Duplicator Duplicator
Duplicator Duplicator
Anunciando Staging com Um Clique e Restaurações Remotas na Nuvem para Mudanças Ousadas, Consequências Zero

Anunciando Staging com Um Clique e Restaurações Remotas na Nuvem para Mudanças Ousadas, Consequências Zero

Pare de quebrar seu site ativo. O staging com um clique e as restaurações remotas na nuvem do Duplicator permitem que você teste mudanças e recupere mesmo que seu servidor esteja completamente inativo!

Continue Reading →
Segurança do WordPress

Checklist de Segurança do WordPress: Guia Passo a Passo para Proteger Seu Site

· · 22 min read ·
Written By: avatar do autor Joella Dunn
avatar do autor Joella Dunn
Joella is a writer with years of experience in WordPress. At Duplicator, she specializes in site maintenance — from basic backups to large-scale migrations. Her ultimate goal is to make sure your WordPress website is safe and ready for growth.
See Full Bio
·
Reviewed By: avatar do revisor John Turner
avatar do revisor John Turner
John Turner is the President of Duplicator. He has over 20+ years of business and development experience and his plugins have been downloaded over 25 million times.
See Full Bio

Precisa melhorar a segurança do seu WordPress?

Se você não proteger seu site WordPress, ele ficará vulnerável a hackers. Eles podem encontrar áreas fracas, alterar seu conteúdo, roubar informações de usuários ou quebrar seu site. Isso pode prejudicar seriamente seus negócios e sua reputação. 

Neste post do blog, darei a você uma lista de verificação completa de segurança do WordPress! Você aprenderá as melhores práticas de segurança, para que seu site nunca seja invadido.

Aqui estão os principais pontos:

  • Escolha um host da web seguro com certificados SSL, firewalls e backups regulares para construir uma base de segurança sólida
  • Faça backup automático do seu site na nuvem para que você possa restaurá-lo se algo der errado
  • Mantenha o núcleo, os plugins e os temas do WordPress atualizados para corrigir vulnerabilidades de segurança
  • Use senhas fortes e exclusivas e ative a autenticação de dois fatores para evitar ataques de força bruta
  • Instale plugins de segurança como o Sucuri para adicionar firewalls, verificação de malware e monitoramento de ameaças
  • Oculte sua página de login, limite as tentativas de login e desative recursos desnecessários como XML-RPC para reduzir ataques
  • Monitore a atividade do usuário e limite o acesso de administradores para minimizar o risco de violações de segurança internas

Sumário

O WordPress é Seguro?

Sim, o WordPress é fundamentalmente seguro. Dito isso, como qualquer outra plataforma online, ele não está imune a riscos. 

Com milhões de sites em todo o mundo dependendo do WordPress, pode apostar que a plataforma leva a segurança a sério. Eles lançam atualizações regulares para manter o software seguro.

Mas como é uma plataforma de código aberto, qualquer um pode analisar o código-fonte, potencialmente encontrando vulnerabilidades para explorar. 

No entanto, muitos hackers obtêm acesso a sites WordPress através da negligência do proprietário do site. Se o seu software principal do WordPress estiver desatualizado ou você tiver uma senha fraca, isso pode deixar seu site extremamente vulnerável. 

Isso nos diz que a segurança do WordPress não é algo para ser levado de ânimo leve. O WordPress tem uma base sólida, mas você ainda terá algumas tarefas de manutenção de rotina para aumentar sua segurança. 

Por que a segurança do WordPress é importante?

Você tem trabalhado incansavelmente em seu blog ou loja de e-commerce. Tudo está indo bem até que você acorda uma manhã e descobre que tudo desapareceu. 

É por isso que a segurança do WordPress é tão importante. Usando boas medidas de segurança, você protegerá seu site contra ameaças. Isso reduz significativamente suas chances de ser vítima de ataques e violações de dados. 

Além de manter seu conteúdo seguro, um site seguro também é mais atraente para os visitantes. Quando os visitantes sabem que estão seguros, é mais provável que permaneçam. 

