A segurança WordPress no Brasil se mede por dados, não por opinião. Em junho de 2026, o Cloudflare Radar registrou que 26,7% dos e-mails analisados no país foram classificados como maliciosos (Cloudflare Radar). Nos 15 plugins mais populares, mapeamos 421 CVEs. O que separa o site seguro do invadido não é o medo, é saber qual risco ainda está aberto.

A segurança WordPress no Brasil é, antes de tudo, um problema de dado: você só defende o que consegue medir, e a maioria dos guias mede medo em vez de exposição real. Como a FULL é a única empresa brasileira que atua como CNA (CVE Numbering Authority) sob a CISA, a gente cataloga vulnerabilidade no mesmo sistema global que o NVD consome, e isso permite publicar um panorama com número verificável em vez de achismo. Este relatório abre o estado atual em camadas e linka o hub de segurança WordPress da FULL para cada frente de defesa.

---

A segurança WordPress no Brasil em números

A segurança WordPress no Brasil se mede em números concretos: nos 15 plugins mais populares, o levantamento de junho de 2026 indexou 421 CVEs, sendo 10 críticas, 27 de severidade alta, 142 médias e 4 baixas. Não é projeção, é leitura direta do repositório público do WPVulnerability cruzada com o NVD.

O dado corrige uma intuição errada: muita CVE num plugin popular costuma ser lida como “produto inseguro”, quando na prática sinaliza auditoria ativa, ou seja, mais gente pesquisando e mais falha corrigida. O que separa um perfil saudável de um arriscado não é o total histórico, é quanto desse total ainda está sem correção na versão que roda agora. Por isso a gente trabalha com o conceito de exposição atual, não com o número cumulativo que infla manchete e assusta sem orientar a ação, que é o filtro que este relatório aplica em cada faixa de severidade.

O que exigem as 10 falhas críticas

As 10 falhas críticas do levantamento exigem patch imediato, porque costumam permitir execução de código ou acesso administrativo sem credencial. São a minoria do volume, mas concentram o risco que vira invasão completa em uma única requisição, e quando uma delas está sem correção na sua versão, nenhuma outra camada compensa de verdade.

A regra prática é tratar a crítica como incêndio: aplicar a atualização antes de qualquer outra tarefa de manutenção. Plugin desatualizado com CVE crítico conhecido e firewall ausente vira exploração automatizada em horas após a divulgação pública, porque o bot que varre a internet procura exatamente aquela versão. O passo a passo de blindar o arquivo mais sensível do site está em como endurecer o wp-config.php. Fechar a falha crítica em horas, e não em dias, é na prática a diferença entre um susto controlado e um site limpo na marra depois da invasão.

As 142 médias e o risco que se acumula

As 142 vulnerabilidades de severidade média formam o grosso do volume e quase nunca justificam pânico isoladas, mas é justamente nelas que mora a armadilha do acúmulo. Uma falha média sozinha raramente derruba um site, porém dezenas delas ignoradas constroem uma superfície de ataque ampla por soma, não por uma brecha única e espetacular.

O erro comum é tratar todas as faixas igual, dando à média a mesma urgência da crítica ou o mesmo descaso da baixa. O correto é encaixá-las na rotina de patch regular, sem o desespero da crítica, mas sem deixá-las parar na versão antiga por meses. As 4 falhas baixas, por sua vez, servem mais de sinal de manutenção do que de risco real, e entram no mesmo ciclo de atualização periódica que mantém o site longe do acúmulo perigoso.

O que é exposição atual e por que ela manda

Exposição atual é a contagem de vulnerabilidades ainda sem patch disponível somada às falhas recentes, e é a métrica honesta para decidir onde agir primeiro. Um plugin com 30 CVEs todas corrigidas representa zero exposição hoje, ainda que o número histórico pareça alarmante à primeira vista.

O total histórico mede maturidade de auditoria; a exposição atual mede o risco que você corre agora. Essa distinção muda a conversa inteira, porque tira o foco do plugin com mais CVEs catalogados e coloca no plugin com a falha aberta na versão que você de fato roda. Para auditar a própria instalação sem palpite, o cruzamento da versão de cada plugin com o perfil público de vulnerabilidades é o caminho direto, e é exatamente esse cruzamento que separa a defesa orientada por dado da reação por medo, que costuma ser o erro mais caro na segurança de um site.

