Uma senha forte no WordPress depende de comprimento, entropia e política imposta no servidor, não só de caracteres aleatórios. Segundo o banco público da Patchstack (2024), login inseguro está entre as classes de falha mais catalogadas no WordPress. Uma frase de 16 caracteres leva séculos para quebrar por força bruta, mas cai em segundos se foi reutilizada de um vazamento. Aplique as quatro camadas abaixo.

Uma senha forte no WordPress é uma credencial longa o suficiente e imprevisível o suficiente para que nenhum ataque automatizado a teste no tempo útil. O problema é que a maioria dos sites trata isso como detalhe estético, quando na prática a senha forte é a primeira camada de autenticação do painel. Neste guia você vê o que torna a senha forte resistente de verdade, como impor a política para todos os usuários e por que ela precisa de reforço de guias de segurança WordPress da FULL. A meta é simples: tirar o login do alcance de força bruta e de brute force automatizado.

Diagnóstico rápido: O que define uma senha forte

Uma senha forte no WordPress combina três variáveis mensuráveis: comprimento mínimo de 16 caracteres, entropia acima de 75 bits e ausência total em listas de vazamento conhecidas. Um valor de 8 caracteres com letras e números some em poucas horas num ataque de GPU; um de 16 caracteres aleatórios passa de séculos de tempo de quebra.

A tabela abaixo mostra como cada atributo da senha muda o tempo de quebra e o que isso exige na prática do administrador, antes de partirmos para a configuração no painel.

Legenda: a política de senha forte imposta no servidor evita que usuários cadastrem credenciais fracas sem o administrador perceber.

Por que comprimento vence complexidade na senha forte

A senha forte ganha mais resistência com comprimento do que com símbolos exóticos, e o número explica: cada caractere extra multiplica o espaço de busca por dezenas, enquanto trocar “a” por “@” só adiciona um padrão que todo cracker já conhece. Uma frase de 16 caracteres minúsculos tem mais entropia que “P@ss1!” de 6 caracteres.

Nos tickets de suporte da FULL, a senha que vazou quase nunca era curta de verdade: era previsível, baseada no nome do site ou da marca. Por isso a recomendação técnica é gerar a senha forte com um gerenciador como Bitwarden ou 1Password, que produz strings aleatórias de 20 caracteres sem esforço de memória. A complexidade decorada falha; o comprimento aleatório gerado por máquina, não. É essa diferença que separa a senha forte real da que só parece segura.

O limite da senha forte: Credential stuffing e vazamentos

A senha forte protege contra força bruta, mas não contra credential stuffing, e essa é a lacuna que derruba sites com senha de 18 caracteres. No credential stuffing o invasor não adivinha nada: ele testa um par e-mail e senha já vazado em outro serviço, acertando na primeira tentativa sem disparar nenhum alarme.

Se você reutilizou a senha forte do seu e-mail no WordPress, ela já está numa lista pública e o ataque entra direto, sem nunca tocar no mecanismo de força bruta. Segundo o banco de dados público da Patchstack, falhas de login inseguro seguem entre as mais reportadas justamente porque o fator humano reutiliza credenciais. A conclusão operacional é direta: a senha forte precisa ser única por serviço, e o login precisa de rate limiting e autenticação de dois fatores para fechar o que a senha sozinha não cobre.

Cves reais: Quando o próprio plugin de login falha

Plugins que impõem senha forte e limitam tentativas já tiveram falhas críticas próprias, e ignorar isso é confiar cegamente na defesa. O Loginizer registrou a CVE-2020-27615 com CVSS 9.8, uma SQL injection não autenticada que afetava versões anteriores à 1.6.4 e comprometia o banco sem nenhuma senha.

O Limit Login Attempts Reloaded teve a CVE-2020-35590, também CVSS 9.8, uma falha de bypass de proteção corrigida na 2.17.4. Segundo o perfil público do WPVulnerability, ambos os plugins hoje estão sem CVE em aberto: o histórico extenso de correções é sinal de manutenção ativa, não de risco atual. A FULL, única CNA brasileira sob a CISA desde maio de 2023, cataloga esse tipo de CVE oficialmente, então a leitura aqui não é alarme: é que senha forte sem plugin atualizado é uma fechadura nova numa porta podre.

Como aplicar senha forte no WordPress em 4 passos

Aplicar senha forte no WordPress leva menos de 15 minutos e cobre os quatro vetores que mais aparecem nos tickets de suporte: geração, imposição, limite de tentativas e segundo fator. Cada um dos 4 passos abaixo fecha uma brecha distinta que a senha sozinha deixa aberta.