Além disso, os motores de busca também tendem a favorecer sites seguros nas classificações. Quanto mais você proteger o WordPress, mais seu SEO melhorará

Em resumo, investir em segurança do WordPress é como comprar um alarme residencial. Pode ser um pouco trabalhoso instalá-lo, mas definitivamente vale a pena no final.

Seu Checklist de Segurança do WordPress

Como iniciante, você pode estar pensando: por onde começo?

Criei um checklist completo de segurança do WordPress para você! Simplesmente siga cada etapa e, ao final, você terá um site totalmente seguro.

Checklist Rápido de Segurança do WordPress:

  • Encontre uma Hospedagem Segura: Escolha uma hospedagem com fortes protocolos de segurança, certificados SSL, firewalls e backups regulares
  • Faça Backup do seu Site: Use plugins como o Duplicator para automatizar backups na nuvem e proteger seus dados
  • Atualize o Software: Mantenha o core, plugins e temas do WordPress atualizados para corrigir vulnerabilidades
  • Remova Plugins e Temas Não Utilizados: Exclua softwares inativos para eliminar possíveis falhas de segurança
  • Use Senhas Fortes: Crie senhas únicas e complexas com caracteres mistos e evite frases comuns
  • Atualize o Acesso de Administrador: Limite usuários administradores, remova contas inativas e atribua privilégios mínimos
  • Oculte a Página de Login do WordPress: Personalize o URL de login para evitar ataques de força bruta
  • Monitore a Atividade do Usuário: Rastreie as ações dos usuários para identificar violações de segurança e alterações indesejadas
  • Instale um Plugin de Segurança do WordPress: Use ferramentas como Sucuri para verificação de malware e notificações de segurança
  • Use um Firewall de Aplicação Web (WAF): Bloqueie tráfego malicioso com firewalls de nível DNS ou de aplicação
  • Verifique se há Malware: Verifique regularmente seu site em busca de vírus e ameaças com plugins de segurança
  • Mude para SSL/HTTPS: Ative certificados SSL para criptografar dados entre usuários e seu servidor
  • Altere seu Nome de Usuário: Evite nomes de usuário previsíveis como “admin” para reduzir vulnerabilidades de login
  • Atualize as Permissões de Arquivo: Defina permissões adequadas (755 para pastas, 644 para arquivos) para controlar o acesso
  • Desative a Edição de Arquivos: Desligue o editor de arquivos do WordPress para impedir que hackers injetem código malicioso
  • Desative a Execução de Arquivos PHP: Bloqueie a execução de arquivos PHP em diretórios de upload para interromper ataques
  • Limite as Tentativas de Login: Restrinja o número de tentativas de login de um único endereço IP
  • Use Autenticação de Dois Fatores: Adicione uma etapa extra de verificação com códigos móveis para segurança de login
  • Altere o Prefixo do Banco de Dados do WordPress: Substitua o prefixo padrão “wp_” para tornar os nomes das tabelas mais difíceis de adivinhar
  • Proteja com Senha as Páginas de Admin e de Login: Adicione uma camada extra de senha antes que os usuários cheguem à tela de login
  • Desative a Indexação e Navegação de Diretórios: Oculte o conteúdo dos diretórios para proteger os arquivos de serem visualizados
  • Desative o XML-RPC: Desligue esta API para impedir que hackers explorem vulnerabilidades de adivinhação de senha
  • Faça Logout de Usuários Inativos: Desconecte automaticamente usuários inativos para evitar o sequestro de sessão
  • Oculte sua Versão do WordPress: Remova números de versão do código-fonte para evitar ataques direcionados
  • Restaure seu Site Após Ataques: Use ferramentas de backup com recuperação de desastres (Duplicator Pro) para restaurar rapidamente sites comprometidos

1. Encontre um provedor de hospedagem web seguro

Escolher um provedor de hospedagem web é mais do que apenas verificar o preço. O que você precisa é de um host que seja apaixonado por segurança.

Procure um provedor de hospedagem web que ofereça o que há de mais moderno em protocolos de segurança. Seus servidores devem ser mantidos e atualizados. Também é ótimo se ele tiver um firewall robusto e oferecer certificados SSL. 

