---
title: "URL de login do WordPress: Como achar, mudar e proteger em 5 passos"
description: "A URL de login do WordPress é o endereço fixo que leva à tela de acesso do administrador, quase sempre seusite.com/wp-login.php ou seusite.com/wp-admin."
url: https://full.services/url-login-wordpress/
date: 2026-06-27
author: "Clayton Margiotti"
---
# URL de login do WordPress: Como achar, mudar e proteger em 5 passos
A **URL de login do WordPress** padrão é seusite.com/wp-login.php (ou /wp-admin), a tela de acesso ao painel. Segundo o [W3Techs](https://w3techs.com/technologies/details/cm-wordpress) (2026), o WordPress roda 41,5% dos sites da web, o que torna o login o alvo nº 1 de bots. Esconder o endereço corta a maior parte dos ataques automatizados. Achar, mudar e proteger a tela leva menos de 15 minutos.
A URL de login do WordPress é o endereço fixo que leva à tela de acesso do administrador, quase sempre seusite.com/wp-login.php ou seusite.com/wp-admin. Esse caminho é igual em praticamente toda instalação, o que facilita a vida de quem entra e também a de bots que tentam adivinhar senhas. Este tutorial mostra como encontrar a URL de login do WordPress, como redirecionar ou personalizar o caminho e como blindar a página contra ataques de força bruta. Se você gerencia mais de um site, vai ver também por que esse endereço muda quando o permalink é alterado. Para mais tutoriais de base, consulte os [tutoriais de WordPress da FULL](https://full.services/tutoriais-wordpress/).
---
## Diagnóstico rápido: Onde fica a URL de login do WordPress
A URL de login do WordPress fica em três caminhos previsíveis: seusite.com/wp-login.php, seusite.com/wp-admin e seusite.com/login. Em 99% das instalações novas, digitar /wp-admin já abre o formulário de acesso em menos de 1 segundo, porque ele redireciona direto para o arquivo wp-login.php que processa o login.
O segundo caminho redireciona para o primeiro; o terceiro só funciona com regra manual. Em site dentro de subpasta (seusite.com/blog), o login vira seusite.com/blog/wp-login.php. A tabela abaixo resume cada porta de entrada e quando usar.
URL de login do WordPress: caminhos padrão e comportamento
Caminho
Comportamento
Quando usar
/wp-login.php
Arquivo real que processa o login
Acesso direto e estável
/wp-admin
Redireciona para wp-login.php se não autenticado
Atalho mais fácil de memorizar
/login ou /admin
Não existe por padrão; exige regra manual
Apelido amigável criado por plugin
Legenda: a tela wp-login.php é o destino para o qual /wp-admin redireciona quando ninguém está autenticado.
## Por que o endereço wp-login.php muda em alguns sites
O endereço wp-login.php muda em 3 situações: estrutura de permalinks alterada, idioma do site ou um plugin de segurança que intervém no roteamento. Em instalações com WordPress Multisite, cada subsite herda o login na sua própria subpasta, e o caminho deixa de ser o genérico /wp-admin. O comportamento é determinístico: alterou a base do site, alterou o prefixo do login.
Mudar o [permalink](https://full.services/glossario/permalink/) de "simples" para "nome do post" não altera o login em si, mas plugins como o WPS Hide Login podem reescrever a rota. Quando o time do cliente reslugou rotas sem avisar, a maioria dos tickets de acesso que a gente vê no suporte da FULL nasce justamente desse descompasso: o atalho antigo retorna erro 404. Para entender a relação entre URLs amigáveis e roteamento, vale revisar como o WordPress monta o [dashboard](https://full.services/glossario/dashboard-wordpress/) a partir do endereço de acesso.
## Passo a passo: Como mudar a URL de login do WordPress
Mudar a URL de login do WordPress leva 4 etapas e cerca de 10 minutos com um plugin gratuito. O método mais seguro usa o WPS Hide Login ou o All in One Security, que reescrevem a rota sem editar arquivos de núcleo do WordPress 6.x sobre PHP 8.x.
