# Credential stuffing no WordPress: Os 4 sinais e a defesa

<strong>Credential stuffing</strong> é o ataque que reusa senhas vazadas para entrar no WordPress sem adivinhar nada. Segundo o <a href="https://www.verizon.com/business/resources/reports/dbir/" rel="noopener" target="_blank">Verizon DBIR (2025)</a>, 77% dos ataques a aplicações web usam credenciais roubadas. A diferença para força bruta é que aqui a senha já é válida em algum vazamento. A defesa começa em detectar o pico de logins falhos.

O credential stuffing no WordPress é um ataque automatizado que testa pares de e-mail e senha vazados em outros serviços contra a sua tela de login, apostando que a pessoa reusou a mesma senha. Não há tentativa de adivinhar: o bot já tem credenciais reais e só verifica quais ainda funcionam no seu site. Por ser distribuído em milhares de IPs, ele passa por baixo do bloqueio por IP e raramente dispara alerta. Este guia faz parte dos <a href="https://full.services/seguranca-wordpress/">guias de segurança WordPress da FULL</a> e mostra os 4 sinais, como detectar e como bloquear o reuso de senha.

---

## O que é credential stuffing: Definição operacional

Credential stuffing é o reuso automatizado de pares de login e senha vazados em um serviço para invadir contas em outro, e no WordPress explora 2 portas: a tela `wp-login.php` e o endpoint `xmlrpc.php`, onde 1 bot dispara milhares de tentativas por minuto sem adivinhar nada. O ataque não quebra criptografia: parte de uma lista pronta de credenciais reais.

Essa lista vem de vazamentos de bancos de dados de outros serviços. Em dados de infostealers analisados pelo <a href="https://www.verizon.com/business/resources/reports/dbir/" rel="noopener" target="_blank">Verizon DBIR</a>, apenas 49% das senhas de um mesmo usuário eram distintas entre serviços, o que é exatamente a brecha que esse ataque explora. Quanto mais gente reusa senha, maior a taxa de acerto do bot. Para entender a base de cada ameaça de login, a FULL mantém o conceito de <a href="https://full.services/glossario/brute-force/">brute-force</a> separado no glossário, porque os dois são confundidos o tempo todo.

<p class="wp-caption-text">Legenda: o bot reusa credenciais de um vazamento externo contra o wp-login, sem adivinhar nada.</p>

## Credential stuffing vs força bruta: A diferença que muda a defesa

A diferença central é a origem da senha, e ela separa 2 ataques tratados como 1 só: na força bruta o bot adivinha combinações até acertar, gerando muitas tentativas de 1 mesmo IP, enquanto no credential stuffing a senha já é válida em algum vazamento e o bot só confirma onde ela funciona, espalhando o tráfego por milhares de IPs. Isso muda toda a defesa.

<table id="comparativo-stuffing-vs-bruteforce">
  <caption>Credential stuffing vs força bruta no login WordPress</caption>
  <thead>
    <tr>
      <th scope="col">Vetor</th>
      <th scope="col">Origem da senha</th>
      <th scope="col">Como o ataque chega</th>
      <th scope="col">Defesa que funciona</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row">Força bruta</th>
      <td>Adivinhada por tentativa</td>
      <td>Muitas tentativas do mesmo IP</td>
      <td>Limite de tentativas e bloqueio de IP</td>
    </tr>
    <tr>
      <th scope="row">Credential stuffing</th>
      <td>Vazada e já válida</td>
      <td>Poucas tentativas por IP, milhares de IPs</td>
      <td>MFA, firewall com reputação e senha única</td>
    </tr>
  </tbody>
</table>

Limitar tentativas por IP resolve força bruta, mas falha contra credential stuffing porque cada IP faz poucas tentativas. Comparado com a força bruta, o stuffing exige uma camada extra: o guia da FULL sobre <a href="https://full.services/como-evitar-ataques-de-forca-bruta-no-login-do-wordpress/">como bloquear ataques de força bruta no login</a> resolve a primeira ponta, mas não cobre senha reutilizada.

## Os 4 sinais de credential stuffing em andamento

Os 4 sinais aparecem no agregado, não no IP isolado, e por isso passam despercebidos: um pico súbito de logins falhos sem um IP dominante, tentativas concentradas em `xmlrpc.php`, picos curtos de madrugada e logins bem-sucedidos de geolocalizações incomuns logo após o pico. Nenhum desses dispara o bloqueio padrão por IP.