E, finalmente, descubra se o provedor de hospedagem web oferece backups regulares e restaurações de site. Você esperaria nunca precisar dessa rede de segurança, mas é bom ter uma, por precaução.

Se você atualmente tem um plano de hospedagem compartilhada, pode querer fazer um upgrade para hospedagem WordPress gerenciada. Com um host compartilhado, você compartilhará recursos com outros sites. Se alguém em seu servidor tiver uma violação de segurança, isso também poderá afetar seu site.

No entanto, hosts compartilhados de boa reputação como Bluehost, Hostinger e SiteGround o protegerão de muitos problemas básicos de segurança.

Depois de encontrar um host WordPress seguro, veja como migrar seu site para o novo servidor

2. Faça backup do seu site

Quando você começar seu site, provavelmente ficará animado para escrever novos posts de blog ou vender produtos. No entanto, você também precisará fazer backup do seu site regularmente.

Backups são uma apólice de seguro para seu conteúdo digital. Eles permitem que você restaure seu site ao seu estado original se algo der errado.

Duplicator é um plugin de backup que facilita a criação de cópias do seu site. Ele suporta backups automáticos e armazenamento em nuvem, para que você nunca perca dados.

plugin Duplicator Pro
Comece com o Duplicator

Geralmente é melhor armazenar backups em um servidor de nuvem separado para uma camada extra de segurança. Dessa forma, seus backups não serão perdidos se ocorrer um problema no servidor.

Com o Duplicator, você pode fazer backup do seu site na nuvem. Basta conectar seu serviço de armazenamento em nuvem preferido e selecioná-lo ao criar um backup.

Locais de armazenamento de backup

Você poderá personalizar quais dados são salvos no backup. Assim, você pode facilmente fazer backup apenas do seu banco de dados, biblioteca de mídia ou outros dados, se precisar.

Backup personalizado

Seu site está constantemente sendo atualizado com novo conteúdo, então você precisará fazer backup dele regularmente. Felizmente, o Duplicator permite que você automatize os backups.

Backups agendados do Duplicator

Ao configurar agendamentos, você nunca terá que se preocupar com backups manuais! Seu site estará constantemente seguro contra quaisquer problemas, pois você pode simplesmente reverter seu site quando eles acontecerem.

Junto com o Duplicator, existem muitos outros plugins de backup que você pode usar. UpdraftPlus, Jetpack e BlogVault são algumas opções populares. 

3. Atualize o software

Atualizações de software desempenham um papel crucial na segurança do WordPress. Elas não apenas adicionam funcionalidades extras, mas também corrigem quaisquer vulnerabilidades potenciais. 

O WordPress instalará automaticamente atualizações menores. Mas você terá que instalar manualmente quaisquer versões principais. 

Encontre a página Atualizações e realize quaisquer atualizações para seu software principal, plugins e temas.

Atualizar software do WordPress

Atualizações de segurança acontecem o tempo todo, então você terá que ficar de olho nelas. Para sua conveniência, você também pode automatizá-las. 

No entanto, eu recomendaria testar novas versões do WordPress, plugins e temas em um site de staging primeiro. Isso ajuda você a evitar quaisquer conflitos de software que às vezes acontecem após atualizações ruins.

4. Remova plugins e temas não utilizados

Limpar seu site pode dar um bom impulso de segurança. É uma boa ideia descartar quaisquer temas e plugins do WordPress que você não esteja usando ativamente. 

Isso ocorre porque hackers podem usar plugins e temas desatualizados para acessar seu site. Ao excluir software inativo, você fortalecerá a segurança do seu WordPress. 

Precisa de uma regra geral? Se você não o usou nos últimos seis meses, diga adeus. É uma maneira fácil de otimizar seu site WordPress e aprimorar sua segurança. 

5. Use senhas fortes

Uma boa senha deve ser única, imprevisível e conhecida apenas por você. Recomendamos o uso de uma combinação de letras maiúsculas e minúsculas, números e símbolos. 

Nova senha WordPress

Lembre-se, ‘Senha123’ é um erro de iniciante! É como deixar a chave de casa debaixo do capacho – praticamente convidando ameaças cibernéticas potenciais para uma visita.