Antes de começar, anote o novo endereço em local seguro: se você esquecer o caminho personalizado, perde o acesso ao painel e precisa reverter pelo banco de dados. Os passos abaixo seguem essa ordem por segurança.
### Passo 1: Instale o plugin de redirecionamento de login
Acesse Plugins e instale o WPS Hide Login (mais de 1 milhão de instalações ativas e nota 4,8 no repositório oficial) ou o módulo de login do plugin de segurança WordPress que você já usa. Ative o plugin: ele não exige configuração inicial e mantém /wp-login.php funcionando até você definir o novo caminho. A instalação leva menos de 2 minutos.
### Passo 2: Defina o novo caminho de acesso
Vá em Configurações e localize o campo "Login URL". Troque o valor padrão por algo único, como "acesso-painel-2049" ou "entrada-do-time". Evite palavras óbvias como "login", "admin" ou "entrar", que bots testam primeiro. Salve: a partir daí, seuite.com/wp-login.php e /wp-admin retornam 404 para quem não está autenticado, e só o novo endereço abre o formulário.
### Passo 3: Teste o login em janela anônima
Abra uma janela anônima e digite o novo endereço. Confirme que a tela de acesso aparece e que /wp-admin agora dá 404. Esse teste em sessão limpa evita o falso positivo do cache do navegador, que ainda guarda a sessão antiga. Se o caminho novo não abrir, limpe o cache do site e do [firewall](https://full.services/glossario/firewall-wordpress/) antes de concluir que algo quebrou.
### Passo 4: Registre o caminho e crie um plano de recuperação
Guarde o novo endereço em um gerenciador de senhas e documente como reverter: desativar o plugin pela linha de comando WP-CLI ou renomear a pasta do plugin via FTP restaura o /wp-login.php padrão na hora. Sem esse plano, esquecer o caminho personalizado vira um chamado de recuperação. Para casos extremos, redefinir a senha do WordPress direto pelo banco de dados MySQL restaura o acesso.
## Como proteger a URL de login do WordPress contra força bruta
Proteger a URL de login do WordPress exige 3 camadas, não apenas esconder o endereço. A combinação que mais reduz risco soma limitar tentativas, exigir segundo fator e bloquear por IP. Mudar o caminho corta o ruído de bots genéricos, mas atacantes direcionados ainda encontram o formulário em segundos.
Ferramentas de monitoramento como Wordfence e Patchstack registram campanhas de força bruta com milhões de tentativas por hora, volume que nenhuma senha forte sozinha aguenta sem rate limiting. As ferramentas a seguir cobrem cada uma das três camadas.
Primeiro, ative o controle de tentativas: veja [como limitar tentativas de login no WordPress](https://full.services/limitar-tentativas-de-login-wordpress/) para bloquear o IP após 5 erros. Segundo, adicione um [captcha na tela de login](https://full.services/captcha-login-wordpress/), que derruba scripts automatizados. Terceiro, configure a [autenticação de dois fatores](https://full.services/como-configurar-autenticacao-de-dois-fatores-no-wordpress/): mesmo com a senha vazada, o invasor para na etapa do código. Plugins como Wordfence e Limit Login Attempts Reloaded entregam as três camadas no plano gratuito. Para blindar o diretório administrativo, consulte como [proteger o wp-admin do WordPress](https://full.services/proteger-wp-admin-wordpress/).
## Como personalizar a tela de login sem mudar o endereço
Personalizar a tela de login muda a aparência do formulário, não a URL de login do WordPress em si. O endereço de processamento continua sendo o wp-login.php, mas você troca logo, cores e fundo para refletir a marca em menos de 10 minutos. Plugins gratuitos como LoginPress e Colorlib Login Customizer aplicam o tema sem tocar em uma linha de código.