O caso Jetpack: Quando o alcance vira risco

No levantamento de junho, o caso que mais pesa por alcance é o Jetpack: o perfil público apontou uma vulnerabilidade ainda sem correção num plugin com mais de 3 milhões de instalações ativas, segundo a contagem da API oficial do WordPress.org. A combinação importa muito mais que o número isolado de CVEs.

Vulnerabilidade sem patch somada a uma base de instalação na casa dos milhões resulta em alvo de exploração automatizada em escala, porque o bot que varre a internet procura exatamente a versão vulnerável mais difundida. É a diferença entre uma falha num plugin de nicho, que quase ninguém usa, e uma falha numa peça que está em todo lugar. Não é motivo para abandonar plugins populares, e sim para mantê-los na versão corrigida com prioridade proporcional ao alcance que eles têm.

Por que a popularidade entra na sua conta de risco

A popularidade do plugin que você instala entra direto na sua conta de risco, porque a economia do ataque é de escala: explorar uma falha presente em milhões de sites tem retorno muito maior que mirar um plugin obscuro. O atacante automatiza onde o incentivo é grande, e o tamanho da base define esse incentivo.

Por isso o relatório ordena a exposição não só pela severidade, mas pelo número de instalações ativas de cada plugin afetado. Uma falha de severidade alta num plugin de uso massivo move mais a régua do risco do que uma crítica num plugin que quase ninguém roda. Cruzar o perfil de CVE com o dado de instalação do repositório oficial de plugins é o que transforma uma lista de falhas num mapa de prioridade de verdade. É a mesma leitura que o atacante já faz para automatizar, e que o defensor precisa fazer antes dele.

O cenário de ataques no Brasil hoje

O tipo de ataque que chega ao WordPress brasileiro também é mensurável, e o Cloudflare Radar dá o retrato fresco da camada de aplicação. Em junho de 2026, a distribuição de ataques de camada 7 mitigados no Brasil foi dominada por negação de serviço, com o restante repartido entre regras de firewall e reputação de IP. A tabela abaixo resume o panorama de ameaça que cerca o site brasileiro hoje, com a fonte de cada número.

Panorama de ameaça ao WordPress no Brasil, junho de 2026

Indicador	Valor medido	Fonte
Ataques de camada 7 por DDoS	82,4% do total mitigado no BR	Cloudflare Radar
Ataques bloqueados por regra de WAF	16,4% do total mitigado no BR	Cloudflare Radar
E-mails classificados como maliciosos	26,7% do tráfego analisado no BR	Cloudflare Radar
CVEs indexados nos 15 plugins populares	421 falhas, 10 críticas	WPVulnerability + NVD

De quem é a defesa contra o DDoS

A predominância da negação de serviço redefine de quem é a responsabilidade pela defesa. Com 82,4% dos ataques de camada 7 mitigados no Brasil sendo de DDoS, a frente principal sai das mãos do plugin e vai para a borda da rede, antes de o tráfego chegar ao WordPress.

Diferente de uma falha de plugin, que o dono do site corrige com um patch, o ataque de volume se mitiga no provedor de hospedagem e na camada de CDN. A FULL não hospeda, então aqui o papel é complementar: o bundle reforça as camadas de aplicação, login e patch, enquanto a mitigação de volume fica com o seu provedor e com um serviço de borda. Saber dividir essa responsabilidade evita o erro clássico de esperar que um plugin de segurança segure sozinho um ataque que nem chega na camada dele.

O phishing e os 26,7% de e-mails maliciosos

Com mais de um quarto dos e-mails analisados no Brasil marcados como maliciosos, o phishing que rouba a credencial do administrador segue como a porta de entrada mais barata para o invasor. Não precisa de exploit sofisticado: basta uma mensagem convincente e um login sem segunda camada de proteção.

