Credential stuffing é o ataque que reusa senhas vazadas para entrar no WordPress sem adivinhar nada. Segundo o Verizon DBIR (2025), 77% dos ataques a aplicações web usam credenciais roubadas. A diferença para força bruta é que aqui a senha já é válida em algum vazamento. A defesa começa em detectar o pico de logins falhos.

O credential stuffing no WordPress é um ataque automatizado que testa pares de e-mail e senha vazados em outros serviços contra a sua tela de login, apostando que a pessoa reusou a mesma senha. Não há tentativa de adivinhar: o bot já tem credenciais reais e só verifica quais ainda funcionam no seu site. Por ser distribuído em milhares de IPs, ele passa por baixo do bloqueio por IP e raramente dispara alerta. Este guia faz parte dos guias de segurança WordPress da FULL e mostra os 4 sinais, como detectar e como bloquear o reuso de senha.

O que é credential stuffing: Definição operacional

Credential stuffing é o reuso automatizado de pares de login e senha vazados em um serviço para invadir contas em outro, e no WordPress explora 2 portas: a tela wp-login.php e o endpoint xmlrpc.php, onde 1 bot dispara milhares de tentativas por minuto sem adivinhar nada. O ataque não quebra criptografia: parte de uma lista pronta de credenciais reais.

Essa lista vem de vazamentos de bancos de dados de outros serviços. Em dados de infostealers analisados pelo Verizon DBIR, apenas 49% das senhas de um mesmo usuário eram distintas entre serviços, o que é exatamente a brecha que esse ataque explora. Quanto mais gente reusa senha, maior a taxa de acerto do bot. Para entender a base de cada ameaça de login, a FULL mantém o conceito de brute-force separado no glossário, porque os dois são confundidos o tempo todo.

Legenda: o bot reusa credenciais de um vazamento externo contra o wp-login, sem adivinhar nada.

Credential stuffing vs força bruta: A diferença que muda a defesa

A diferença central é a origem da senha, e ela separa 2 ataques tratados como 1 só: na força bruta o bot adivinha combinações até acertar, gerando muitas tentativas de 1 mesmo IP, enquanto no credential stuffing a senha já é válida em algum vazamento e o bot só confirma onde ela funciona, espalhando o tráfego por milhares de IPs. Isso muda toda a defesa.

Limitar tentativas por IP resolve força bruta, mas falha contra credential stuffing porque cada IP faz poucas tentativas. Comparado com a força bruta, o stuffing exige uma camada extra: o guia da FULL sobre como bloquear ataques de força bruta no login resolve a primeira ponta, mas não cobre senha reutilizada.

Os 4 sinais de credential stuffing em andamento

Os 4 sinais aparecem no agregado, não no IP isolado, e por isso passam despercebidos: um pico súbito de logins falhos sem um IP dominante, tentativas concentradas em xmlrpc.php, picos curtos de madrugada e logins bem-sucedidos de geolocalizações incomuns logo após o pico. Nenhum desses dispara o bloqueio padrão por IP.

A razão é que o ataque distribui as tentativas em milhares de endereços, cada um com poucas requisições, e durante o pico nenhum IP isolado ultrapassa o limite. O sinal real é a soma, não a linha de um endereço. De acordo com o perfil público do WPVulnerability, plugins de login social e de autenticação acumulam dezenas de CVEs corrigidas ao longo dos anos, o que reforça manter tudo atualizado em todas as versões. Para mapear o histórico de tentativas falhas, vale o procedimento de lidar com tentativas de login com falha no WordPress, que mostra onde os logs guardam esse rastro ao longo do tempo.

Quem ataca e por que o WordPress é alvo

O WordPress é alvo porque roda mais de 40% da web e expõe 1 tela de login previsível em milhões de domínios, o que dá escala imediata ao atacante. O custo de tentar é quase zero: a lista de credenciais já existe e os bots rodam sozinhos por horas a fio.

Segundo a telemetria do Cloudflare Radar, que monitora a distribuição de ataques de camada de aplicação, em 2026-06-09 no Brasil os ataques DDoS respondiam por 82,4% e o WAF mitigava 16,4% do tráfego de aplicação. Esse recorte mostra por que um firewall de aplicação com reputação de IP, e não só o bloqueio manual, é o que tende a frear o tráfego automatizado de stuffing. A FULL é a única empresa brasileira credenciada como CVE Numbering Authority sob a CISA desde 2022, ou seja, cataloga CVE oficial: quem escreve sobre vulnerabilidade aqui trabalha com o dado na fonte.

Como detectar e bloquear credential stuffing em 3 camadas

A defesa contra credential stuffing se resolve em 3 camadas combinadas, porque nenhuma sozinha cobre o ataque distribuído: senha única, autenticação de dois fatores e firewall com inteligência de reputação. A senha única quebra a premissa do ataque, o segundo fator trava o login mesmo com a senha certa e o firewall filtra o tráfego automatizado.

Cada camada ataca um ponto distinto. O two-factor authentication bloqueia o login mesmo com a senha correta, e o firewall do WordPress filtra o tráfego pela reputação do IP. Plugins como All in One Security e Wordfence cobrem MFA e firewall, e a checagem de senhas vazadas pode usar a base do Have I Been Pwned. Para o setup completo, o passo a passo de autenticação de dois fatores no WordPress e o guia de como gerenciar senhas com segurança fecham as duas pontas de pessoas e máquina.

Camada 1: Elimine o reuso de senha

A primeira camada elimina a matéria-prima do ataque, que é a senha repetida: gerenciador de senhas para gerar credenciais únicas por serviço e checagem contra vazamentos conhecidos. Sem reuso, a lista do atacante não bate com o seu login, e o credential stuffing fica sem combustível.

Camada 2: Ative MFA em todos os administradores

A segunda camada trava o login mesmo que a senha esteja correta: um segundo fator por aplicativo autenticador em todas as contas de administrador e editor. Segundo a OWASP, autoridade global em segurança de aplicações, o MFA é a mitigação mais eficaz contra esse ataque.

Camada 3: Ponha um firewall com reputação de IP na frente

A terceira camada é a única que enxerga o ataque distribuído: um firewall de aplicação que pontua reputação de IP e bloqueia tráfego automatizado antes de chegar ao wp-login.php. É o que captura o pico agregado que o bloqueio por IP isolado não vê.

Proteja o login com o bundle da FULL

Montar essas 3 camadas avulsas custa caro e dá trabalho de manter. No plano PRO da FULL, por R$849, você ativa em 1 clique o All in One Security com firewall e MFA junto dos outros plugins do bundle, o que dá R$85 por site quando o plano cobre 10 sites. Conheça os planos da FULL e veja a página do All in One Security para o detalhe do firewall. A gente vê no suporte que a maioria das invasões por login começa em senha reutilizada, não em falha do WordPress em si.

Perguntas frequentes sobre credential stuffing no WordPress

Próximos passos para blindar seu login

Credential stuffing não é falha do WordPress: é consequência de senha reutilizada que vazou em outro lugar e voltou contra o seu login. As 3 camadas, senha única, MFA e firewall com reputação, cortam o ataque em pontos diferentes e juntas tornam o reuso inútil. Comece checando se suas senhas de administrador aparecem no Have I Been Pwned e ative o segundo fator hoje. Para aprofundar, o guia de segurança para WordPress reúne o caminho completo, e o FULL Academy organiza tutoriais, guias e reviews em um só lugar para continuar aprendendo.