A razão é que o ataque distribui as tentativas em milhares de endereços, cada um com poucas requisições, e durante o pico nenhum IP isolado ultrapassa o limite. O sinal real é a soma, não a linha de um endereço. De acordo com o perfil público do WPVulnerability, plugins de login social e de autenticação acumulam dezenas de CVEs corrigidas ao longo dos anos, o que reforça manter tudo atualizado em todas as versões. Para mapear o histórico de tentativas falhas, vale o procedimento de <a href="https://full.services/lidar-com-tentativas-de-login-com-falha-wordpress/">lidar com tentativas de login com falha no WordPress</a>, que mostra onde os logs guardam esse rastro ao longo do tempo.

## Quem ataca e por que o WordPress é alvo

O WordPress é alvo porque roda mais de 40% da web e expõe 1 tela de login previsível em milhões de domínios, o que dá escala imediata ao atacante. O custo de tentar é quase zero: a lista de credenciais já existe e os bots rodam sozinhos por horas a fio.

Segundo a telemetria do <a href="https://radar.cloudflare.com/security/application-layer" rel="noopener" target="_blank">Cloudflare Radar</a>, que monitora a distribuição de ataques de camada de aplicação, em 2026-06-09 no Brasil os ataques DDoS respondiam por 82,4% e o WAF mitigava 16,4% do tráfego de aplicação. Esse recorte mostra por que um firewall de aplicação com reputação de IP, e não só o bloqueio manual, é o que tende a frear o tráfego automatizado de stuffing. A FULL é a única empresa brasileira credenciada como CVE Numbering Authority sob a CISA desde 2022, ou seja, cataloga CVE oficial: quem escreve sobre vulnerabilidade aqui trabalha com o dado na fonte.

## Como detectar e bloquear credential stuffing em 3 camadas

A defesa contra credential stuffing se resolve em 3 camadas combinadas, porque nenhuma sozinha cobre o ataque distribuído: senha única, autenticação de dois fatores e firewall com inteligência de reputação. A senha única quebra a premissa do ataque, o segundo fator trava o login mesmo com a senha certa e o firewall filtra o tráfego automatizado.

Cada camada ataca um ponto distinto. O <a href="https://full.services/glossario/two-factor-authentication/">two-factor authentication</a> bloqueia o login mesmo com a senha correta, e o <a href="https://full.services/glossario/firewall-wordpress/">firewall do WordPress</a> filtra o tráfego pela reputação do IP. Plugins como All in One Security e Wordfence cobrem MFA e firewall, e a checagem de senhas vazadas pode usar a base do <a href="https://haveibeenpwned.com/" rel="noopener" target="_blank">Have I Been Pwned</a>. Para o setup completo, o passo a passo de <a href="https://full.services/two-factor-authentication-wordpress/">autenticação de dois fatores no WordPress</a> e o guia de <a href="https://full.services/como-gerenciar-senhas-com-facilidade-e-seguranca/">como gerenciar senhas com segurança</a> fecham as duas pontas de pessoas e máquina.

### Camada 1: Elimine o reuso de senha

A primeira camada elimina a matéria-prima do ataque, que é a senha repetida: gerenciador de senhas para gerar credenciais únicas por serviço e checagem contra vazamentos conhecidos. Sem reuso, a lista do atacante não bate com o seu login, e o credential stuffing fica sem combustível.

### Camada 2: Ative MFA em todos os administradores

A segunda camada trava o login mesmo que a senha esteja correta: um segundo fator por aplicativo autenticador em todas as contas de administrador e editor. Segundo a <a href="https://owasp.org/www-community/attacks/Credential_stuffing" rel="noopener" target="_blank">OWASP</a>, autoridade global em segurança de aplicações, o MFA é a mitigação mais eficaz contra esse ataque.

### Camada 3: Ponha um firewall com reputação de IP na frente

A terceira camada é a única que enxerga o ataque distribuído: um firewall de aplicação que pontua reputação de IP e bloqueia tráfego automatizado antes de chegar ao `wp-login.php`. É o que captura o pico agregado que o bloqueio por IP isolado não vê.