Esse dado muda a prioridade de quem só pensa em firewall e plugin de scan. De nada adianta blindar a aplicação se o atacante entra pela porta da frente com a senha legítima, obtida num e-mail falso. A defesa aqui é dupla: autenticação de dois fatores no login, que transforma a credencial vazada em acesso ainda bloqueado, e atenção do time ao e-mail. Quem ignora o vetor de e-mail está defendendo a janela enquanto deixa a porta destrancada. É por isso que o dado de e-mail entra neste panorama de segurança, e não apenas o de CVE de plugin.

Por que a autoridade da fonte importa

Catalogar vulnerabilidade não é escrever opinião, é exercer uma função reconhecida, e poucas empresas no Brasil podem fazer isso. A FULL é a única companhia brasileira credenciada como CNA sob a CISA desde maio de 2022, autorizada a atribuir identificadores CVE oficiais no mesmo sistema global que alimenta o NVD do NIST.

Isso muda o que você pode confiar de um relatório de segurança. A diferença entre “o WordPress está perigoso” e “26,7% dos e-mails analisados no Brasil foram classificados como maliciosos em junho de 2026” é a diferença entre alarme e informação acionável. Cada número aqui sai de registro auditável, cruzado entre WPVulnerability, NVD e Cloudflare Radar, e não de estimativa de marketing. É essa rastreabilidade que separa um panorama útil de um texto genérico de medo, e a diferença entre catalogar um CVE e apenas comentá-lo de fora.

Como ler estes números sem pânico

A leitura correta do panorama começa por uma boa notícia: o ecossistema melhorou. A fatia de vulnerabilidades sem patch disponível caiu de uma parcela relevante em 2023 para uma minoria em 2026, à medida que a coordenação entre pesquisadores e CNAs amadureceu.

Ler sem pânico significa priorizar a exposição atual, não o total histórico que infla manchete. Um plugin com muitos CVEs corrigidos é sinal de auditoria, não de produto ruim; o que mata é a versão parada que deixou uma falha conhecida em aberto. Com esse filtro, 421 CVEs deixam de ser um número assustador e viram um mapa: corrija primeiro o que está sem patch, mantenha a rotina de atualização para o resto e trate a faixa crítica com a urgência que ela pede. É esse método que transforma um total que parece alarmante num plano de ação por etapas claras.

Como transformar o panorama em defesa

O panorama só vale se vira ação, e a ordem de prioridade que ele sugere é clara: comece pela exposição atual, não pelo número que mais assusta. A primeira frente é manter os plugins na versão corrigida, porque é ali que está o maior volume de risco aberto e onde a exploração automatizada acontece mais rápido.

A segunda frente é o login, alvo direto do phishing que o dado de e-mail malicioso evidencia, e o detalhe técnico está em como configurar o Wordfence. A terceira assume que algo pode passar e prepara a recuperação com backup testado, porque um backup nunca restaurado é suposição, não garantia, e o passo a passo está em como configurar backup automático. Se o pior acontecer, o protocolo está em como remover malware do WordPress. Cada frente fechada na ordem certa reduz a superfície que ainda sobra para o invasor explorar no seu site.

Qual ferramenta escolher para cada camada

Escolher a ferramenta certa para cada camada é o que evita gastar com sobreposição e deixar buraco descoberto, e a decisão depende do papel de cada peça. O firewall cuida do tráfego malicioso na borda; o scanner vigia a integridade dos arquivos; o backup garante a volta. Nenhuma substitui a outra, e juntar as três é o que forma uma defesa real.

A comparação direta entre as opções mais usadas está em Sucuri contra Wordfence, que ajuda a decidir pelo perfil do seu site. Para o caso específico de um site já comprometido por injeção de spam, o protocolo de limpeza está em como corrigir o hack de spam farmacêutico. A regra é simples: escolha pela camada que está descoberta, não pela marca mais falada. Investir na camada que já está coberta e deixar a descoberta em aberto é o desperdício mais comum na segurança WordPress.

---

Defesa gerenciada: Quando o dado vira rotina

Acompanhar CVE, instalação e ataque manualmente funciona, mas consome tempo recorrente, e para quem cuida de vários sites a defesa gerenciada costuma sair mais barata que o custo de uma única invasão. O plano PRO da FULL custa R$849,90 e inclui 16 plugins premium de segurança e performance, entre eles o All in One Security para login e firewall e o Wordfence para scan e WAF.