Em ataques de força bruta, hackers ou bots tentarão adivinhar sua senha. Eles tentarão opções populares até conseguirem entrar. Portanto, quanto mais complexa sua senha, melhor. 

Além disso, evite usar qualquer informação identificável relacionada a você. Não use seu nome, data de nascimento ou o nome do seu animal de estimação (por mais adorável que ele possa ser).

Tente não usar a mesma senha para todos os seus sites e usuários. Assim como você não usaria a mesma chave para sua casa, carro e escritório, mantenha suas chaves digitais variadas para evitar uma violação de segurança.

Considere usar um gerenciador de senhas como o LastPass para armazenar suas senhas com segurança. Ele pode gerar automaticamente opções fortes e simplificar o processo de login.

6. Atualize o acesso de administrador

Quando se trata de segurança do WordPress, atualizar seu acesso de administrador é essencial. Esta etapa torna seu site menos vulnerável a intrusões ou hacks indesejados. 

Primeiro, limite o número de usuários com a função de ‘administrador’. Ter vários usuários administradores pode ser um risco de segurança. Certifique-se de ter apenas alguns administradores confiáveis. 

Em seguida, verifique sua lista de usuários regularmente, excluindo quaisquer contas que não estejam mais em uso. Isso reduz o risco de contas inativas serem exploradas por hackers. 

Por último, atribua os privilégios mínimos necessários para uma função de usuário. Nem todo mundo precisa de acesso de administrador.

Um usuário deve ter direitos suficientes para fazer seu trabalho, mas nada mais. Isso minimiza a possibilidade de danos caso essa conta seja hackeada.

Se você não tem certeza de quais usuários devem ter acesso a quê, leia este guia sobre funções e permissões de usuário do WordPress.

7. Oculte a página de login do WordPress

Todos os dias, você usa a página de login para acessar seu site WordPress. Todos os sites WordPress têm páginas de login que terminam com wp-admin ou wp-login. Assim, usuários mal-intencionados podem acessar a sua e abusar dela. 

Ocultar sua página de login do WordPress pode proteger seu site contra tentativas de hacking. Quando os hackers não conseguem encontrar a página de login, eles não podem tentar ataques de força bruta para abrir seu painel de administração.

Alguns plugins podem ajudá-lo a conseguir isso facilmente, como o WPS Hide Login. Você pode simplesmente personalizar seu URL de login para que apenas você saiba onde ele está.

Plugin WPS Hide Login

8. Monitore a atividade do usuário

Quando seu site tem muitos usuários, um deles pode ser hackeado ou compartilhar credenciais de login com a pessoa errada. Se a conta de usuário tiver acesso de administrador, seus temas, plugins ou configurações poderão ser alterados.

Para identificar a violação de segurança, você pode monitorar a atividade do usuário. Você identificará qual usuário fez a alteração indesejada e a removerá rapidamente do seu site.

Aqui estão alguns plugins que podem ajudá-lo a acompanhar seus usuários do WordPress:

Essas ferramentas podem ser especialmente úteis se você gerencia um multisite do WordPress. Você pode ter uma tonelada de proprietários de sites, autores, editores e outros usuários diferentes. É importante saber exatamente qual usuário causou uma vulnerabilidade.

9. Instale um plugin de segurança do WordPress

Plugins de segurança do exatamente o que você espera — adicionam segurança extra ao seu site. Eles são projetados para identificar e resolver vulnerabilidades potenciais. Por exemplo, eles fornecem verificações de segurança regulares, proteção de firewall e filtragem de spam. 

Um dos melhores plugins de segurança do WordPress é o Sucuri Security. Esta ferramenta oferece varredura remota de malware, notificações de segurança e soluções pós-hack.

Plugin Sucuri Security

Usando o Sucuri, você pode facilmente fortalecer sua segurança. Nas configurações de Hardening, você pode ativar um firewall, desativar editores de plugins e temas, ocultar sua versão do WordPress e muito mais.

