Duplicator Duplicator
Duplicator Duplicator
Anunciando Staging com Um Clique e Restaurações Remotas na Nuvem para Mudanças Ousadas, Consequências Zero

Anunciando Staging com Um Clique e Restaurações Remotas na Nuvem para Mudanças Ousadas, Consequências Zero

Pare de quebrar seu site ativo. O staging com um clique e as restaurações remotas na nuvem do Duplicator permitem que você teste mudanças e recupere mesmo que seu servidor esteja completamente inativo!

Continue Reading →
Segurança do WordPress

Checklist de Segurança do WordPress: Guia Passo a Passo para Proteger Seu Site

· · 24 min read ·
Written By: avatar do autor Joella Dunn
avatar do autor Joella Dunn
Joella is a writer with years of experience in WordPress. At Duplicator, she specializes in site maintenance — from basic backups to large-scale migrations. Her ultimate goal is to make sure your WordPress website is safe and ready for growth.
See Full Bio
·
Reviewed By: avatar do revisor John Turner
avatar do revisor John Turner
John Turner is the President of Duplicator. He has over 20+ years of business and development experience and his plugins have been downloaded over 25 million times.
See Full Bio

O tempo mediano entre uma vulnerabilidade do WordPress se tornar pública e ataques automatizados atingirem sites em toda a web é agora de 5 horas. Não dias. Cinco horas.

Esse não é um risco teórico. Somente em 2025, pesquisadores descobriram 11.334 novas vulnerabilidades no ecossistema WordPress — um salto de 42% em relação ao ano anterior.

Cerca de 13.000 sites WordPress são comprometidos todos os dias. Quando uma pequena empresa é atingida, o custo médio de recuperação é de US$ 14.500. Isso inclui remoção de malware, tempo de desenvolvedor de emergência e os meses de trabalho necessários para desfazer links de spam injetados e penalidades do Google.

Eu gerencio sites WordPress há anos e trabalhei em cada etapa deste guia em minhas próprias instalações. Algumas levam cinco minutos. Algumas são mais complexas. Todas valem a pena ser feitas antes que algo dê errado.

Aqui está o que você vai tirar deste guia:

  • Plugins são a verdadeira ameaça. 91% das vulnerabilidades do WordPress estão em plugins e temas, não no core. Mantê-los atualizados e remover aqueles que você não usa é seu hábito mais importante.
  • Um WAF sozinho não vai te salvar. Firewalls de aplicativos web padrão bloquearam apenas 12% dos ataques específicos do WordPress em 2025. Você precisa de camadas, não de uma única ferramenta.
  • Backups são sua rede de segurança quando tudo mais falha. Um backup que você pode restaurar em minutos muda o custo real de um ataque.
  • A janela de exploração de 5 horas é real. Assim que uma vulnerabilidade se torna pública, os ataques automatizados começam rapidamente. A correção não pode esperar.
  • 46% das vulnerabilidades não têm um patch do desenvolvedor quando divulgadas. Atualizações importam, mas o monitoramento importa tanto quanto.
  • A recuperação pós-ataque tem uma ordem específica. A maioria dos checklists pula isso. Cobrimos passo a passo, incluindo como acessar novamente quando você está bloqueado do wp-admin.

Sumário

O WordPress é Seguro?

Sim, o WordPress é fundamentalmente seguro. A plataforma principal é mantida por uma equipe de segurança dedicada e, em todo o ano de 2025, apenas 6 vulnerabilidades foram encontradas no core do WordPress — todas de baixa prioridade.

O risco não é o WordPress em si. É o ecossistema ao redor dele.

Plugins e temas respondem pela maioria das vulnerabilidades do WordPress. 46% dessas vulnerabilidades não tinham um patch do desenvolvedor no momento em que foram divulgadas pela primeira vez. Isso significa que mesmo atualizando no momento em que um patch é lançado, você não está protegido contra quase metade do que está sendo ativamente explorado.

Plugins abandonados são especialmente arriscados. Se um plugin não é atualizado há 6 meses ou mais, é uma superfície de ataque conhecida sem ninguém para mantê-lo.

O core do WordPress não é o ponto fraco. Seus plugins são.

Por que a segurança do WordPress é importante?

Um site hackeado não é apenas um problema técnico. É um problema de negócios.

Quando os atacantes comprometem um site WordPress, eles geralmente injetam links de spam, redirecionam visitantes, roubam dados de usuários ou instalam backdoors para acesso futuro.

O Google pode sinalizar o site como perigoso. Seu provedor de hospedagem pode tirá-lo do ar. Se você estiver executando uma loja de e-commerce, os dados dos clientes podem estar em risco.