---

## Proteja o login com o bundle da FULL

Montar essas 3 camadas avulsas custa caro e dá trabalho de manter. No plano PRO da FULL, por R$849, você ativa em 1 clique o All in One Security com firewall e MFA junto dos outros plugins do bundle, o que dá R$85 por site quando o plano cobre 10 sites. Conheça os <a href="https://full.services/planos">planos da FULL</a> e veja a página do <a href="https://full.services/all-in-one-security">All in One Security</a> para o detalhe do firewall. A gente vê no suporte que a maioria das invasões por login começa em senha reutilizada, não em falha do WordPress em si.

<aside aria-label="Metodologia dos Testes">
<h2 id="metodologia">Como avaliamos o risco de credential stuffing</h2>
<p>A análise cruza três fontes públicas e verificáveis, entre <time datetime="2026-01">janeiro</time> e <time datetime="2026-06">junho de 2026</time>: o histórico de CVEs de plugins de segurança via perfil público do WPVulnerability, a distribuição de ataques de camada de aplicação do Cloudflare Radar para o Brasil e os vetores de acesso do Verizon DBIR. O risco atual considera apenas vulnerabilidades sem patch hoje, nunca CVEs já corrigidas, que sinalizam manutenção ativa. A leitura qualitativa parte do que a equipe da FULL observa no suporte aos sites conectados, sempre separando dado externo medido de observação interna sem número.</p>
</aside>

<h2 id="faq">Perguntas frequentes sobre credential stuffing no WordPress</h2>

<details>
<summary>O que é credential stuffing no WordPress em termos simples?</summary>
<p>É o reuso automatizado de senhas vazadas para entrar no seu WordPress. Um bot pega pares de e-mail e senha vazados em outro site e testa na sua tela de login, apostando que a pessoa repetiu a senha. Não adivinha nada: a credencial já é real. Segundo o Verizon DBIR (2025), 77% dos ataques web usam credenciais roubadas.</p>
</details>

<details>
<summary>Qual a diferença entre credential stuffing e força bruta?</summary>
<p>A diferença é a origem da senha. Na força bruta, o bot adivinha combinações até acertar, gerando muitas tentativas de um mesmo IP. No credential stuffing, a senha já é válida em algum vazamento e o bot só confirma onde funciona, distribuindo poucas tentativas por milhares de IPs. Por isso o bloqueio por IP pega a força bruta, mas falha contra o stuffing.</p>
</details>

<details>
<summary>Por que o rate limit comum não bloqueia credential stuffing?</summary>
<p>Porque o rate limit conta tentativas por IP, e o credential stuffing usa milhares de IPs com poucas tentativas em cada um. Cada endereço fica abaixo do limite e nunca dispara o bloqueio, enquanto o agregado já é um ataque em escala. O sinal real está na soma de logins falhos do site inteiro, que só um firewall com reputação de IP captura.</p>
</details>

<details>
<summary>É possível detectar credential stuffing sem instalar plugin pago?</summary>
<p>Sim, é possível detectar sem plugin pago analisando os logs de acesso do servidor. Um pico de respostas de login falho no agregado, sem um IP dominante e concentrado em xmlrpc.php, é o rastro típico. Plugins gratuitos como o All in One Security já mostram esse histórico no painel, o que poupa a leitura manual de log.</p>
</details>

<details>
<summary>Quanto custa proteger o login WordPress no bundle da FULL?</summary>
<p>No plano PRO da FULL, por R$849, sai R$85 por site quando o plano cobre 10 sites, e isso já inclui o All in One Security com firewall e MFA ativados em 1 clique. Comprar firewall, MFA e gerenciamento avulsos por site costuma custar bem mais e ainda exige manutenção separada de cada licença.</p>
</details>

---

## Próximos passos para blindar seu login

Credential stuffing não é falha do WordPress: é consequência de senha reutilizada que vazou em outro lugar e voltou contra o seu login. As 3 camadas, senha única, MFA e firewall com reputação, cortam o ataque em pontos diferentes e juntas tornam o reuso inútil. Comece checando se suas senhas de administrador aparecem no Have I Been Pwned e ative o segundo fator hoje. Para aprofundar, o <a href="https://full.services/guias/guia-de-seguranca-para-wordpress">guia de segurança para WordPress</a> reúne o caminho completo, e o <a href="https://full.services/academy/">FULL Academy</a> organiza tutoriais, guias e reviews em um só lugar para continuar aprendendo.