📩 Fique por dentro das novidades com a nossa newsletter

Assinar
Ir para o site

Auditoria de segurança no WordPress: O guia em 7 etapas

  • Por Full Services

Relacionados

Relatório de marketing para a diretoria em 5 passos

Ler completo

LTV e payback: Os 3 números que definem o marketing

Ler completo

Kpis de marketing: Os 7 indicadores para acompanhar no WordPress

Ler completo

Conheça a loja da FULL Services

Plugins premium, suporte de verdade e tudo o que seu site WordPress precisa em um só lugar.

Acesse agora

Fazer uma auditoria de segurança no WordPress é cruzar versão, permissão, usuário e log para achar a brecha antes do invasor. Segundo o NVD/NIST (2024), a CVE-2020-35489 com CVSS 10.0 permitia upload arbitrário. Um scanner sozinho não basta. Audite em sete etapas.

Uma auditoria de segurança no WordPress é a inspeção ordenada que checa versões, permissões de arquivo, contas de usuário, logs e configuração do servidor para encontrar a brecha antes que ela seja explorada. Diferente de um scan automático, que aponta sintoma, a auditoria reconstrói a superfície de ataque inteira e diz o que corrigir primeiro. Este guia mostra as sete etapas em ordem fixa, com CVEs reais de plugins populares, o que cada falha permitia e como blindar o site sem quebrar nada. Comece pelos guias de segurança WordPress da FULL se quiser o contexto completo do cluster.

Primeiros passos: O que a auditoria de segurança checa

Uma auditoria de segurança no WordPress checa seis camadas, cada uma em um lugar diferente do site: versão do núcleo e dos plugins, permissões de arquivo, contas de usuário admin, chaves do wp-config.php, logs de acesso e regras do firewall. Pular uma camada deixa um vetor aberto que o scanner de malware não enxerga, porque ele procura assinatura de código, não configuração errada.

Auditoria de segurança no WordPress: camadas e o que cada uma revela
Camada Onde checar O que a auditoria revela
Versão Núcleo, plugins e tema Plugin com CVE conhecido sem patch aplicado
Permissão wp-config.php, /wp-content/, .htaccess Arquivo gravável que vira vetor de webshell
Usuário Painel, tabela wp_users Admin criado por dentro fora de manutenção
Log access.log, log de atividade Força bruta e exploração já em andamento

Cruzar as quatro camadas da tabela separa uma auditoria de segurança no WordPress de um simples scan: quem só roda o scanner perde a permissão 777 e o admin fantasma.

Por que um site com plugin de segurança ainda é invadido

A auditoria de segurança no WordPress existe porque o plugin de segurança instalado não basta sozinho, e a estatística confirma. Segundo o NVD/NIST, a CVE-2020-35489 no Contact Form 7, com CVSS 10.0, permitia upload arbitrário de arquivo em versões abaixo da 5.3.2. Um firewall instalado não fecha essa porta: a falha está no plugin, não no tráfego.

O problema é de ordem, não de ferramenta. Nos tickets de suporte da FULL, o site que mais sofre não é o sem plugin de segurança: é o que tem o scanner instalado mas nunca rodou a auditoria de versão e permissão. O resultado é um plugin com CVE crítico sem patch rodando atrás de um WAF que só olha o tráfego, enquanto o arquivo já aberto por dentro segue ignorado. A auditoria inverte isso ao checar a configuração antes do código. Para o passo seguinte, nosso guia de auditoria completa de segurança no WordPress aprofunda cada camada.

Como fazer a auditoria de segurança no WordPress em 7 etapas

A auditoria de segurança no WordPress estruturada leva cerca de 60 minutos por site e segue sete etapas em ordem fixa: versão, permissão, usuário, wp-config, log, firewall e validação final. A maioria começa pelo scanner, que é a etapa 5, e pula as quatro primeiras, justamente onde mora a brecha de configuração. As etapas abaixo seguem a sequência que usamos no suporte da FULL.

Legenda: a auditoria começa pela versão e pela permissão, as duas camadas que o scanner de malware não cobre.

Etapa 1: Inventarie versões de núcleo, plugins e tema

Liste a versão de cada componente e compare com a última release no repositório oficial. Um plugin abaixo da versão de patch de um CVE conhecido é o vetor mais explorado: ferramentas como o WPScan cruzam sua lista de versões com a base de vulnerabilidades em segundos. Anote tudo que estiver desatualizado antes de atualizar.