Em 2025, mais de 11.000 novas vulnerabilidades do WordPress foram registradas. Isso é mais de 30 por dia.

O custo médio de recuperação de uma pequena empresa é de R$ 14.500, e esse valor não inclui os meses de trabalho necessários para recuperar o ranking de busca após links de spam injetados acionarem uma penalidade manual do Google.

A reputação do seu site, a confiança dos seus visitantes e o seu tráfego orgânico estão em jogo.

Seu Checklist de Segurança do WordPress

Como iniciante, você pode estar pensando: por onde começo?

Criei um checklist completo de segurança do WordPress para você! Simplesmente siga cada etapa e, ao final, você terá um site totalmente seguro.

Checklist Rápido de Segurança do WordPress:

  • Encontre uma Hospedagem Segura: Escolha uma hospedagem com fortes protocolos de segurança, certificados SSL, firewalls e backups regulares
  • Faça Backup do seu Site: Use plugins como o Duplicator para automatizar backups na nuvem e proteger seus dados
  • Atualize o Software: Mantenha o core, plugins e temas do WordPress atualizados para corrigir vulnerabilidades
  • Remova Plugins e Temas Não Utilizados: Exclua softwares inativos para eliminar possíveis falhas de segurança
  • Use Senhas Fortes: Crie senhas únicas e complexas com caracteres mistos e evite frases comuns
  • Atualize o Acesso de Administrador: Limite usuários administradores, remova contas inativas e atribua privilégios mínimos
  • Oculte a Página de Login do WordPress: Personalize o URL de login para evitar ataques de força bruta
  • Monitore a Atividade do Usuário: Rastreie as ações dos usuários para identificar violações de segurança e alterações indesejadas
  • Instale um Plugin de Segurança do WordPress: Use ferramentas como Sucuri para verificação de malware e notificações de segurança
  • Use um Firewall de Aplicação Web (WAF): Bloqueie tráfego malicioso com firewalls de nível DNS ou de aplicação
  • Verifique se há Malware: Verifique regularmente seu site em busca de vírus e ameaças com plugins de segurança
  • Mude para SSL/HTTPS: Ative certificados SSL para criptografar dados entre usuários e seu servidor
  • Altere seu Nome de Usuário: Evite nomes de usuário previsíveis como “admin” para reduzir vulnerabilidades de login
  • Atualize as Permissões de Arquivo: Defina permissões adequadas (755 para pastas, 644 para arquivos) para controlar o acesso
  • Desative a Edição de Arquivos: Desligue o editor de arquivos do WordPress para impedir que hackers injetem código malicioso
  • Desative a Execução de Arquivos PHP: Bloqueie a execução de arquivos PHP em diretórios de upload para interromper ataques
  • Limite as Tentativas de Login: Restrinja o número de tentativas de login de um único endereço IP
  • Use Autenticação de Dois Fatores: Adicione uma etapa extra de verificação com códigos móveis para segurança de login
  • Altere o Prefixo do Banco de Dados do WordPress: Substitua o prefixo padrão “wp_” para tornar os nomes das tabelas mais difíceis de adivinhar
  • Proteja com Senha as Páginas de Admin e de Login: Adicione uma camada extra de senha antes que os usuários cheguem à tela de login
  • Desative a Indexação e Navegação de Diretórios: Oculte o conteúdo dos diretórios para proteger os arquivos de serem visualizados
  • Desative o XML-RPC: Desligue esta API para impedir que hackers explorem vulnerabilidades de adivinhação de senha
  • Faça Logout de Usuários Inativos: Desconecte automaticamente usuários inativos para evitar o sequestro de sessão
  • Oculte sua Versão do WordPress: Remova números de versão do código-fonte para evitar ataques direcionados
  • Restaure seu Site Após Ataques: Use ferramentas de backup com recuperação de desastres (Duplicator Pro) para restaurar rapidamente sites comprometidos

1. Encontre um provedor de hospedagem web seguro

Escolher um provedor de hospedagem web é mais do que apenas verificar o preço. O que você precisa é de um host que seja apaixonado por segurança.

Procure um provedor de hospedagem web que ofereça o que há de mais moderno em protocolos de segurança. Seus servidores devem ser mantidos e atualizados. Também é ótimo se ele tiver um firewall robusto e oferecer certificados SSL. 

E, finalmente, descubra se o provedor de hospedagem web oferece backups regulares e restaurações de site. Você esperaria nunca precisar dessa rede de segurança, mas é bom ter uma, por precaução.

