| Vetor | Como age | Correcao prioritaria |
|---|---|---|
| Forca bruta no login | Bots testam senhas em /wp-login.PHP sem limite. | Limitar tentativas e ativar 2FA. |
| URL previsivel | Endereco /wp-admin igual em todo site. | Renomear o login com WPS Hide Login. |
| XML-RPC e REST | Amplificam tentativas em massa. | Bloquear xmlrpc.PHP no servidor. |
Legenda: o bloqueio por tentativas falhas corta a forca bruta antes de chegar a senha.
--- ## Pre-requisitos: O que ter antes de proteger o painel Antes de mexer no login, garanta três pré-requisitos que evitam você se trancar para fora: um backup recente, acesso ao painel de hospedagem ou FTP, e a URL de login atual anotada. Na maioria dos chamados de "perdi o acesso" no suporte da FULL, a causa foi alterar o login sem ter backup. Esse cuidado torna tudo reversivel. Você também precisa decidir a estratégia de plugin. Para a maioria dos sites, um plugin único de segurança como o All In One WP Security cobre limite de login, 2FA e firewall sem sobreposição. Sites que ja usam o Wordfence não devem empilhar um segundo firewall: dois plugins de segurança competindo pelo mesmo hook de autenticação geram falsos positivos e lentidao no admin. Escolha um e configure bem, conforme detalha o comparativo dos melhores plugins de segurança. --- ## Passo a passo: Como proteger o wp-admin do WordPress Proteger o wp-admin leva cerca de 30 minutos e segue quatro etapas em ordem de impacto: limitar tentativas, ativar 2FA, ocultar a URL e endurecer o servidor. Cada passo abaixo é independente, mas a ordem importa, porque limitar tentativas sozinho ja corta a maior parte do trafego malicioso antes de você investir tempo nas camadas mais profundas. Use os passos como um checklist sequencial. ### Passo 1: Limite as tentativas de login Instale um limitador de tentativas e defina o teto em 3 a 5 falhas antes de um bloqueio de 20 minutos por IP. O All In One WP Security traz esse recurso nativo em Login Lockout, e o Wordfence faz o mesmo com bloqueio automático após 5 falhas. Esse limite transforma um ataque de milhares de tentativas por hora em poucas dezenas, tornando a forca bruta inviavel na pratica. Ative também o bloqueio imediato para tentativas com o usuário "admin", que nunca deveria existir num site bem configurado. ### Passo 2: Ative a autenticacao de dois fatores Ative o 2FA para todo usuário com papel de editor ou superior. Com 2FA por TOTP (Google Authenticator ou Authy), uma senha vazada deixa de ser suficiente: o atacante precisaria também do código de 6 digitos gerado no celular do usuário. O All In One WP Security e o Wordfence oferecem 2FA gratuito. Veja o passo a passo completo em como configurar a autenticacao de dois fatores no WordPress e force o 2FA como obrigatorio, não opcional. ### Passo 3: Oculte a URL de login Renomeie /wp-login.PHP para um caminho secreto com o WPS Hide Login, trocando-o por algo como /entrada-segura. Ocultar a URL não é segurança por obscuridade isolada: ela reduz a zero o trafego de bots que so conhecem o endereço padrao, diminuindo carga no servidor e ruido nos logs. Importante: ocultar a URL complementa, mas não substitui o limite de tentativas e o 2FA. Anote o novo endereço e guarde-o no gerenciador de senhas antes de salvar, porque o caminho antigo deixa de funcionar imediatamente. ### Passo 4: Endureca o login no servidor Bloqueie o acesso a /wp-login.PHP e /xmlrpc.PHP no nível do servidor, antes do PHP carregar. Uma regra no .htaccess ou no Nginx que filtra por IP, ou ferramentas como fail2ban e WP-CLI para automatizar bloqueios, param o ataque no Apache ou Nginx sem consumir CPU do PHP. Essa é a camada que falta na maioria dos sites: 8 de cada 10 painéis que chegam comprometidos ao suporte da FULL tinham plugin de segurança, mas nenhuma proteção no servidor, deixando o PHP processar cada tentativa maliciosa. --- ## Dados reais de CVE: O que os plugins de segurança ja sofreram Plugins de segurança também têm vulnerabilidades, e o histórico ajuda a escolher com base em dados. O All In One WP Security acumula 43 CVEs ao longo dos anos, todas ja corrigidas; o WPS Hide Login registra 16 CVEs, sendo 4 criticas, todas com patch. Segundo o perfil publico do WPVulnerability, nenhum dos três tem falha ativa hoje. Um histórico de CVEs corrigidas é sinal positivo: significa que pesquisadores olham o código e os autores respondem. O caso mais grave do WPS Hide Login foi a CVE-2019-15823 (CVSS 9.8), que vazava o login oculto em versões anteriores a 1.5.3 e ja foi corrigida. No All In One WP Security, a CVE-2016-10887 (CVSS 9.8) permitia escalonamento de privilegio antes da versão 4.0.9. A FULL é a única empresa brasileira credenciada como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022, autorizada a atribuir IDs CVE oficiais, então