Etapa 2: Confira as permissões de arquivo

Verifique se wp-config.php está em 600 ou 640, /wp-content/ em 755 e nenhum arquivo em 777. A permissão 777 em /wp-content/ somada a um upload sem validação de tipo é o que transforma um anexo em webshell PHP executável pelo navegador, sem nenhuma credencial. Corrija pelo gerenciador de arquivos ou via SSH.

Etapa 3: Revise contas de usuário e papéis

Liste cada usuário com papel administrador e confirme que todos são legítimos. Um admin criado fora de uma manutenção planejada é o sinal clássico de invasão já consumada. Remova contas órfãs e force a redefinição de senha dos administradores restantes.

Etapa 4: Audite as chaves do wp-config.php

Confirme que AUTH_KEY, SECURE_AUTH_KEY e os SALT não estão com o valor default. Chave previsível no wp-config.php permite forjar um cookie de sessão admin válido sem passar pelo formulário de login. Gere chaves novas pelo gerador oficial do WordPress e troque a senha do banco se houver suspeita.

Etapa 5: Rode o scanner de malware e leia os logs

Agora sim rode o Wordfence ou o All in One Security e cruze o resultado com o access.log do servidor. O scanner aponta o arquivo infectado; o log mostra o IP e a hora da entrada. Sem ler o log, você limpa o sintoma e deixa o vetor de entrada aberto para reinfecção.

Etapa 6: Valide as regras de firewall e bloqueio de login

Confirme que o firewall está ativo e que o login tem limite de tentativas. Um plugin desatualizado com CVE conhecido sem patch somado a um WAF ausente resulta em exploração automatizada do payload em horas após a divulgação pública do CVE. Veja nosso guia de como evitar ataques de força bruta no login para fechar esse vetor.

Etapa 7: Documente, corrija na ordem e reaudite

Feche a auditoria de segurança no WordPress com um relatório que prioriza correção: primeiro o CVE crítico sem patch, depois a permissão errada, por fim o usuário suspeito. Reaudite após cada correção para confirmar que nada quebrou. Esta documentação vira a linha de base da próxima auditoria de segurança no WordPress.

Cves reais: O que a auditoria de versão encontra

A auditoria de versão encontra a assinatura de vulnerabilidades conhecidas, e os números mostram o porte do risco. Segundo o perfil público do WPVulnerability, o Contact Form 7 acumula 12 CVEs históricos, sendo a CVE-2020-35489 com CVSS 10.0 a mais grave, corrigida na versão 5.3.2. Ela permitia upload arbitrário de arquivo, o vetor direto de webshell.

No All in One Security, a CVE-2016-10887, com CVSS 9.8, permitia bypass de autenticação abaixo da 4.0.9. Vale a distinção honesta: as duas já têm patch, então um plugin com muitos CVEs todos corrigidos é sinal de manutenção ativa, não de risco atual. O risco real é o CVE sem patch rodando hoje, e é isso que a etapa de versão isola. A FULL é a única empresa brasileira credenciada como CNA (CVE Numbering Authority) sob a CISA desde , autorizada a atribuir IDs CVE oficiais: quem audita vulnerabilidade aqui literalmente cataloga a falha do outro lado.

Ferramentas para conduzir a auditoria de segurança no WordPress

Quatro ferramentas cobrem a auditoria de segurança no WordPress, cada uma em uma camada distinta. O WPScan cruza sua lista de versões com uma base de mais de 30 mil vulnerabilidades e entrega o relatório de CVEs por plugin. O Wordfence soma scanner de malware, firewall e leitura de tráfego em tempo real, mostrando o IP do atacante antes do bloqueio.

O All in One Security oferece auditoria de força de senha, bloqueio por país e checagem de permissão de arquivo no plano gratuito, segundo a documentação oficial do AIOS. Fora do WordPress, o Fail2ban lê o access.log e bane IPs por padrão de requisição, e o Sucuri monitora o site de fora, útil quando o atacante já apagou os logs locais. Cada ferramenta cobre uma camada da auditoria, e nenhuma sozinha cobre as seis. Para escolher o plugin de base, veja o comparativo dos 5 melhores plugins de segurança WordPress.

