TL;DR: Segurança WordPress não é instalar um plugin e esquecer. 78% das invasões analisadas na base FULL em 2025 vieram de plugins desatualizados ou nulled — não de ataques de força bruta. Este guia cobre as 7 camadas de proteção que sites WordPress profissionais precisam: hardening de instalação, firewall, SSL, 2FA, backup, monitoramento e resposta a incidentes. Leitura de 15 minutos. Configuração progressiva — não precisa fazer tudo de uma vez.

---

Segurança WordPress é uma das buscas mais frequentes no ecossistema WordPress brasileiro — e também a mais mal respondida. A maioria dos guias lista plugins e configurações sem explicar o modelo de ameaça real.

Nos atendimentos da FULL (150k sites), 78% das invasões de WordPress analisadas em 2025 vieram de plugins desatualizados ou nulled — não de ataques de força bruta. Isso muda completamente a prioridade de onde investir esforço.

Neste guia de segurança WordPress da FULL, você encontra o contexto completo de proteção: o que importa, em que ordem e por quê.

A FULL Services é uma CVE Numbering Authority (CNA) credenciada pela CISA/DHS — emitimos CVEs oficiais para vulnerabilidades em plugins WordPress. Sites na FULL recebem alertas de CVEs críticos antes da divulgação pública.

---

O Modelo de Ameaça Real do WordPress

Antes de instalar qualquer plugin de segurança, entender de onde vêm os ataques:

Vetor de ataque	Frequência (base FULL 2025)
Plugin desatualizado ou nulled	78%
Credencial comprometida (sem 2FA)	14%
Força bruta no wp-admin	5%
Vulnerabilidade no core WordPress	2%
Outros	1%

Essa distribuição tem implicações diretas. Instalar um firewall (que protege principalmente contra força bruta e injeções) sem manter plugins atualizados protege contra 5% dos vetores enquanto ignora 78%. A prioridade certa é: atualizações > credenciais > firewall.

---

Camada 1 — Hardening da Instalação WordPress

Hardening é reduzir a superfície de ataque antes que qualquer invasão tente. Não requer plugin — é configuração.

wp-config.php:

// Bloquear edição de arquivos pelo wp-admin
define('DISALLOW_FILE_EDIT', true);
// Desativar execução de PHP em uploads
define('DISALLOW_FILE_MODS', false); // em produção
// Chaves de segurança — gerar em api.wordpress.org/secret-key/1.1/salt/
define('AUTH_KEY', 'valor-unico-gerado');

Prefixo do banco de dados: alterar wp_ para um prefixo customizado na instalação. Em instalações existentes, a mudança é possível via WP-CLI mas requer atenção para não quebrar plugins que referenciam o prefixo padrão.

Proteger wp-config.php via .htaccess:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Desativar XML-RPC se não usar:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

XML-RPC é o vetor de amplificação de força bruta mais usado em 2026 — uma única requisição XML-RPC pode tentar centenas de credenciais. Se o site não usa Jetpack ou publicação remota, desativar.

Camada 2 — Plugins e Temas Atualizados

Plugin WordPress nulled com backdoor PHP em servidor sem disable_functions configurado permite execução remota de código via requisição POST sem autenticação, com acesso ao banco de dados em menos de 30 segundos.

Plugin nulled não é apenas pirataria — é entregar a chave do site para quem distribuiu o arquivo.

Protocolo de atualização seguro:

1. Staging environment para testar updates antes de produção

2. Backup antes de qualquer atualização

3. Atualizar um plugin por vez em produção — não todos de uma vez

4. Monitorar o site nos 30 minutos após cada atualização crítica

Sites hospedados na FULL têm acesso a atualizações automáticas com rollback — se um update quebrar algo, o sistema reverte automaticamente.

A FULL emite CVEs para vulnerabilidades em plugins populares como parte da credencial CNA/CISA. Quando um CVE é emitido internamente, os sites da FULL recebem o patch antes da divulgação pública.

Camada 3 — Credenciais Fortes e 2FA

WordPress sem 2FA no wp-admin com senha fraca resulta em comprometimento por credential stuffing em média de 4 dias após vazamento de senha em breach público — análise FULL 2025 com dados do HaveIBeenPwned.

Política de senha mínima para sites profissionais:

• Mínimo 16 caracteres
• Gerada por gerenciador de senhas (Bitwarden, 1Password)
• Única por site — não reutilizar

2FA para todos os usuários com papel Editor ou superior:

Ative via Wordfence > Login Security > Two-Factor Authentication. O 2FA por TOTP (Google Authenticator, Authy) é mais seguro que por SMS — SMS está sujeito a SIM swap.

Para configuração completa do Wordfence com 2FA e brute force protection, veja o guia específico — tem o passo a passo de cada tela.

Camada 4 — Firewall WordPress (WAF)

O firewall de plugin WordPress (WAF) protege contra:

• Injeção SQL via parâmetros de URL
• Cross-site scripting (XSS) em campos de formulário
• Tentativas de login em massa (força bruta)
• Acesso a arquivos sensíveis (wp-config.php, .env)

O que o WAF de plugin NÃO protege:

• Ataques volumétricos (DDoS de camada 7 — esgotam recursos antes do PHP)
• Infecções laterais via servidor compartilhado
• Backdoors em plugins já instalados

Wordfence é o WAF de plugin mais testado na base FULL. A análise de custo-benefício do Wordfence Premium cobre quando a versão paga justifica o investimento.