Se você atualmente tem um plano de hospedagem compartilhada, pode querer fazer um upgrade para hospedagem WordPress gerenciada. Com um host compartilhado, você compartilhará recursos com outros sites. Se alguém em seu servidor tiver uma violação de segurança, isso também poderá afetar seu site.

No entanto, hosts compartilhados de boa reputação como Bluehost, Hostinger e SiteGround o protegerão de muitos problemas básicos de segurança.

Depois de encontrar um host WordPress seguro, veja como migrar seu site para o novo servidor

2. Faça backup do seu site

Quando você cria seu site, provavelmente ficará animado para escrever novas postagens de blog ou vender produtos. No entanto, você também precisará fazer backup regularmente do seu site.

Backups são uma apólice de seguro para o seu conteúdo digital. Eles permitem que você restaure seu site ao seu estado original se algo der errado.

Duplicator é um plugin de backup que facilita a criação de cópias do seu site. Ele suporta backups automáticos e armazenamento em nuvem, para que você nunca perca dados.

plugin Duplicator Pro
Comece com o Duplicator

Geralmente é melhor armazenar backups em um servidor de nuvem separado para uma camada extra de segurança. Dessa forma, seus backups não serão perdidos se ocorrer um problema no servidor.

Com o Duplicator, você pode fazer backup do seu site na nuvem. Basta conectar seu serviço de armazenamento em nuvem preferido e selecioná-lo ao criar um backup. Ele ainda tem seu próprio armazenamento em nuvem personalizado, criado para backups do WordPress: Duplicator Cloud.

Novo local de armazenamento na nuvem do Duplicator

Você poderá personalizar quais dados são salvos no backup. Assim, você pode facilmente fazer backup apenas do seu banco de dados, biblioteca de mídia ou outros dados, se precisar.

Backup personalizado

Seu site está constantemente sendo atualizado com novo conteúdo, então você precisará fazer backup dele regularmente. Felizmente, o Duplicator permite que você automatize os backups.

Backups agendados do Duplicator

Ao configurar agendamentos, você nunca terá que se preocupar com backups manuais! Seu site estará constantemente seguro contra quaisquer problemas, pois você pode simplesmente reverter seu site quando eles acontecerem.

Junto com o Duplicator, existem muitos outros plugins de backup que você pode usar. UpdraftPlus, Jetpack e BlogVault são algumas opções populares. 

3. Atualize o software

Atualizações de software desempenham um papel crucial na segurança do WordPress. Elas não apenas adicionam funcionalidades extras, mas também corrigem quaisquer vulnerabilidades potenciais. 

O WordPress instalará automaticamente atualizações menores. Mas você terá que instalar manualmente quaisquer versões principais. 

Encontre a página Atualizações e realize quaisquer atualizações para seu software principal, plugins e temas.

Atualizar software do WordPress

Atualizações de segurança acontecem o tempo todo, então você terá que ficar de olho nelas. Para sua conveniência, você também pode automatizá-las. 

No entanto, eu recomendaria testar novas versões do WordPress, plugins e temas em um site de staging primeiro. Isso ajuda você a evitar quaisquer conflitos de software que às vezes acontecem após atualizações ruins.

4. Remova plugins e temas não utilizados

Limpar seu site pode dar um bom impulso de segurança. É uma boa ideia descartar quaisquer temas e plugins do WordPress que você não esteja usando ativamente. 

Isso ocorre porque hackers podem usar plugins e temas desatualizados para acessar seu site. Ao excluir software inativo, você fortalecerá a segurança do seu WordPress. 

Precisa de uma regra geral? Se você não o usou nos últimos seis meses, diga adeus. É uma maneira fácil de otimizar seu site WordPress e aprimorar sua segurança. 

5. Use senhas fortes

Uma boa senha deve ser única, imprevisível e conhecida apenas por você. Recomendamos o uso de uma combinação de letras maiúsculas e minúsculas, números e símbolos. 

Nova senha WordPress

Lembre-se, ‘Senha123’ é um erro de iniciante! É como deixar a chave de casa debaixo do capacho – praticamente convidando ameaças cibernéticas potenciais para uma visita.

Em ataques de força bruta, hackers ou bots tentarão adivinhar sua senha. Eles tentarão opções populares até conseguirem entrar. Portanto, quanto mais complexa sua senha, melhor. 

Além disso, evite usar qualquer informação identificável relacionada a você. Não use seu nome, data de nascimento ou o nome do seu animal de estimação (por mais adorável que ele possa ser).

Tente não usar a mesma senha para todos os seus sites e usuários. Assim como você não usaria a mesma chave para sua casa, carro e escritório, mantenha suas chaves digitais variadas para evitar uma violação de segurança.