Fortalecimento de segurança Sucuri

Esta é uma maneira amigável para iniciantes de impulsionar a segurança do seu WordPress. Além disso, existe uma versão gratuita no WordPress.org!

10. Use um Firewall de Aplicativo Web (WAF)

Um Web Application Firewall (WAF) é uma ferramenta que supervisiona e filtra o tráfego de entrada para o seu site. Ele ajuda a proteger seu site WordPress contra ameaças como injeção de SQL e cross-site scripting (XSS).

Um firewall pode dissuadir muitas ameaças cibernéticas comuns. Ele atua como uma barreira protetora entre seu site e todo o tráfego de entrada, bloqueando solicitações maliciosas.

Aqui estão os diferentes tipos de firewalls:

  • Firewall no nível DNS: envia e avalia o tráfego através de servidores proxy na nuvem
  • Firewall no nível do aplicativo: plugins de firewall que avaliam o tráfego assim que ele chega ao seu servidor

O Sucuri oferece a maneira mais fácil de configurar um firewall em seu site WordPress. É uma ferramenta tão eficaz que ajudou o WPBeginner a bloquear 450.000 ataques cibernéticos em apenas 3 meses.

Com o Sucuri, você evitará malware, ataques DDoS, ataques de força bruta e outras preocupações de segurança. 

11. Verifique se há malware

Verificar regularmente seu site em busca de malware é uma parte crucial da manutenção da segurança do seu WordPress. Plugins populares como Wordfence e Sucuri podem ajudá-lo nesta tarefa. 

Essas ferramentas de segurança são projetadas especificamente para encontrar e eliminar quaisquer ameaças potenciais em seu site. Eles monitoram ativamente seu site, alertando rapidamente sobre qualquer atividade suspeita e fornecendo soluções para sua remoção.

O Sucuri também tem um verificador de malware gratuito. Ao inserir o URL do seu site, você descobrirá se há algum vírus.

Scanner de malware Sucuri

12. Mude para SSL/HTTPS

SSL (Secure Sockets Layer) é um protocolo que criptografa dados entre o navegador de um usuário e seu servidor. Isso torna mais difícil para os cibercriminosos interceptarem e roubarem dados.

Quando você ativa o SSL, o URL do seu site usa HTTPS (Hypertext Transfer Protocol Secure). Isso é mostrado com um ícone de cadeado ao lado do seu domínio em uma janela do navegador.

Para migrar para HTTPS, você precisará comprar e instalar um certificado SSL em seu servidor. Muitos provedores de hospedagem oferecem um certificado SSL gratuito através do Let's Encrypt. Depois disso, certifique-se de que seu site WordPress use HTTPS em suas configurações e URLs. 

Se você ainda não tem um certificado SSL, veja como configurar um!

13. Altere seu nome de usuário

Usar "admin" como nome de usuário é uma prática comum, mas é um dos erros graves de segurança do WordPress que você deseja evitar. Ele entrega metade dos seus detalhes de login aos atacantes.

Para ajudar a proteger seu site, considere alterar seu nome de usuário para algo menos previsível e mais exclusivo. 

Acesse seu painel do WordPress e crie um novo usuário com privilégios de administrador. Depois de fazer isso, saia e faça login novamente como o novo administrador.

Em seguida, exclua o antigo usuário “admin”. Certifique-se de transferir todo o conteúdo do usuário excluído para o novo. É tão simples quanto isso. 

14. Atualize as permissões de arquivo

As permissões de arquivo regulam quem pode ler, gravar e executar seus arquivos. Permissões mal configuradas podem oferecer uma porta aberta para intrusos.

Aqui estão as configurações que recomendamos usar:

  • 755 para pastas e subpastas
  • 644 para todos os arquivos

Lembre-se de que corrigir as permissões de arquivos e pastas pode ser complexo sem experiência técnica. Em caso de dúvida, é sempre melhor consultar seu provedor de hospedagem ou um desenvolvedor qualificado.

15. Desative a edição de arquivos

O painel do WordPress permite que os administradores alterem os arquivos PHP de plugins e temas. Isso pode ser útil, mas também perigoso.