Essa camada visual reduz a sensação de site genérico e ajuda em ambientes com vários editores, que reconhecem a tela certa de imediato. Um erro comum é confundir personalização com segurança: deixar o formulário bonito não impede força bruta, porque o endereço segue exposto. Mantenha as defesas de tentativa e dois fatores ativas e use a personalização apenas como acabamento. Quem quer ir além do visual padrão pode revisar como funciona o painel do WordPress por dentro para alinhar a experiência pós-login.
## Plano PRO da FULL: 17 plugins Premium por r$849 ao ano
Montar essas camadas com plugins avulsos premium custa caro: as licenças individuais de segurança, cache e formulários somam centenas de reais por ano por site. O plano PRO da FULL entrega 17 plugins premium ativados em 1 clique por R$849 ao ano, com Wordfence Premium e All in One Security já configurados.
Para quem gerencia 10 sites, isso equivale a R$85 por site no ano. A gente vê no suporte da FULL que centralizar as licenças reduz o tempo de manutenção e evita o plugin abandonado que vira porta de entrada para invasores. Compare os planos em [FULL.services/planos](https://full.services/planos) antes de comprar licenças separadas.
---
## Perguntas frequentes sobre a URL de login do WordPress
Como descubro a URL de login do WordPress se mudei o caminho e esqueci?
Acesse o site por FTP ou pelo gerenciador de arquivos da hospedagem e renomeie a pasta do plugin que escondeu o login (por exemplo, wps-hide-login) para desativá-lo. Isso restaura o /wp-login.php padrão na hora, sem perder dados. Em seguida, entre pelo caminho original e reconfigure o endereço personalizado com calma, anotando o novo valor em um gerenciador de senhas.
É possível mudar a URL de login do WordPress sem instalar plugin extra?
Sim, é possível, mas exige editar código e regras de servidor. Você pode reescrever a rota no arquivo functions.php do tema-filho ou criar regras no .htaccess para apontar um apelido ao wp-login.php. O risco é alto: um erro de sintaxe derruba o site inteiro. Para a maioria dos usuários, um plugin gratuito como o WPS Hide Login é mais seguro e leva menos de 5 minutos.
Por que o /wp-admin redireciona para wp-login.php no meu site?
O redirecionamento acontece porque /wp-admin é uma área restrita: o WordPress verifica se há sessão ativa e, se não houver, envia você para a tela de autenticação em wp-login.php. É o comportamento padrão de segurança desde versões antigas. Depois de entrar, /wp-admin passa a abrir o painel direto. Se o redirecionamento entrar em loop, quase sempre a causa é o endereço do site configurado errado em Configurações.
Quando vale a pena ocultar a URL de login do WordPress?
Vale a pena sempre que o site recebe tráfego real e está exposto a bots, o que é praticamente todo site publicado. Ocultar o endereço corta a maior parte das tentativas automatizadas, que miram o /wp-login.php genérico. Não substitui limitar tentativas nem o dois fatores, mas reduz o ruído nos logs e o consumo de servidor. Veja o passo completo em [como ocultar o login do WordPress](https://full.services/ocultar-login-wordpress/).
Qual a diferença entre wp-login.php e a página de login personalizada?
O wp-login.php é o arquivo de núcleo que processa a autenticação; a página de login personalizada é uma tela com o visual da sua marca que envia os dados para esse mesmo arquivo. Personalizar muda só a aparência, não o endereço de processamento. Para criar uma tela com a identidade do site, veja como montar uma [página de login personalizada no WordPress](https://full.services/pagina-login-personalizada-wordpress/) sem quebrar a rota de acesso.
## Próximos passos para blindar o acesso ao painel
Encontrar a URL de login do WordPress é simples; o trabalho real é mudar o caminho e somar camadas de defesa. Comece pelo diagnóstico dos três caminhos padrão, troque o endereço com um plugin gratuito e ative limitação de tentativas, captcha e dois fatores na sequência. A combinação derruba quase todo o tráfego de força bruta sem comprometer a usabilidade do time. Se um endereço esquecido travou seu acesso, o caminho de recuperação por FTP resolve em minutos, como mostramos na FAQ. Para continuar aprendendo, o [FULL Academy](https://full.services/academy/) reúne os tutoriais, guias e reviews de WordPress em um só lugar.