Considere usar um gerenciador de senhas como o LastPass para armazenar suas senhas com segurança. Ele pode gerar automaticamente opções fortes e simplificar o processo de login.

6. Limitar Acesso de Administrador

Quando se trata de segurança do WordPress, atualizar seu acesso de administrador é essencial. Esta etapa torna seu site menos vulnerável a intrusões ou hacks indesejados. 

Primeiro, limite o número de usuários com a função de ‘administrador’. Ter vários usuários administradores pode ser um risco de segurança. Certifique-se de ter apenas alguns administradores confiáveis. 

Em seguida, verifique sua lista de usuários regularmente, excluindo quaisquer contas que não estejam mais em uso. Isso reduz o risco de contas inativas serem exploradas por hackers. 

Por último, atribua os privilégios mínimos necessários para uma função de usuário. Nem todo mundo precisa de acesso de administrador.

Um usuário deve ter direitos suficientes para fazer seu trabalho, mas nada mais. Isso minimiza a possibilidade de danos caso essa conta seja hackeada.

Se você não tem certeza de quais usuários devem ter acesso a quê, leia este guia sobre funções e permissões de usuário do WordPress.

7. Oculte a página de login do WordPress

Todos os dias, você usa a página de login para acessar seu site WordPress. Todos os sites WordPress têm páginas de login que terminam com wp-admin ou wp-login. Assim, usuários mal-intencionados podem acessar a sua e abusar dela. 

Ocultar sua página de login do WordPress pode proteger seu site contra tentativas de hacking. Quando os hackers não conseguem encontrar a página de login, eles não podem tentar ataques de força bruta para abrir seu painel de administração.

Alguns plugins podem ajudá-lo a conseguir isso facilmente, como o WPS Hide Login. Você pode simplesmente personalizar seu URL de login para que apenas você saiba onde ele está.

Plugin WPS Hide Login

8. Monitore a atividade do usuário

Quando seu site tem muitos usuários, um deles pode ser hackeado ou compartilhar credenciais de login com a pessoa errada. Se a conta de usuário tiver acesso de administrador, seus temas, plugins ou configurações poderão ser alterados.

Para identificar a violação de segurança, você pode monitorar a atividade do usuário. Você identificará qual usuário fez a alteração indesejada e a removerá rapidamente do seu site.

O plugin Activity Log ajuda você a acompanhar seus usuários do WordPress. Ele fornece um log abrangente do que aconteceu e quando.

Painel do Log de Atividades

Se algo acontecer, você pode filtrar o log por gravidade da atividade, usuário e intervalo de datas. Você descobrirá como reforçar sua segurança para que seus dados fiquem mais seguros da próxima vez.

Filtro de data do Log de Atividade

Isso pode ser especialmente útil se você gerencia um multisite do WordPress. Você pode ter muitos proprietários de sites, autores, editores e outros usuários diferentes. É importante saber exatamente qual usuário causou uma vulnerabilidade.

9. Instale um plugin de segurança do WordPress

Plugins de segurança do exatamente o que você espera — adicionam segurança extra ao seu site. Eles são projetados para identificar e resolver vulnerabilidades potenciais. Por exemplo, eles fornecem verificações de segurança regulares, proteção de firewall e filtragem de spam. 

Um dos melhores plugins de segurança do WordPress é o Sucuri Security. Esta ferramenta oferece varredura remota de malware, notificações de segurança e soluções pós-hack.

Plugin Sucuri Security

Usando o Sucuri, você pode facilmente fortalecer sua segurança. Nas configurações de Hardening, você pode ativar um firewall, desativar editores de plugins e temas, ocultar sua versão do WordPress e muito mais.

Fortalecimento de segurança Sucuri

Esta é uma maneira amigável para iniciantes de impulsionar a segurança do seu WordPress. Além disso, existe uma versão gratuita no WordPress.org!

Wordfence é outra opção sólida com um firewall robusto e um grande banco de dados de vulnerabilidades. Escolha um e execute-o consistentemente.

10. Use um Firewall de Aplicativo Web (WAF)

Um Web Application Firewall (WAF) é uma ferramenta que supervisiona e filtra o tráfego de entrada para o seu site. Ele ajuda a proteger seu site WordPress contra ameaças como injeção de SQL e cross-site scripting (XSS).

Um firewall pode dissuadir muitas ameaças cibernéticas comuns. Ele atua como uma barreira protetora entre seu site e todo o tráfego de entrada, bloqueando solicitações maliciosas.