Se um hacker conseguir acesso ao seu painel, ele poderá usar indevidamente o editor de arquivos para inserir código malicioso em seus arquivos do WordPress. Para evitar essa ameaça de segurança, você deve desativar a edição de arquivos ajustando seu arquivo wp-config.php.

Embora isso pareça técnico, é na verdade um processo simples. Acesse sua instalação do WordPress via FTP e localize o arquivo wp-config.php. Abra este arquivo e adicione o seguinte trecho de código: 

define( 'DISALLOW_FILE_EDIT', true );

Depois de salvar o arquivo, as configurações atualizadas começam a funcionar imediatamente para proteger contra código malicioso. 

Faça isso apenas se você estiver de acordo em alterar os arquivos do seu site. Se tiver dúvidas, peça ajuda especializada. 

16. Desative a execução de arquivos PHP

Desativar a execução de arquivos PHP em determinados diretórios do WordPress é um passo fundamental para proteger seu site. Se não for feito, abre uma porta para ataques maliciosos. 

Hackers podem tirar proveito dessa brecha implantando arquivos php em sua pasta de uploads ou em outros diretórios. Esses arquivos podem então executar código malicioso, comprometendo seu site.

Para resolver este problema, você pode desativar a execução de arquivos PHP em quaisquer diretórios que não a necessitem (como /wp-content/uploads/). 

Abra um editor de texto e cole este código:

<Files *.php>

deny from all

</Files>

Nomeie o arquivo .htaccess e adicione-o à pasta uploads

17. Limite as tentativas de login

Como mencionei anteriormente, bots podem tentar acessar seu site tentando fazer login repetidamente.  Para manter seu site seguro, defina um limite de quantas tentativas de login podem vir de um único endereço IP.

Ao limitar as tentativas de login, você diminuirá as chances de um ataque de força bruta bem-sucedido. Embora o WordPress permita logins ilimitados, você pode definir um limite com um plugin como Limit Login Attempts Reloaded.

Plugin Limit Login Attempts Reloaded

O Limit Login Attempts Reloaded bloqueará um endereço IP após um certo número de tentativas de login malsucedidas. Você pode criar um tempo de bloqueio personalizado e receber automaticamente e-mails sobre novos bloqueios. 

18. Use autenticação de dois fatores

A autenticação de dois fatores (2FA) adiciona uma camada extra de proteção ao seu site WordPress. Além da sua senha, você precisa de um código de verificação que geralmente é enviado para o seu celular.

Esse sistema de dupla verificação aumenta a segurança, dificultando a invasão por hackers. Mesmo que eles descubram sua senha, ainda precisarão do código de verificação.

O WP 2FA é um plugin que configura rapidamente a autenticação de dois fatores no seu site WordPress. Ele gerará códigos de login para aplicativos de autenticação como Google Authenticator ou Authy. Os usuários inserem um código junto com a senha.

Plugin WP 2FA

Com esse recurso, hackers ou bots não conseguem acessar seu site, mesmo que obtenham sua senha. Há uma etapa extra para logins, que não pode ser facilmente acessada.

19. Altere o prefixo do banco de dados do WordPress

O WordPress atribui um prefixo às suas tabelas de banco de dados. O prefixo padrão é wp_.

Se for deixado como padrão, os hackers podem adivinhar facilmente os nomes das suas tabelas. Portanto, é uma boa prática alterá-lo.

No entanto, isso não é muito fácil para iniciantes. E você pode acabar quebrando seu site.

Se você tem certeza de que deseja prosseguir, siga este guia sobre como alterar corretamente o prefixo do banco de dados do WordPress.

20. Proteja por senha as páginas de administrador e de login

Outra maneira de proteger suas páginas de login do WordPress é adicionar proteção por senha ao seu diretório de administração. Sempre que alguém tentar acessar a área de administração, precisará inserir uma senha antes mesmo de ver uma página de login.

Admin WP protegido por senha

Para habilitar a proteção por senha de administrador, você pode usar a privacidade de diretório do cPanel. Isso permitirá que você proteja seu diretório de administrador sem usar nenhum código.