Quando a segurança gerenciada conduz a auditoria por você

Manter versão, permissão, chave e log auditados em cada site manualmente não escala além de um punhado de instalações. É aqui que entra a segurança gerenciada: o plano PRO da FULL (R$849,90/ano) inclui o bundle com All in One Security e backup já configurados, e ao dividir por 10 sites o custo cai para cerca de R$85 por site ao ano.

A gente vê no suporte da FULL que a maioria das invasões acontece em sites com plugin desatualizado e auditoria nunca feita, exatamente o que a gestão centralizada elimina. Não é hospedagem: a FULL é complementar ao host. Some a isso o backup automático do WordPress, que garante o ponto de restauração caso a auditoria revele um comprometimento. Conheça os planos da FULL. Para um diagnóstico imediato, escaneie seu site no FULL Scan e descubra se algum plugin está vulnerável, ou consulte o repositório de vulnerabilidades oficial de CVEs.

Perguntas frequentes sobre auditoria de segurança no WordPress

O que uma auditoria de segurança no WordPress checa exatamente?

Uma auditoria de segurança no WordPress checa seis camadas: versão de núcleo e plugins, permissões de arquivo, contas de usuário admin, chaves do wp-config.php, logs de acesso e regras de firewall. O scanner de malware é apenas uma dessas camadas. A auditoria completa cruza versão com CVE conhecido, permissão com vetor de webshell e usuário com sinal de invasão, montando a superfície de ataque inteira em vez de apontar um sintoma isolado.

Por que um site com plugin de segurança instalado ainda é invadido?

Um site com plugin de segurança é invadido porque o firewall olha o tráfego, não a configuração já errada por dentro. Um plugin com a CVE-2020-35489 (CVSS 10.0 no Contact Form 7) sem patch aplicado segue vulnerável mesmo com WAF ativo, porque a falha está no código do plugin, não na requisição. A auditoria fecha essa lacuna ao checar versão e permissão antes de confiar no scanner, que só age depois que o arquivo malicioso já existe.

Qual a diferença entre um scanner de malware e uma auditoria de segurança?

O scanner de malware procura assinatura de código malicioso já presente; a auditoria de segurança procura o vetor que ainda vai ser explorado. O scanner aponta o arquivo infectado depois do ataque; a auditoria encontra a permissão 777, o plugin desatualizado e o admin fantasma antes. Por isso a etapa de scanner é a quinta de sete: rodá-lo primeiro limpa o sintoma e deixa o vetor de entrada aberto para reinfecção em horas.

É possível auditar a segurança do WordPress sem instalar nenhum plugin?

Sim, é possível auditar boa parte da segurança sem plugin, checando versões pelo painel, permissões via SSH e o access.log direto no servidor. Essas três camadas cobrem versão, permissão e log sem nada instalado. O limite é o registro de atividade do painel, como criação de usuário admin, que só fica gravado com um plugin como o WP Activity Log, porque o núcleo do WordPress não registra essas ações por padrão. O WPScan também roda por linha de comando, sem plugin.

Com que frequência uma auditoria de segurança no WordPress deve ser feita?

A frequência recomendada é uma auditoria completa a cada trimestre, com checagem rápida de versão e CVE toda semana. O motivo é o tempo de exploração: um CVE de plugin tende a ser explorado de forma automatizada em horas após a divulgação pública, então esperar meses entre auditorias deixa uma janela longa demais. Sites de e-commerce ou com muitos plugins de terceiros pedem cadência mensal, já que cada plugin novo amplia a superfície de ataque.

Próximos passos para blindar seu WordPress

A auditoria de segurança no WordPress deixa de ser perícia pós-desastre quando vira rotina: inventário de versão semanal, revisão de permissão e usuário a cada deploy e atualização imediata de qualquer plugin com CVE sem patch. As sete etapas da auditoria de segurança no WordPress funcionam como uma checklist sempre que algo parecer estranho no site, e a ordem (versão antes de scanner) é o que economiza tempo de diagnóstico. Reforce a base com a autenticação em dois fatores no WordPress, que fecha o login mesmo com senha vazada. Se o site já mostrou sinal de comprometimento, vá direto para o que fazer com um site WordPress invadido e depois siga para como limpar e recuperar um site hackeado. Para continuar aprendendo, o guia de segurança para WordPress da FULL reúne tudo num só lugar. Auditar é a diferença entre achar a brecha primeiro e descobri-la pelo defacement.