Aqui estão os diferentes tipos de firewalls:

  • Firewall no nível DNS: envia e avalia o tráfego através de servidores proxy na nuvem
  • Firewall no nível do aplicativo: plugins de firewall que avaliam o tráfego assim que ele chega ao seu servidor

O Sucuri oferece a maneira mais fácil de configurar um firewall em seu site WordPress. É uma ferramenta tão eficaz que ajudou o WPBeginner a bloquear 450.000 ataques cibernéticos em apenas 3 meses.

Com o Sucuri, você evitará malware, ataques DDoS, ataques de força bruta e outras preocupações de segurança. 

11. Verifique se há malware

Verificar regularmente seu site em busca de malware é uma parte crucial da manutenção da segurança do seu WordPress. Plugins populares como Wordfence e Sucuri podem ajudá-lo nesta tarefa. 

Essas ferramentas de segurança são projetadas especificamente para encontrar e eliminar quaisquer ameaças potenciais em seu site. Eles monitoram ativamente seu site, alertando rapidamente sobre qualquer atividade suspeita e fornecendo soluções para sua remoção.

O Sucuri também tem um verificador de malware gratuito. Ao inserir o URL do seu site, você descobrirá se há algum vírus.

Scanner de malware Sucuri

12. Mude para SSL/HTTPS

SSL (Secure Sockets Layer) é um protocolo que criptografa dados entre o navegador de um usuário e seu servidor. Isso torna mais difícil para os cibercriminosos interceptarem e roubarem dados.

Quando você ativa o SSL, o URL do seu site usa HTTPS (Hypertext Transfer Protocol Secure). Isso é mostrado com um ícone de cadeado ao lado do seu domínio em uma janela do navegador.

Para migrar para HTTPS, você precisará comprar e instalar um certificado SSL em seu servidor. Muitos provedores de hospedagem oferecem um certificado SSL gratuito através do Let's Encrypt. Depois disso, certifique-se de que seu site WordPress use HTTPS em suas configurações e URLs. 

Se você ainda não tem um certificado SSL, veja como configurar um!

13. Altere seu nome de usuário

Usar "admin" como nome de usuário é uma prática comum, mas é um dos erros graves de segurança do WordPress que você deseja evitar. Ele entrega metade dos seus detalhes de login aos atacantes.

Para ajudar a proteger seu site, considere alterar seu nome de usuário para algo menos previsível e mais exclusivo. 

Acesse seu painel do WordPress e crie um novo usuário com privilégios de administrador. Depois de fazer isso, saia e faça login novamente como o novo administrador.

Em seguida, exclua o antigo usuário “admin”. Certifique-se de transferir todo o conteúdo do usuário excluído para o novo. É tão simples quanto isso. 

14. Atualize as permissões de arquivo

As permissões de arquivo regulam quem pode ler, gravar e executar seus arquivos. Permissões mal configuradas podem oferecer uma porta aberta para intrusos.

Aqui estão as configurações que recomendamos usar:

  • 755 para pastas e subpastas
  • 644 para todos os arquivos

Lembre-se de que corrigir as permissões de arquivos e pastas pode ser complexo sem experiência técnica. Em caso de dúvida, é sempre melhor consultar seu provedor de hospedagem ou um desenvolvedor qualificado.

15. Desative a edição de arquivos

O painel do WordPress permite que os administradores alterem os arquivos PHP de plugins e temas. Isso pode ser útil, mas também perigoso.

Se um hacker conseguir acesso ao seu painel, ele poderá usar indevidamente o editor de arquivos para inserir código malicioso em seus arquivos do WordPress. Para evitar essa ameaça de segurança, você deve desativar a edição de arquivos ajustando seu arquivo wp-config.php.

Embora isso pareça técnico, é na verdade um processo simples. Acesse sua instalação do WordPress via FTP e localize o arquivo wp-config.php. Abra este arquivo e adicione o seguinte trecho de código: 

define( 'DISALLOW_FILE_EDIT', true );

Depois de salvar o arquivo, as configurações atualizadas começam a funcionar imediatamente para proteger contra código malicioso. 

Faça isso apenas se você estiver de acordo em alterar os arquivos do seu site. Se tiver dúvidas, peça ajuda especializada. 

16. Desative a execução de arquivos PHP

Desativar a execução de arquivos PHP em determinados diretórios do WordPress é um passo fundamental para proteger seu site. Se não for feito, abre uma porta para ataques maliciosos. 

Hackers podem tirar proveito dessa brecha implantando arquivos php em sua pasta de uploads ou em outros diretórios. Esses arquivos podem então executar código malicioso, comprometendo seu site.