---
## Metadados Estruturados (Schema.org)
```json-ld
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "TechArticle",
"@id": "https://full.services/url-login-wordpress/#article",
"headline": "URL de login do WordPress: Como achar, mudar e proteger em 5 passos",
"description": "A URL de login do WordPress é o endereço fixo que leva à tela de acesso do administrador, quase sempre seusite.com/wp-login.php ou seusite.com/wp-admin.",
"url": "https://full.services/url-login-wordpress/",
"datePublished": "2026-06-27T09:00:00-03:00",
"dateModified": "2026-06-27T09:00:00-03:00",
"inLanguage": "pt-BR",
"articleSection": "Tutoriais WordPress",
"keywords": [
"url de login do wordpress",
"WordPress",
"Web Development"
],
"author": {
"@id": "https://full.services/#person-clayton"
},
"publisher": {
"@id": "https://full.services/#org"
},
"about": [
{
"@type": "Thing",
"name": "WordPress",
"@id": "https://www.wikidata.org/wiki/Q13166",
"sameAs": "https://www.wikidata.org/wiki/Q13166"
},
{
"@type": "Thing",
"name": "Web Development",
"@id": "https://www.wikidata.org/wiki/Q386275",
"sameAs": "https://www.wikidata.org/wiki/Q386275"
}
],
"mentions": [
{
"@type": "Organization",
"name": "WordPress",
"url": "https://wordpress.org/",
"@id": "https://www.wikidata.org/wiki/Q13166",
"sameAs": "https://www.wikidata.org/wiki/Q13166"
}
],
"mainEntityOfPage": {
"@type": "WebPage",
"@id": "https://full.services/url-login-wordpress/"
},
"wordCount": 2034,
"citation": [
{
"@type": "CreativeWork",
"name": "W3Techs",
"url": "https://w3techs.com/technologies/details/cm-wordpress",
"publisher": {
"@type": "Organization",
"name": "W3Techs"
}
}
]
},
{
"@type": "FAQPage",
"@id": "https://full.services/url-login-wordpress/#faq",
"isPartOf": {
"@id": "https://full.services/url-login-wordpress/#article"
},
"mainEntity": [
{
"@type": "Question",
"@id": "https://full.services/url-login-wordpress/#faq-q1",
"name": "Como descubro a URL de login do WordPress se mudei o caminho e esqueci?",
"inLanguage": "pt-BR",
"acceptedAnswer": {
"@type": "Answer",
"text": "Acesse o site por FTP ou pelo gerenciador de arquivos da hospedagem e renomeie a pasta do plugin que escondeu o login (por exemplo, wps-hide-login) para desativá-lo. Isso restaura o /wp-login.php padrão na hora, sem perder dados. Em seguida, entre pelo caminho original e reconfigure o endereço personalizado com calma, anotando o novo valor em um gerenciador de senhas.",
"author": {
"@id": "https://full.services/#org"
}
}
},
{
"@type": "Question",
"@id": "https://full.services/url-login-wordpress/#faq-q2",
"name": "É possível mudar a URL de login do WordPress sem instalar plugin extra?",
"inLanguage": "pt-BR",
"acceptedAnswer": {
"@type": "Answer",
"text": "Sim, é possível, mas exige editar código e regras de servidor. Você pode reescrever a rota no arquivo functions.php do tema-filho ou criar regras no .htaccess para apontar um apelido ao wp-login.php. O risco é alto: um erro de sintaxe derruba o site inteiro. Para a maioria dos usuários, um plugin gratuito como o WPS Hide Login é mais seguro e leva menos de 5 minutos.",
"author": {
"@id": "https://full.services/#org"
}
}
},
{
"@type": "Question",
"@id": "https://full.services/url-login-wordpress/#faq-q3",
"name": "Por que o /wp-admin redireciona para wp-login.php no meu site?",
"inLanguage": "pt-BR",
"acceptedAnswer": {
"@type": "Answer",