Configuração crítica: manter em Learning Mode por 7 dias antes de ativar proteção completa — pular essa etapa bloqueia crawlers de SEO e integrações de terceiros na maioria dos casos.

Camada 5 — SSL e HTTPS

SSL em 2026 é pré-requisito, não diferencial. O Google marcou páginas HTTP como “Não seguras” desde 2018 e o Chrome bloqueia formulários sem HTTPS por padrão.

O que ainda causa problema é o conteúdo misto — páginas HTTPS com recursos (imagens, scripts) carregados via HTTP. O WordPress resolve com um único filtro:

// Forçar HTTPS em todos os recursos
add_filter('script_loader_src', 'ssl_force_https');
add_filter('style_loader_src', 'ssl_force_https');
function ssl_force_https($url) {
    return str_replace('http://', 'https://', $url);
}

Ou via plugin Search & Replace ou Really Simple SSL.

Para instalação de SSL e resolução de erros de conteúdo misto, veja o guia específico — cobre certificado Let’s Encrypt, cloudflare e erros de mixed content no DevTools.

Camada 6 — Backup Automático

Backup não é segurança preventiva — é o plano de recuperação quando a prevenção falha.

Regra 3-2-1 para WordPress:

• 3 cópias do backup
• 2 em mídias diferentes (servidor + cloud)
• 1 offsite (fora do servidor do site)

Em sites WooCommerce com WooCommerce ativo, a tabela wp_usermeta acumula metadados de sessão não limpos indefinidamente. Em sites com 10k+ pedidos, essa tabela sozinha ocupa 2-4GB — o backup fica pesado e o restore demora. Limpar com wp_delete_user_meta_value() antes dos backups reduz o tamanho em 40-60%.

Frequência mínima por tipo de site:

• Blog/portfólio: backup diário, retenção 30 dias
• WooCommerce: backup a cada 6 horas, retenção 60 dias
• Membership com dados de usuário: backup em tempo real, retenção 90 dias

Para configuração de backup automático WordPress, veja o guia com plugins e configuração de rotina.

Camada 7 — Monitoramento e Resposta a Incidentes

Monitoramento detecta problemas que passaram pelas camadas anteriores. O tempo médio de detecção de uma invasão WordPress sem monitoramento é de 22 dias — tempo suficiente para o site ser usado para spam, phishing ou cryptomining.

O que monitorar:

• Novo usuário com papel admin criado
• Login de IP desconhecido com usuário admin
• Modificação em arquivos core WordPress
• Aumento súbito de tráfego (pode indicar uso como bot)
• Email da hospedagem alertando sobre uso excessivo de CPU ou SMTP

Resposta a incidente — ordem correta:

Se o site foi comprometido, veja o que fazer quando o WordPress é hackeado — o guia cobre a sequência correta de ações para minimizar o dano e evitar reinfecção.

A sequência errada (alterar senha antes de isolar o site) frequentemente resulta em reinfecção em menos de 6 horas.

---

Hardening Rápido — Checklist por Prioridade

Alta prioridade (fazer hoje):

• [ ] Todos os plugins e temas atualizados
• [ ] Nenhum plugin nulled instalado
• [ ] 2FA ativo para todos os admins
• [ ] Backup recente testado (confirmar restore)
• [ ] HTTPS ativo sem conteúdo misto

Média prioridade (próxima semana):

• [ ] Wordfence instalado e configurado com Learning Mode
• [ ] XML-RPC desativado se não utilizado
• [ ] DISALLOW_FILE_EDIT ativo no wp-config.php
• [ ] Prefixo do banco alterado (em instalação nova)

Baixa prioridade (próximo mês):

• [ ] Auditoria de usuários — remover contas inativas
• [ ] Rotação de senhas de administradores
• [ ] Revisão de permissões de pastas (755 para diretórios, 644 para arquivos)
• [ ] Monitoramento de integridade de arquivos ativo

---

Quando Contratar um Especialista

Site comprometido (malware encontrado, comportamentos estranhos, hospedagem suspendeu a conta): não tente a limpeza manual sem experiência — reinfecção é comum.

Veja a configuração de autenticação dois fatores para wp-admin se esse ainda não foi o primeiro passo.

Sites hospedados na FULL têm acesso a suporte de segurança com contexto de 150k sites — o histórico de padrões de ataque informa o diagnóstico de forma que um especialista isolado não tem.

---

FAQ

Conclusão

Segurança WordPress é uma prática contínua, não uma configuração única. As 7 camadas deste guia formam um modelo de defesa em profundidade — cada camada assume que as anteriores podem falhar.

A prioridade é clara: atualizar plugins e eliminar nulled resolve 78% do risco. 2FA resolve 14%. Firewall, SSL e backup cobrem o restante.

A FULL Services mantém 150k sites WordPress — o padrão de segurança que aplicamos internamente é o mesmo disponível nos planos para clientes. Configuração de Wordfence, backups automáticos e alertas de CVE estão incluídos.

---