Para resolver este problema, você pode desativar a execução de arquivos PHP em quaisquer diretórios que não a necessitem (como /wp-content/uploads/). 

Abra um editor de texto e cole este código:

<Files *.php>

deny from all

</Files>

Nomeie o arquivo .htaccess e adicione-o à pasta uploads

17. Limite as tentativas de login

Como mencionei anteriormente, bots podem tentar acessar seu site tentando fazer login repetidamente.  Para manter seu site seguro, defina um limite de quantas tentativas de login podem vir de um único endereço IP.

Ao limitar as tentativas de login, você diminuirá as chances de um ataque de força bruta bem-sucedido. Embora o WordPress permita logins ilimitados, você pode definir um limite com um plugin como Limit Login Attempts Reloaded.

Plugin Limit Login Attempts Reloaded

O Limit Login Attempts Reloaded bloqueará um endereço IP após um certo número de tentativas de login malsucedidas. Você pode criar um tempo de bloqueio personalizado e receber automaticamente e-mails sobre novos bloqueios. 

18. Use autenticação de dois fatores

A autenticação de dois fatores (2FA) adiciona uma camada extra de proteção ao seu site WordPress. Além da sua senha, você precisa de um código de verificação que geralmente é enviado para o seu celular.

Esse sistema de dupla verificação aumenta a segurança, dificultando a invasão por hackers. Mesmo que eles descubram sua senha, ainda precisarão do código de verificação.

O WP 2FA é um plugin que configura rapidamente a autenticação de dois fatores no seu site WordPress. Ele gerará códigos de login para aplicativos de autenticação como Google Authenticator ou Authy. Os usuários inserem um código junto com a senha.

Plugin WP 2FA

Com esse recurso, hackers ou bots não conseguem acessar seu site, mesmo que obtenham sua senha. Há uma etapa extra para logins, que não pode ser facilmente acessada.

19. Altere o prefixo do banco de dados do WordPress

O WordPress atribui um prefixo às suas tabelas de banco de dados. O prefixo padrão é wp_.

Se for deixado como padrão, os hackers podem adivinhar facilmente os nomes das suas tabelas. Portanto, é uma boa prática alterá-lo.

No entanto, isso não é muito fácil para iniciantes. E você pode acabar quebrando seu site.

Se você tem certeza de que deseja prosseguir, siga este guia sobre como alterar corretamente o prefixo do banco de dados do WordPress.

20. Proteja por senha as páginas de administrador e de login

Outra maneira de proteger suas páginas de login do WordPress é adicionar proteção por senha ao seu diretório de administração. Sempre que alguém tentar acessar a área de administração, precisará inserir uma senha antes mesmo de ver uma página de login.

Admin WP protegido por senha

Para habilitar a proteção por senha de administrador, você pode usar a privacidade de diretório do cPanel. Isso permitirá que você proteja seu diretório de administrador sem usar nenhum código.

Privacidade de diretório Bluehost

21. Desative a indexação e a navegação de diretórios

A navegação por diretórios pode ser um ponto fraco na segurança do seu site. Se esse recurso estiver habilitado, qualquer pessoa pode visualizar o conteúdo dos diretórios do seu site. Hackers podem se aproveitar disso se virem arquivos com vulnerabilidades.

Para resolver esse problema, adicione uma linha simples de código na parte inferior do seu arquivo .htaccess.

Opções -Indexes

Isso impede que as pessoas naveguem pelas pastas do seu site e protege arquivos ocultos.

22. Desative o XML-RPC

Desde o WordPress 3.5, o XML-RPC é uma API principal do WordPress. Ele permite que os desenvolvedores usem aplicativos remotos para atualizar o WordPress.

O XML-RPC permite que você use aplicativos móveis para publicar posts de blog. Ele também possibilita conectar seu site a serviços de terceiros como o Zapier.

Esse recurso do WordPress permite que outros aplicativos conversem com seu site. Mas, ele também cria uma brecha de segurança que hackers podem usar.

Se alguém tentar invadir sua página de login, fará tentativas de login separadas. Com o XML-RPC, hackers poderiam usar uma função system.multicall para adivinhar milhares de opções de senha em apenas cerca de 20-50 solicitações.

Portanto, desativar o XML-RPC pode ajudá-lo a evitar possíveis ameaças cibernéticas.

23. Desconecte usuários inativos

Logins inativos podem se tornar um portal para acesso não autorizado. Sua sessão pode ser sequestrada. É por isso que o site do seu banco o desconecta após um certo período.

É melhor que seu site WordPress desconecte automaticamente os usuários quando eles estiverem inativos. Isso pode reduzir significativamente as chances de qualquer problema.