"text": "O redirecionamento acontece porque /wp-admin é uma área restrita: o WordPress verifica se há sessão ativa e, se não houver, envia você para a tela de autenticação em wp-login.php. É o comportamento padrão de segurança desde versões antigas. Depois de entrar, /wp-admin passa a abrir o painel direto. Se o redirecionamento entrar em loop, quase sempre a causa é o endereço do site configurado errado em Configurações.",
"author": {
"@id": "https://full.services/#org"
}
}
},
{
"@type": "Question",
"@id": "https://full.services/url-login-wordpress/#faq-q4",
"name": "Quando vale a pena ocultar a URL de login do WordPress?",
"inLanguage": "pt-BR",
"acceptedAnswer": {
"@type": "Answer",
"text": "Vale a pena sempre que o site recebe tráfego real e está exposto a bots, o que é praticamente todo site publicado. Ocultar o endereço corta a maior parte das tentativas automatizadas, que miram o /wp-login.php genérico. Não substitui limitar tentativas nem o dois fatores, mas reduz o ruído nos logs e o consumo de servidor. Veja o passo completo em como ocultar o login do WordPress .",
"author": {
"@id": "https://full.services/#org"
}
}
},
{
"@type": "Question",
"@id": "https://full.services/url-login-wordpress/#faq-q5",
"name": "Qual a diferença entre wp-login.php e a página de login personalizada?",
"inLanguage": "pt-BR",
"acceptedAnswer": {
"@type": "Answer",
"text": "O wp-login.php é o arquivo de núcleo que processa a autenticação; a página de login personalizada é uma tela com o visual da sua marca que envia os dados para esse mesmo arquivo. Personalizar muda só a aparência, não o endereço de processamento. Para criar uma tela com a identidade do site, veja como montar uma página de login personalizada no WordPress sem quebrar a rota de acesso.",
"author": {
"@id": "https://full.services/#org"
}
}
}
]
},
{
"@type": "BreadcrumbList",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Home",
"item": "https://full.services/"
},
{
"@type": "ListItem",
"position": 2,
"name": "Tutoriais WordPress",
"item": "https://full.services/tutoriais-wordpress/"
},
{
"@type": "ListItem",
"position": 3,
"name": "URL de login do WordPress: Como achar, mudar e proteger em 5 passos",
"item": "https://full.services/url-login-wordpress/"
}
]
},
{
"@type": "Organization",
"@id": "https://full.services/#org",
"name": "FULL Services",
"url": "https://full.services",
"logo": {
"@type": "ImageObject",
"url": "https://full.services/wp-content/uploads/full-services-logo.png",
"width": 200,
"height": 60
},
"sameAs": [
"https://www.instagram.com/fullservicesbr",
"https://www.facebook.com/fullservices.br",
"https://www.linkedin.com/company/fullservicesbr/"
],
"knowsAbout": [
"WordPress",
"WordPress Hosting",
"Web Development",
"Performance Optimization",
"WordPress Security",
"SEO para WordPress"
],
"award": [
"Gold Medal - The WP Weekly Awards 2023 (https://thewpweekly.com/awards-2023/)",
"Gold Medal - The WP Weekly Awards 2024 (https://thewpweekly.com/awards-2024/)"
],
"hasCredential": {
"@type": "EducationalOccupationalCredential",
"credentialCategory": "certification",
"name": "CVE Numbering Authority (CNA)",
"description": "Autoridade de numeração de vulnerabilidades (CVE) para o ecossistema WordPress, autorizada a atribuir IDs CVE. Certificação válida desde 2022-05-03, com abrangência global.",
"url": "https://www.cve.org/PartnerInformation/ListofPartners/partner/FULL",
"recognizedBy": {
"@type": "Organization",
"name": "CISA — Cybersecurity and Infrastructure Security Agency",
"url": "https://www.cisa.gov/",
"sameAs": "https://www.cisa.gov/"
