Este checklist de segurança WordPress cobre os 25 pontos que precisam estar configurados para um site WordPress verdadeiramente protegido. Para agências, serve como base de auditoria de sites novos e existentes. Para donos de site, é o roteiro para implementar segurança passo a passo.

Checklist Segurança WordPress: Fundações

1. HTTPS ativo e forçando redirect

No checklist de segurança WordPress, HTTPS é requisito básico. Verificar se http:// redireciona para https:// em todo o site. Confirmar que não há mixed content (recursos HTTP em páginas HTTPS).

2. WordPress core na versão mais recente

Verificar em wp-admin → Painel → Atualizações. Versões desatualizadas do WordPress core têm vulnerabilidades conhecidas e públicas.

3. Todos os plugins atualizados

Plugins desatualizados são a causa número 1 de invasões. No checklist de segurança WordPress, verificar se há plugins sem atualização há mais de 6 meses — considere substituir por alternativas mantidas ativamente.

4. Todos os temas atualizados (inclusive inativos)

Temas inativos também têm vulnerabilidades exploráveis. Delete temas que não usa — não apenas desative.

5. Nenhum plugin ou tema anulado (nulled)

Plugins e temas “nulled” (piratas) frequentemente contêm backdoors. No checklist de segurança WordPress, qualquer plugin ou tema sem licença legítima é um risco.

Checklist Segurança WordPress: Credenciais

6. Usuário administrador diferente de “admin”

O username “admin” é testado automaticamente em todos os ataques de força bruta. Renomear ou criar novo usuário admin e deletar o “admin” original.

7. Senhas fortes para todos os usuários

Senhas de 20+ caracteres geradas por gerenciador de senhas para todos os usuários com acesso ao wp-admin.

8. 2FA ativo para administradores

Autenticação de dois fatores via Wordfence ou plugin dedicado. No checklist de segurança WordPress, 2FA é a proteção mais eficaz contra força bruta mesmo com senhas fracas.

9. Acessos FTP/SFTP revisados

Verificar quem tem acesso FTP/SFTP. Revogar acessos de colaboradores que não trabalham mais no projeto.

Checklist Segurança WordPress: Firewall e Scanner

10. Wordfence instalado e em modo estendido

O firewall do Wordfence em modo estendido carrega antes do WordPress, bloqueando mais vetores de ataque. Verificar em Wordfence → Firewall se o modo estendido está ativo.

11. Scan de malware sem ameaças ativas

Rodar scan completo do Wordfence e verificar que não há arquivos infectados. No checklist de segurança WordPress, scan limpo é confirmação de que o site não foi comprometido.

12. Rate limiting configurado

Limitar requisições por IP no Wordfence — 30-60 requisições por minuto previne ataques de varredura automatizados.

13. XML-RPC desativado ou protegido

Se não usar apps WordPress para mobile ou Jetpack, desative o XML-RPC. Verifique via Wordfence → Firewall ou com .htaccess.

Checklist Segurança WordPress: Backup

14. Backup automático configurado

UpdraftPlus com agendamento automático de arquivos e banco de dados. Para o checklist de segurança WordPress de e-commerces: backup diário do banco de dados obrigatório.

15. Backup armazenado fora do servidor

Google Drive, Dropbox ou S3. Backup no mesmo servidor não protege contra falha de servidor ou invasão que apague arquivos.

16. Restauração testada

Backup nunca testado pode estar corrompido. Teste a restauração em um ambiente staging ao menos uma vez por semestre.

Checklist Segurança WordPress: Configurações Avançadas

17. Edição de arquivos desativada no wp-admin

define('DISALLOW_FILE_EDIT', true); no wp-config.php. Impede que invasores que acessam o wp-admin editem arquivos PHP.

18. URL de login alterada

WPS Hide Login para mudar /wp-login.php para URL personalizada. Elimina ataques automatizados que miram o endereço padrão.

19. Permissões de arquivo corretas

Arquivos: 644. Diretórios: 755. wp-config.php: 400 ou 440. Verificar via FTP ou painel da hospedagem.

20. Headers de segurança HTTP configurados

X-Frame-Options, X-Content-Type-Options, Referrer-Policy e Content-Security-Policy. Verificar com securityheaders.com.

Checklist Segurança WordPress: Monitoramento

21. Monitoramento de uptime ativo

UptimeRobot (gratuito) com alerta por email quando o site fica offline.

22. Google Search Console sem alertas de segurança

Verificar em Search Console → Segurança e ações manuais. Google notifica quando detecta malware ou conteúdo enganoso.

23. Logs do Wordfence revisados mensalmente

Wordfence → Atividade ao vivo — verificar padrões suspeitos de IPs ou tentativas de login recorrentes.

24. Alertas de email do Wordfence configurados

Alertas para: novo admin criado, plugin com vulnerabilidade, resumo semanal de atividade.

25. Scan externo mensal

Sucuri SiteCheck (sitecheck.sucuri.net) para scan externo que detecta malware visível ao visitante — complementa o scanner interno do Wordfence.

Para implementar os itens deste checklist de segurança WordPress, veja o guia de como proteger um site WordPress e o tutorial de como configurar o Wordfence.

Perguntas Frequentes sobre Checklist de Segurança WordPress

Com que frequência executar o checklist de segurança WordPress?
Completo: a cada 3 meses. Itens críticos (scan de malware, backup verificado, atualizações): mensalmente.

O checklist de segurança WordPress precisa de ferramentas pagas?
Não. Todos os 25 pontos deste checklist de segurança WordPress podem ser implementados com ferramentas gratuitas: Wordfence free, UpdraftPlus free, UptimeRobot free e Let’s Encrypt para SSL.

Recursos e Próximos Passos

Para aprofundar seu conhecimento neste tema, o blog da FULL Services publica regularmente guias práticos sobre WordPress, SEO e performance. Todos os artigos são baseados em experiência real com mais de 50.000 clientes ativos na plataforma e focados em resultados mensuráveis para o mercado brasileiro.

Se você chegou a este artigo buscando resolver um problema específico e ainda tem dúvidas, a seção de comentários está aberta — respendemos às principais perguntas com base nos casos mais comuns que encontramos na prática com clientes WordPress de diferentes segmentos e portes.

Segurança WordPress no Contexto do Mercado Brasileiro

Sites WordPress brasileiros são alvos frequentes de ataques automatizados — bots que varrem a internet procurando instalações desatualizadas são gerados globalmente e não discriminam por país ou tamanho do site. A diferença entre um site comprometido e um seguro está quase sempre em práticas básicas: atualizações em dia, senha forte e plugin de segurança ativo.

O LGPD (Lei Geral de Proteção de Dados) adiciona uma dimensão legal à segurança WordPress no Brasil. Sites que coletam dados pessoais — formulários de contato, cadastros de clientes, checkout de e-commerce — têm obrigação legal de proteger essas informações com medidas técnicas adequadas. Um site WordPress hackeado com dados de clientes expõe o proprietário a multas e responsabilidade civil.

Para empresas que terceirizam o WordPress para agências ou freelancers, incluir requisitos de segurança no contrato de prestação de serviços é uma prática recomendada. Defina quem é responsável por atualizações, backups e resposta a incidentes — essa clareza evita disputas e garante que alguém está cuidando ativamente da segurança do site.