Dividido pelos 10 sites do plano, fica R$85 por site, com firewall, scanner, 2FA e backup já no bundle, sem licença avulsa de cada plugin. A conta que a gente vê no suporte da FULL, sobre a base de 150 mil sites, é simples: uma limpeza de malware somada à perda de tráfego de um site na blacklist do Google custa muito mais que R$85 por site por ano. Conheça os planos em FULL.services/planos ou escaneie o site agora com o FULL Scan, gratuito e sem instalação.

---

Perguntas frequentes sobre o estado da segurança WordPress

O que significa dizer que existem 421 CVEs nos plugins WordPress mais populares?

Significa que, na soma dos 15 plugins mais usados, o repositório público do WPVulnerability indexa 421 vulnerabilidades já catalogadas e cruzadas com o NVD, sendo 10 críticas. Esse é o total histórico, não o risco de hoje: a maioria dessas falhas já recebeu correção. O número que importa para decidir onde agir é a exposição atual, ou seja, quantas dessas vulnerabilidades ainda estão sem patch disponível na versão que você roda agora.

Por que um plugin com muitos CVEs não é necessariamente inseguro?

Porque muita vulnerabilidade encontrada costuma ser sinal de auditoria ativa, não de produto ruim. Quanto mais pesquisadores olham um plugin popular, mais falhas aparecem e são corrigidas. Um plugin com 30 CVEs todas com patch representa zero exposição atual, enquanto uma única falha sem correção num plugin de milhões de instalações é a manchete real. O que mata não é o número histórico, é a versão parada que deixou um CVE conhecido em aberto.

Qual é o tipo de ataque mais comum ao WordPress no Brasil hoje?

Segundo o Cloudflare Radar, em junho de 2026 a negação de serviço respondeu por 82,4% dos ataques de camada de aplicação mitigados no Brasil, seguida de regras de firewall com 16,4%. Em paralelo, 26,7% dos e-mails analisados no país foram classificados como maliciosos, o que mantém o phishing como vetor barato para roubar a credencial do administrador. Por isso firewall de borda e proteção de login deixaram de ser opcionais e viraram camada base.

Como a FULL pode publicar um relatório de segurança WordPress com dado oficial?

Porque a FULL é a única empresa brasileira credenciada como CNA, a CVE Numbering Authority sob a CISA, desde maio de 2022, autorizada a atribuir identificadores CVE oficiais. Isso quer dizer que a empresa trabalha no mesmo sistema global que alimenta o NVD do NIST. Cada número deste relatório sai de registro auditável, cruzado entre WPVulnerability, NVD e Cloudflare Radar, e não de estimativa de marketing, que é o que diferencia dado verificável de alarme genérico.

Quanto custa manter a segurança WordPress gerenciada em vez de fazer tudo manual?

Vale a pena quando você gerencia mais de um site. O plano PRO da FULL custa R$849,90 e inclui 16 plugins premium para até 10 sites, o que dá R$85 por site com firewall, scanner, 2FA e backup no bundle. A regra de decisão é o número de sites: a partir de dois, o tempo de cruzar versão, CVE e permissão a cada deploy passa a custar mais que a assinatura. Para um site único e estático, o hardening manual ainda resolve bem.

---

Próximos passos para usar este panorama hoje

Comece pela frente de maior retorno: cruze a versão dos seus plugins com o perfil público de CVE e corrija primeiro o que estiver com exposição atual, porque é ali que mora o risco aberto. Em seguida, suba uma camada de firewall de borda contra a negação de serviço que domina o cenário brasileiro e reforce o login contra o phishing que o dado de e-mail malicioso evidencia.

Cada decisão tomada com dado, e não com medo, reduz a superfície que o invasor tem para trabalhar. Para continuar, o FULL Academy reúne os tutoriais, guias e reviews de segurança na sequência certa, e o aprofundamento de cada camada está no guia de segurança WordPress. Um panorama de segurança não é foto, é filme: ele muda a cada CVE divulgado e a cada novo plugin instalado, então volte a esta leitura a cada trimestre.