remova versão dos arquivos enqueued. Não impede ataques, mas dificulta scanning automatizado que filtra alvos por versão exata.

Para times que precisam aplicar wp hardening checklist sem fazer ajuste por ajuste manualmente, a FULL Services entrega o AIOS (All-In-One Security) já licenciado e configurado dentro da stack profissional WordPress, com headers HTTP, bloqueio de XML-RPC, proteção de login, restrição de REST API e firewall integrados. É a forma de aplicar hardening de nível enterprise em minutos, sem editar .htaccess linha por linha.