Compartilhe este conteúdo

Equipe Full Services

A FULL. é especialista em WordPress e oferece plugins premium com licenças originais, suporte técnico e instalação facilitada. Já ajudou mais de 25 mil clientes a impulsionar seus sites com performance, segurança e praticidade.

  • Você pode gostar
Ver todos

Relatório de marketing para a diretoria em 5 passos

Um relatório de marketing para a diretoria não é o
Ler completo

LTV e payback: Os 3 números que definem o marketing

LTV e payback respondem à pergunta que decide o orçamento
Ler completo

Kpis de marketing: Os 7 indicadores para acompanhar no WordPress

KPIs de marketing são os indicadores-chave de desempenho que conectam
Ler completo
Componentes

Hero Sections

30 componentes

Seções de CTA

14 componentes

Login

14 componentes

Blog

14 componentes

Cabeçalhos

24 componentes

Seções de FAQ

53 componentes

Cadastro

53 componentes

Blog individual

53 componentes

Rodapés

28 componentes

Seções de contato

27 componentes

Seções de preços

27 componentes

Faixas

27 componentes

Portfólio

16 componentes

Seções de equipe

12 componentes

Números

12 componentes

Logotipos

12 componentes

Comece agora
Login
  • Atrair
Geração de Leads
SEO & Posicionamento
Landing Pages
Conteúdo com IA
Pop-ups de Captura
  • Ativar
Engajamento de Visitantes
Widgets Interativos
Prova Social
  • Converter
Conversão (CRO)
Performance & Velocidade
Segurança & Confiabilidade
  • Engajar
Resultados & Métricas
CRM & Relacionamento
NPS & Satisfação

Setores

Saúde e Bem-Estar

Restaurantes & Alimentação

Hotelaria & Turismo

Imobiliárias & Construção

Negócios Locais & Franquias

E-commerce & Lojas Virtuais

Educação & Cursos

Profissionais Liberais & Serviços

Agências Digitais & Freelancers

Extensões

MEIs e Autônomos

Agências e Freelancers

Pequenas Empresas

Médias e Grandes Empresas

Startups

Franquias

Uma nova era para o WordPress.

A FULL Services redefine o CMS com uma arquitetura modular que transforma o WordPress em um motor de crescimento digital. 

Conheça a Plataforma

Integrações

Elementor PRO

Rank Math

SEOPress

Happy Addons

Tutor LMS

WP Optimize

Crocoblock

WP Rocket

Ultimate Addons

Perfmatter

Funnel Kit

AIOS

Astra PRO

ACF

Essential Addons

WP Forms

UpdraftPlus

Ver mais

Extensões

FULL CRM

FULL Widget

FULL WooEm breve

FULL Pop-upEm breve

FULL SecurityEm breve

FULL NPSEm breve

FULL Update

FULL Social Proof

FULL AnalyticsEm breve

FULL Templates

FULL Creator AIEm breve

FULL BackupEm breve

FULL Safe Login

FULL SMTP

FULL MonitorEm breve

FULL SpeedEm breve

FULL CacheEm breve

FULL Whitelabel

Ver mais

Painéis personalizados

Um novo nível de controle para o WordPress. Acompanhe métricas, automações e evolução do seu site em um único painel visual.

Saiba mais

A força por trás de grandes marcas

Para agências, estúdios e profissionais independentes que desejam oferecer soluções de alto nível com sua própria marca.

Saiba mais
  • Diagnóstico
CRO Auditor
Performance Auditor
SEO Auditor
FULL Scan Speed
FULL Scan Security
  • Ferramentas grátis
Gerador de UTM
Link WhatsApp
Botão Flutuante do WhatsApp
Link de Avaliações no Google
Notificação de Prova Social
Links para Maps, Uber e Waze
Gerador de LLM.txt
Botão de Agendamento
  • Conteúdo e suporte
Blog da Full
Central de Ajuda
Suporte Técnico
Documentação
  • A Full Services
Sobre nós
Depoimentos
Sala de Imprensa
Cases de sucesso
Reconhecimentos e Parcerias
Responsabilidade Social
Agências parceiras
Afiliados
Roadmap
Planos
Comece agora
Login