Você pode usar plugins como Inactive Logout para automatizar esse processo. Com este plugin gratuito, você definirá períodos de tempo limite de inatividade. 

Plugin de logout inativo

Ele também permitirá que você personalize as mensagens de logout da sessão. Você informará aos usuários quando eles estiverem sendo desconectados devido à inatividade. 

Configurações de logout inativo

24. Oculte a versão do seu WordPress

Por padrão, seu código-fonte mostrará a versão do WordPress do seu site.

Versão do WordPress no código-fonte

Expor sua versão mais recente do WordPress pode parecer inofensivo, mas pode deixar seu site em risco. Hackers usam essas informações para explorar vulnerabilidades de segurança conhecidas em versões específicas. 

Existem muitas maneiras de ocultar sua versão do WordPress, mas recomendamos o uso de WPCode. Este plugin de trechos de código tem um trecho pré-fabricado para remover o número da sua versão do WordPress.

Plugin WPCode

Tudo o que você precisará fazer é pesquisar o trecho e usá-lo. 

Remove a versão do WordPress com o snippet WPCode

Em seguida, ative o novo trecho!

Ativa o snippet WPCode que oculta a versão do WP

25. Restaure seu site após ataques

Mesmo que você faça tudo certo, um hacker pode invadir seu site e causar danos. Caso isso aconteça, você precisará estar preparado. 

Restaurar seu site WordPress após um ataque pode parecer assustador. Mas é fácil com as ferramentas certas.

Duplicator Pro é um plugin de backup do WordPress que restaura seu site em segundos. Após um ataque, encontre o backup mais recente e sem erros e clique no botão Restaurar ao lado dele.

Restaurar backup

Alguns hackers podem bloquear seu acesso ao painel de administração do WordPress. Para evitar isso, certifique-se de configurar a recuperação de desastres com antecedência.

Crie um backup completo do seu site. Em seguida, clique no ícone da casa azul ao lado dele.

Ícone de recuperação de desastres

Depois de configurar a recuperação de desastres, o Duplicator fornecerá um link de recuperação e um arquivo lançador. Qualquer um deles restaurará seu site imediatamente após um ciberataque.

Opções de recuperação de desastres

Pessoalmente, prefiro o link de recuperação. Você simplesmente precisará abrir uma janela do navegador e colá-lo. Isso abrirá o assistente de recuperação do Duplicator (sem precisar do seu painel).

Recuperação de desastres

Para proteger seu site, salve o link de recuperação ou o arquivo lançador em um local seguro. Ele precisará estar fora do local, caso seu site saia do ar. 

Se você quiser ter certeza de que removeu quaisquer backdoors e outras vulnerabilidades de segurança, leia este tutorial sobre como consertar um site WordPress hackeado

Perguntas Frequentes Sobre Segurança WordPress

Como torno um site WordPress seguro?

Para proteger seu site WordPress, use um provedor de hospedagem web seguro, automatize backups, mantenha o software atualizado e monitore o acesso do usuário. Para preocupações de segurança mais complexas, não hesite em perguntar a um especialista.

Eu realmente preciso de um plugin de segurança para WordPress?

Um plugin de segurança ajuda a proteger seu site contra ameaças comuns. Eu o recomendaria para iniciantes porque você poderá aumentar sua segurança sem tocar em nenhum código. O Sucuri Security é uma ótima opção se você está apenas começando ou deseja uma abordagem sem complicações para a segurança do site. 

O WordPress tem vulnerabilidades?

A plataforma principal é bem mantida. Em 2025, apenas 6 vulnerabilidades foram encontradas no core do WordPress, todas de baixa gravidade. O risco real é o ecossistema de plugins e temas. Em 2025, 11.334 novas vulnerabilidades foram relatadas em plugins e temas do WordPress — 91% do total.

Qual é o maior perigo na segurança de sites WordPress?

Plugins desatualizados ou abandonados. Eles são o ponto de entrada para a maioria dos ataques bem-sucedidos. Manter todos os plugins atualizados e remover qualquer coisa que você não esteja usando ativamente fecha o vetor de ataque mais comum. Para plugins sem patch disponível, um WAF específico para WordPress com patching virtual é sua melhor proteção.

O governo dos EUA usa WordPress?

Sim. Agências federais, governos estaduais e sites municipais em todos os EUA rodam em WordPress. O site da Casa Branca já usou WordPress, e dezenas de domínios .gov também. O uso governamental não torna uma plataforma inerentemente segura — significa que a plataforma é capaz de atender aos requisitos de segurança quando configurada corretamente. As mesmas práticas deste guia se aplicam independentemente de quem está gerenciando o site.