Privacidade de diretório Bluehost

21. Desative a indexação e a navegação de diretórios

A navegação por diretórios pode ser um ponto fraco na segurança do seu site. Se esse recurso estiver habilitado, qualquer pessoa pode visualizar o conteúdo dos diretórios do seu site. Hackers podem se aproveitar disso se virem arquivos com vulnerabilidades.

Para resolver esse problema, adicione uma linha simples de código na parte inferior do seu arquivo .htaccess.

Opções -Indexes

Isso impede que as pessoas naveguem pelas pastas do seu site e protege arquivos ocultos.

22. Desative o XML-RPC

Desde o WordPress 3.5, o XML-RPC é uma API principal do WordPress. Ele permite que os desenvolvedores usem aplicativos remotos para atualizar o WordPress.

O XML-RPC permite que você use aplicativos móveis para publicar posts de blog. Ele também possibilita conectar seu site a serviços de terceiros como o Zapier.

Esse recurso do WordPress permite que outros aplicativos conversem com seu site. Mas, ele também cria uma brecha de segurança que hackers podem usar.

Se alguém tentar invadir sua página de login, fará tentativas de login separadas. Com o XML-RPC, hackers poderiam usar uma função system.multicall para adivinhar milhares de opções de senha em apenas cerca de 20-50 solicitações.

Portanto, desativar o XML-RPC pode ajudá-lo a evitar possíveis ameaças cibernéticas.

23. Desconecte usuários inativos

Logins inativos podem se tornar um portal para acesso não autorizado. Sua sessão pode ser sequestrada. É por isso que o site do seu banco o desconecta após um certo período.

É melhor que seu site WordPress desconecte automaticamente os usuários quando eles estiverem inativos. Isso pode reduzir significativamente as chances de qualquer problema.

Você pode usar plugins como Inactive Logout para automatizar esse processo. Com este plugin gratuito, você definirá períodos de tempo limite de inatividade. 

Plugin de logout inativo

Ele também permitirá que você personalize as mensagens de logout da sessão. Você informará aos usuários quando eles estiverem sendo desconectados devido à inatividade. 

Configurações de logout inativo

24. Oculte a versão do seu WordPress

Por padrão, seu código-fonte mostrará a versão do WordPress do seu site.

Versão do WordPress no código-fonte

Expor sua versão mais recente do WordPress pode parecer inofensivo, mas pode deixar seu site em risco. Hackers usam essas informações para explorar vulnerabilidades de segurança conhecidas em versões específicas. 

Existem muitas maneiras de ocultar sua versão do WordPress, mas recomendamos o uso de WPCode. Este plugin de trechos de código tem um trecho pré-fabricado para remover o número da sua versão do WordPress.

Plugin WPCode

Tudo o que você precisará fazer é pesquisar o trecho e usá-lo. 

Remove a versão do WordPress com o snippet WPCode

Em seguida, ative o novo trecho!

Ativa o snippet WPCode que oculta a versão do WP

25. Restaure seu site após ataques

Mesmo que você faça tudo certo, um hacker pode invadir seu site e causar danos. Caso isso aconteça, você precisará estar preparado. 

Restaurar seu site WordPress após um ataque pode parecer assustador. Mas é fácil com as ferramentas certas.

Duplicator Pro é um plugin de backup do WordPress que restaura seu site em segundos. Após um ataque, encontre o backup mais recente e sem erros e clique no botão Restaurar ao lado dele.

Restaurar backup

Alguns hackers podem bloquear seu acesso ao painel de administração do WordPress. Para evitar isso, certifique-se de configurar a recuperação de desastres com antecedência.

Crie um backup completo do seu site. Em seguida, clique no ícone da casa azul ao lado dele.

Ícone de recuperação de desastres

Depois de configurar a recuperação de desastres, o Duplicator fornecerá um link de recuperação e um arquivo lançador. Qualquer um deles restaurará seu site imediatamente após um ciberataque.

Opções de recuperação de desastres

Pessoalmente, prefiro o link de recuperação. Você simplesmente precisará abrir uma janela do navegador e colá-lo. Isso abrirá o assistente de recuperação do Duplicator (sem precisar do seu painel).