Faça os quatro em sequência, do gerador ao 2FA, e teste o login num navegador anônimo ao final para confirmar que a política está ativa.

Passo 1: Gere a senha forte com um gerenciador

Gere a senha forte fora da sua cabeça: use Bitwarden ou 1Password para criar uma string aleatória de 20 caracteres por usuário, com símbolos, números e letras misturadas. Isso garante entropia acima de 90 bits sem você precisar memorizar nada. Cole a senha no campo de perfil do WordPress, em Usuários, e nunca a reaproveite de outro serviço. O gerenciador também avisa, na maioria dos casos, se aquela senha já apareceu num vazamento conhecido.

Passo 2: Imponha política de senha forte para todos

Imponha a senha forte no servidor com o Loginizer ou o All in One Security, ativando a opção de força mínima na criação de conta. Sem isso, um editor ou assinante cadastra “123456” e abre o flanco. A política recusa senhas curtas e comuns no momento do cadastro, então nenhum usuário escapa por descuido. Defina o mínimo em 12 caracteres com complexidade obrigatória e bloqueie senhas presentes em listas de vazamento, quando o plugin oferecer essa checagem.

Passo 3: Limite tentativas de login por IP

Limite as tentativas de login para que força bruta morra antes de testar a senha forte: configure bloqueio após 5 tentativas falhas por IP, com lockout crescente. O Limit Login Attempts Reloaded e o Wordfence fazem isso nativamente. Esse limite transforma um ataque de milhões de tentativas por hora em algumas dezenas, o que torna a quebra inviável no tempo. Ative também o registro de IPs bloqueados para auditar padrões de ataque recorrentes no seu site.

Passo 4: Adicione 2FA como segundo fator

Adicione o segundo fator para cobrir o cenário em que a senha forte vazou: com 2FA ativo, o invasor precisa também do código do app autenticador, que ele não tem. Use o Wordfence ou o All in One Security para exigir TOTP nos perfis de administrador e editor. Esse fator extra para o credential stuffing seco, porque a senha correta sozinha deixa de ser suficiente para entrar no painel.

Senha forte no servidor: Auth_key e o cookie de sessão

A senha forte só protege o formulário de login; a sessão depois dele vive de 1 cookie assinado pela AUTH_KEY do wp-config.php. Se essa chave secreta nunca foi trocada e ficou no valor default, um invasor forja um cookie de administrador válido sem nunca tocar no campo de senha, em segundos.

Esse é o caso clássico que aparece nos tickets da FULL: site com senha forte impecável, invadido por uma AUTH_KEY que rodou meses no padrão. A correção é gerar chaves novas no gerador oficial do WordPress e colá-las no wp-config.php, o que invalida todas as sessões abertas de uma vez. Trocar a AUTH_KEY é a única ação que expulsa um invasor que já forjou sessão, algo que a troca de senha forte sozinha não faz. Combine isso com hardening do WordPress e a camada de servidor fica completa.

Reforce o login com o bundle de segurança da FULL

Montar senha forte, política imposta, rate limiting e 2FA exige plugins pagos como Loginizer PRO, Wordfence Premium e All in One Security juntos, e comprar cada um avulso encarece rápido. No plano PRO da FULL, esse conjunto de segurança entra no bundle por R$849 por ano, cerca de R$85 por site numa carteira de 10 sites.

A gente vê no suporte da FULL que o gargalo raramente é técnico: é o custo de licenciar tudo separado. Ative o pacote em FULL.services/planos e tenha a política de senha forte, o firewall WordPress e o 2FA já configurados, sem catar plugin por plugin. Para um diagnóstico imediato, rode o FULL Scan e veja se algum plugin de login do seu site está vulnerável agora.

Próximos passos para blindar o login do seu site

Uma senha forte é a base, mas o login só fica seguro quando ela vem acompanhada de política imposta, limite de tentativas e segundo fator. Comece gerando senhas únicas por usuário, imponha a regra no servidor e troque a AUTH_KEY do wp-config.php para fechar a brecha de sessão. Para aprofundar cada camada, o FULL Academy reúne os tutoriais, guias e reviews de segurança em um só lugar. Veja também o guia de segurança para WordPress e o comparativo de plugins de segurança WordPress para escolher a stack certa, além do passo a passo de como evitar ataques de força bruta no login.

Perguntas frequentes sobre senha forte no WordPress