Qual é a desvantagem de usar WordPress?

A principal desvantagem é o fardo da manutenção. O WordPress exige atualizações regulares no núcleo, plugins e temas, e pular essas atualizações é a causa mais comum de invasões. O ecossistema de plugins também é uma situação de dois gumes: os plugins oferecem flexibilidade, mas cada um que você adiciona expande sua superfície de ataque. Desempenho, conflitos de plugins e a curva de aprendizado para personalização avançada são outras reclamações comuns, embora nenhuma seja exclusiva do WordPress.

Quais são as vulnerabilidades comuns no WordPress?

Os tipos de vulnerabilidade mais explorados no WordPress são controle de acesso quebrado, cross-site scripting (XSS) e injeção de SQL. Quase todas são introduzidas por meio de plugins, não do núcleo. Credenciais fracas ou reutilizadas continuam sendo um ponto de entrada principal. Travessia de diretório, manipulação insegura de upload de arquivos e componentes desatualizados com CVEs sem patches completam a lista. Wordfence e Patchstack publicam bancos de dados de vulnerabilidades atualizados se você quiser acompanhar o que está sendo ativamente explorado.

Por que o WordPress é tão vulnerável?

Principalmente por causa da escala e abertura. O WordPress alimenta cerca de 43% de todos os sites, o que o torna o alvo mais valioso para ataques automatizados. Por ser de código aberto, a base de código é publicamente legível — qualquer um pode estudá-la em busca de fraquezas. O ecossistema de plugins adiciona dezenas de milhares de contribuidores de código de terceiros com práticas de segurança variadas. Nada disso torna o WordPress unicamente perigoso, mas significa que a plataforma atrai mais atenção sustentada de atacantes do que alternativas menores.

Sua Última Linha de Defesa: Um Backup Que Você Pode Restaurar

Nenhum checklist de segurança é perfeito. Plugins obtêm vulnerabilidades de dia zero. Provedores de hospedagem sofrem invasões. Membros da equipe são vítimas de phishing. A questão não é apenas como prevenir ataques, mas o que acontece com seu site quando um deles consegue passar.

Um processo de backup testado é o que muda o jogo. Se você puder restaurar seu site em poucos minutos a partir de um backup limpo, um ataque é uma interrupção menor. Sem um, é potencialmente um problema de R$ 14.500.

Mais de 1,5 milhão de profissionais de WordPress usam o Duplicator para backups e recuperação de desastres. Backups automáticos na nuvem, restauração com um clique do armazenamento em nuvem e um link de recuperação que funciona mesmo quando o wp-admin está completamente bloqueado — é a única ferramenta que eu colocaria nesta lista antes de qualquer outra.

Comece com o Duplicator

Se este guia fez você pensar sobre a resiliência geral do seu site, estes posts valem a pena ser lidos em seguida.

avatar do autor
Joella Dunn Content Writer
Joella is a writer with years of experience in WordPress. At Duplicator, she specializes in site maintenance — from basic backups to large-scale migrations. Her ultimate goal is to make sure your WordPress website is safe and ready for growth.
See Full Bio
ícone de rede social
beginner wordpress wordpress maintenance wordpress security
Our content is reader-supported. If you click on certain links we may receive a commission.
Obtenha o Duplicador - Economize 50%

Recursos Populares

Website Backup Speed: Why Your Backups Are Slow and How to Fix Them
Introducing Duplicator Pro 4.5.10 – New Dashboard Widget, Custom Recovery Folders, and More
WordPress 101: How to Back Up a WordPress Site for Peace of Mind
How to Migrate a WordPress Site (Beginner’s Guide for 2026)
Creating a Perfect Copy: How to Clone a WordPress Site Safely

Receba dicas e recursos gratuitos diretamente na sua caixa de entrada, junto com mais de 10.000 outros

Siga-nos

Não Deixe Mais Um Dia Passar Desprotegido

Cada hora sem backups adequados do WordPress coloca seu site em risco • Cada migração atrasada do WordPress custa desempenho e crescimento

Get Duplicator Now
Plugin Duplicator

Espere! Não perca sua
oferta exclusiva!

Como cliente , você recebe 60% DE DESCONTO

Experimente o Duplicator gratuitamente em seu site — veja por que mais de 1,5 milhão de profissionais do WordPress confiam em nós. Mas não espere — este desconto exclusivo de 60% está disponível apenas por tempo limitado.

or
Get 60% Off Duplicator Pro Now →

Nós o redirecionaremos para instalar o Duplicator em seu site WordPress. Nunca spam.