Recuperação de desastres

Para proteger seu site, salve o link de recuperação ou o arquivo lançador em um local seguro. Ele precisará estar fora do local, caso seu site saia do ar. 

Se você quiser ter certeza de que removeu quaisquer backdoors e outras vulnerabilidades de segurança, leia este tutorial sobre como consertar um site WordPress hackeado

Perguntas Frequentes Sobre Segurança WordPress

Como torno um site WordPress seguro?

Para proteger seu site WordPress, use um provedor de hospedagem web seguro, automatize backups, mantenha o software atualizado e monitore o acesso do usuário. Para preocupações de segurança mais complexas, não hesite em perguntar a um especialista.

Eu realmente preciso de um plugin de segurança para WordPress?

Um plugin de segurança ajuda a proteger seu site contra ameaças comuns. Recomendamos para iniciantes porque você poderá aumentar sua segurança sem tocar em nenhum código. O Sucuri Security é uma ótima opção se você está apenas começando ou deseja uma abordagem sem complicações para a segurança do site. 

Qual porcentagem de sites WordPress são hackeados?

Não há um número exato de sites WordPress que são hackeados todos os anos. Mas, o Sucuri limpa regularmente sites e descobriu que 96,2% de seus sites explorados em 2022 estavam rodando em WordPress. 49,8% deles estavam desatualizados no momento do ciberataque. 

O WordPress tem vulnerabilidades?

Sim, como qualquer outra plataforma, o WordPress tem suas vulnerabilidades. Estas podem variar de software desatualizado, senhas fracas ou falta de atualizações do WordPress. No entanto, se gerenciados corretamente, esses riscos podem ser significativamente reduzidos.

Qual é o maior perigo na segurança de sites WordPress?

A segurança do seu site WordPress pode estar em risco se você não atualizar seu sistema, plugins e temas regularmente. Além disso, não definir senhas fortes ou autenticação de dois fatores pode tornar seu site vulnerável. Isso pode levar a problemas sérios como ataques SQL, cross-site scripting e logins de força bruta.

Conclusão

Neste ponto, seu site está pronto para combater qualquer ameaça de segurança!

Enquanto você está aqui, acho que você vai gostar destes guias extras do WordPress:

Quer evitar a perda de dados de hacks inesperados? Baixe o Duplicator Pro para backups automáticos na nuvem!

Comece com o Duplicator
avatar do autor
Joella Dunn Content Writer
Joella is a writer with years of experience in WordPress. At Duplicator, she specializes in site maintenance — from basic backups to large-scale migrations. Her ultimate goal is to make sure your WordPress website is safe and ready for growth.
See Full Bio
ícone de rede social
beginner wordpress wordpress maintenance wordpress security
Our content is reader-supported. If you click on certain links we may receive a commission.
Obtenha o Duplicador - Economize 50%

Recursos Populares

Website Backup Speed: Why Your Backups Are Slow and How to Fix Them
Introducing Duplicator Pro 4.5.10 – New Dashboard Widget, Custom Recovery Folders, and More
WordPress 101: How to Back Up a WordPress Site for Peace of Mind
How to Migrate a WordPress Site (Beginner’s Guide for 2026)
Creating a Perfect Copy: How to Clone a WordPress Site Safely

Receba dicas e recursos gratuitos diretamente na sua caixa de entrada, junto com mais de 10.000 outros

Siga-nos

Não Deixe Mais Um Dia Passar Desprotegido

Cada hora sem backups adequados do WordPress coloca seu site em risco • Cada migração atrasada do WordPress custa desempenho e crescimento

Get Duplicator Now
Plugin Duplicator

Espere! Não perca sua
oferta exclusiva!

Como cliente , você recebe 60% DE DESCONTO

Experimente o Duplicator gratuitamente em seu site — veja por que mais de 1,5 milhão de profissionais do WordPress confiam em nós. Mas não espere — este desconto exclusivo de 60% está disponível apenas por tempo limitado.

or
Get 60% Off Duplicator Pro Now →

Nós o redirecionaremos para instalar o Duplicator em seu site WordPress. Nunca spam.