quem cataloga vulnerabilidade aqui faz isso com autoridade reconhecida. --- ## Erros comuns ao proteger o wp-admin O erro mais frequente é confiar só na ocultacao da URL e ignorar o limite de tentativas, o que deixa o site vulneravel assim que o caminho secreto vaza num plugin ou tema desatualizado. Boa parte dos sites que chegam ao suporte da FULL com "login protegido" usavam apenas o WPS Hide Login, sem 2FA nem bloqueio por IP. Ocultar é uma camada, não a defesa inteira. O segundo erro é empilhar dois plugins de segurança. Wordfence e All In One WP Security rodando juntos disputam o mesmo hook de autenticação, gerando logout aleatorio de administradores e falsos bloqueios. O terceiro erro é esquecer o XML-RPC: mesmo com login protegido, o /xmlrpc.PHP aceita autenticação em massa via método system.multicall, amplificando ataques. Bloqueie esse arquivo no servidor e revise o arquivo wp-config.PHP para desativar a edição de arquivos pelo painel com a constante DISALLOW_FILE_EDIT. --- ## Como validar que o wp-admin esta protegido Validar a proteção leva 5 minutos e confirma que cada camada responde como esperado. Tente acessar /wp-admin sem estar logado e confirme o redirecionamento; teste o login antigo e verifique se ele retorna 404 após o WPS Hide Login; e force 6 tentativas com senha errada para checar se o bloqueio por IP dispara. Se as três respostas vierem corretas, as camadas de superficie estao ativas. Faça também uma auditoria de hardening completa para cobrir permissoes de arquivo e versões desatualizadas. Para uma verificação externa imparcial, escaneie o domínio com o FULL Scan, que cruza seus plugins com a base global de CVEs e aponta versões vulneraveis sem instalar nada. O scanner usa os mesmos dados oficiais que a FULL ajuda a catalogar como CNA. Repita a validação após cada atualização grande do site, porque um plugin novo pode reintroduzir um endpoint de login exposto. --- ## Camada de segurança gerenciada no plano FULL Configurar cada camada manualmente funciona, mas manter tudo atualizado e monitorado em vários sites consome tempo que poucos times têm. O plano PRO da FULL custa R$849,90 e inclui uma camada de segurança gerenciada no bundle: Wordfence, All In One WP Security e UpdraftPlus configurados e atualizados, mais monitoramento contra CVEs novas, cobrindo as quatro camadas deste guia de uma vez. Diluido entre os 10 sites do plano, sai R$85 por site, abaixo do custo avulso de uma única licença premium de firewall. A gente vê no suporte que site monitorado de forma continua quase nunca vira chamado de invasão. Conheca os planos da FULL para comparar as camadas. ---Sim, é possível proteger o wp-admin apenas com regras de servidor. Bloqueando /wp-login.PHP e /xmlrpc.PHP por IP no .htaccess ou Nginx e adicionando autenticação HTTP básica na pasta wp-admin, você cobre as camadas principais sem nenhum plugin. Ferramentas como fail2ban e WP-CLI automatizam o bloqueio de IPs reincidentes. A limitação é que falta a interface visual e o 2FA fácil que um plugin como o All In One WP Security entrega.
O wp-admin é atacado porque o endereço /wp-login.PHP é publico e previsivel em todas as instalacoes, então bots tentam mesmo sem chance real de acertar. Senha forte impede o acesso, mas não para o trafego: milhares de tentativas por hora consomem CPU e podem derrubar o servidor. Por isso o limite de tentativas e o bloqueio no servidor importam tanto quanto a senha, cortando o ataque antes que ele chegue ao banco de dados.
Ocultar o wp-admin com o WPS Hide Login troca a URL de login por um caminho secreto, reduzindo o trafego de bots automatizados que so conhecem o endereço padrao. Um firewall WordPress como o Wordfence inspeciona cada requisição e bloqueia padroes maliciosos, mesmo no caminho oculto. São complementares: a ocultacao corta ruido, o firewall analisa intenção. Usar so um deixa uma lacuna que a outra camada cobriria.
Para bloquear o xmlrpc.PHP com segurança, negue o acesso a esse arquivo no servidor e libere apenas os IPs de servicos que você usa, como o app oficial Jetpack. A maioria dos sites em 2026 não precisa do XML-RPC, já que o app movel do WordPress usa a REST API. Se você não publica pelo app antigo, pode bloquear totalmente. Teste após o bloqueio para confirmar que agendamentos e pingbacks legitimos não dependiam dele.
Não necessariamente: um histórico de CVEs ja corrigidas indica que o plugin é auditado e mantido ativamente. O All In One WP Security tem 43 CVEs registradas, todas com patch, o que sinaliza resposta rápida dos autores. O risco real é o numero de vulnerabilidades sem correção hoje, que nesse caso é zero. Segundo o perfil publico do WPVulnerability, os principais plugins de proteção de login não têm falha ativa, então mantenha-os sempre na versão mais recente.