}
}
},
{
"@type": "Person",
"@id": "https://full.services/#person-clayton",
"name": "Clayton Margiotti",
"givenName": "Clayton",
"familyName": "Margiotti",
"jobTitle": "Fundador e CEO da FULL Services",
"description": "Fundador e CEO da FULL Services, plataforma WordPress SaaS com 50 mil clientes e 150 mil sites conectados, e anchor do ecossistema Elevor Global. Em 2024 conduziu a FULL a se tornar a primeira e unica empresa brasileira aprovada como CVE Numbering Authority sob a CISA (DHS/EUA). Mais de 20 anos construindo empresas digitais, com 13+ reconhecimentos internacionais (Facebook, GPTW, ONU, RD Summit).",
"url": "https://full.services/sobre-nos/",
"image": "https://full.services/wp-content/uploads/2026/05/clayton-margiotti.jpg",
"sameAs": [
"https://www.linkedin.com/in/cmargiotti/"
],
"knowsAbout": [
"Artificial Intelligence",
"Cybersecurity",
"CVE Program",
"WordPress Enterprise",
"SaaS Platforms",
"Digital Infrastructure",
"Technology Entrepreneurship",
"Company Building",
"Business Leadership",
"Digital Growth"
],
"hasOccupation": {
"@type": "Occupation",
"name": "Fundador e CEO",
"occupationalCategory": "11-1011.00"
},
"knowsLanguage": [
{
"@type": "Language",
"name": "Portuguese",
"alternateName": "pt-BR"
},
{
"@type": "Language",
"name": "English",
"alternateName": "en"
}
],
"memberOf": {
"@type": "Organization",
"name": "CVE Numbering Authorities",
"url": "https://www.cve.org/",
"sameAs": "https://www.cve.org/"
},
"alumniOf": [
{
"@type": "EducationalOrganization",
"name": "Global Scaling Academy (Blitzscaling Program)",
"url": "https://www.blitzscalingacademy.com"
},
{
"@type": "EducationalOrganization",
"name": "Esade",
"url": "https://www.esade.edu"
},
{
"@type": "EducationalOrganization",
"name": "Business School Sao Paulo (BSP)",
"url": "https://bsp.edu.br/"
},
{
"@type": "EducationalOrganization",
"name": "Tera",
"url": "https://somostera.com"
},
{
"@type": "EducationalOrganization",
"name": "Le Wagon",
"url": "https://www.lewagon.com"
},
{
"@type": "EducationalOrganization",
"name": "FIAP",
"url": "https://www.fiap.com.br"
},
{
"@type": "EducationalOrganization",
"name": "PUCRS",
"url": "https://online.pucrs.br/"
}
],
"award": [
"Digital Disruptor – Engaging Experiences Master (Globant, 2021)",
"Maior ROI do e-commerce brasileiro – Letrissimas (Facebook, 2019)",
"1º lugar – Melhores Empresas para Trabalhar no Brasil – Eleva Digital (Great Place to Work, 2018)",
"Case global de educacao no Facebook – Metodo SUPERA (Facebook, 2017)",
"Maquina de Geracao de Leads, Agencia do Ano (RD Summit / RD Station, 2015)",
"Monthly Recurring Revenue, top performance (RD Summit / RD Station, 2015)",
"Quality/Efficiency – Entrepreneurship Training (UNCTAD / PNUD-ONU, 2010)"
],
"subjectOf": [
{
"@type": "NewsArticle",
"url": "https://www.globant.com/news/globant-reveals-inaugural-digital-disruptors-award-winners",
"publisher": {
"@type": "Organization",
"name": "Globant"
}
},
{
"@type": "NewsArticle",
"url": "https://www.prnewswire.com/news-releases/letrissimas-com-e-destaque-do-e-commerce-brasileiro-com-maior-roi-de-2018-877517801.html",
"publisher": {
"@type": "Organization",
"name": "PR Newswire"
}
},
{
"@type": "NewsArticle",
"url": "https://www.segs.com.br/seguros/102599-gestao-de-pessoas-garante-mais-lucro-as-empresas",
"publisher": {
"@type": "Organization",
"name": "Segs"
}
},
{
"@type": "NewsArticle",
"url": "https://franquiaeducacional.com/negocios-inovadores-facebook-elege-supera-case-mundial-de-educacao",
"publisher": {
"@type": "Organization",
"name": "Franquia Educacional"
}
},
{
"@type": "NewsArticle",
"url": "https://acontecendoaqui.com.br/marketing/resultados-digitais-divulga-vencedores-do-premio-agencias-de-resultados-2015-durante-o-rd",
"publisher": {
"@type": "Organization",
"name": "Acontecendo Aqui"
}
}
],
"worksFor": {
"@type": "Organization",
"@id": "https://full.services/#org"
}
},
{
"@type": "HowTo",
"@id": "https://full.services/url-login-wordpress/#howto",
"isPartOf": {
"@id": "https://full.services/url-login-wordpress/#article"
},
"name": "Passo a passo: url de login do wordpress",
"description": "Guia passo a passo sobre url de login do wordpress para WordPress.",
"url": "https://full.services/url-login-wordpress/",
"totalTime": "PT24M",
"author": {
"@type": "Organization",
"@id": "https://full.services/#org"
},
"step": [
{
"@type": "HowToStep",
"position": 1,
"name": "Passo 1: Instale o plugin de redirecionamento de login",
"text": "Acesse Plugins e instale o WPS Hide Login (mais de 1 milhão de instalações ativas e nota 4,8 no repositório oficial) ou o módulo de login do plugin de segurança WordPress que você já usa. Ative o plugin: ele não exige configuração inicial e mantém /wp-login.php funcionando até você definir o novo caminho. A instalação leva menos de 2 minutos."
},
{
"@type": "HowToStep",
"position": 2,
"name": "Passo 2: Defina o novo caminho de acesso",
"text": "Vá em Configurações e localize o campo "Login URL". Troque o valor padrão por algo único, como "acesso-painel-2049" ou "entrada-do-time". Evite palavras óbvias como "login", "admin" ou "entrar", que bots testam primeiro. Salve: a partir daí, seuite.com/wp-login.php e /wp-admin retornam 404 para quem não está autenticado, e só o novo endereço abre o formulário."
},
{
"@type": "HowToStep",
"position": 3,
"name": "Passo 3: Teste o login em janela anônima",
"text": "Abra uma janela anônima e digite o novo endereço. Confirme que a tela de acesso aparece e que /wp-admin agora dá 404. Esse teste em sessão limpa evita o falso positivo do cache do navegador, que ainda guarda a sessão antiga. Se o caminho novo não abrir, limpe o cache do site e do firewall antes de concluir que algo quebrou."
},
{
"@type": "HowToStep",
"position": 4,
"name": "Passo 4: Registre o caminho e crie um plano de recuperação",
"text": "Guarde o novo endereço em um gerenciador de senhas e documente como reverter: desativar o plugin pela linha de comando WP-CLI ou renomear a pasta do plugin via FTP restaura o /wp-login.php padrão na hora. Sem esse plano, esquecer o caminho personalizado vira um chamado de recuperação. Para casos extremos, redefinir a senha do WordPress direto pelo banco de dados MySQL restaura o acesso. Proteger a URL de login do WordPress exige 3 camadas, não apenas esconder o endereço. A combinação que mais reduz risco soma limitar tentativas, exigir segundo fator e bloquear por IP. Mudar o caminho corta o ruído de bots genéricos, mas atacantes direcionados ainda encontram o formulário em segundos. Ferramentas de monitoramento como Wordfence e Patchstack registram campanhas de força bruta com milhões de tentativas por hora, volume que nenhuma senha forte sozinha aguenta sem rate limiting. As ferramentas a seguir cobrem cada uma das três camadas. Primeiro, ative o controle de tentativas: veja como limitar tentativas de login no WordPress para bloquear o IP após 5 erros. Segundo, adicione um