👋 Antes de começar: O cuidado contínuo é essencial para enfrentar os desafios dinâmicos do mundo digital. Nós sempre estaremos em busca de vulnerabilidades para corrigi-las.
Este guia de segurança para o WordPress está estruturado em duas seções principais (Essencial e Avançado). Cada seção é projetada para atender diferentes níveis de necessidade e experiência, garantindo que todos, de iniciantes a usuários avançados, possam aproveitar as informações da melhor forma possível.
Lembrando que essas são práticas que eu utilizo para proteção dos meus projetos.
👉 Alguns dos links abaixo são afiliados, o que significa que posso receber uma pequena comissão se você fizer uma compra através deles, sem nenhum custo adicional para você. Mas há também indicações de recursos gratuitos e que cumprem muito bem o seu papel.
Essencial: Práticas de Segurança WordPress Indispensáveis

O alicerce da segurança começa com uma boa hospedagem
O ponto de partida de qualquer empreendimento na web é a hospedagem. Essa escolha é tão crucial para a segurança do seu site como a fundação o é para uma casa.
Particularmente, utilizo e indico sempre para todos os meus clientes os modelos de hospedagem em nuvem e já explico o porquê.
A escolha da hospedagem ideal varia conforme as necessidades específicas de cada site, sendo que as opções mais seguras geralmente incluem hospedagens em Cloud ou em Servidores Virtuais Privados (VPS).
No entanto, apesar de muitos optarem por VPS, este tipo de hospedagem requer conhecimento técnico avançado ou uma equipe especializada para gerenciamento do servidor. E é por esse motivo que minha recomendação principal são as hospedagens Cloud gerenciadas.
Essas hospedagens são projetadas para oferecer uma excelente combinação de performance, segurança e escalabilidade, atendendo à maioria das demandas sem exigir o mesmo nível de especialização técnica que um VPS demandaria.
Se você já leu outros posts, sabe que minha hospedagem favorita atual é a Hostinger Cloud. Ela se destaca como uma escolha versátil e robusta, ideal para uma variedade de aplicações online, desde sites institucionais, blogs com alto volume de tráfego e até lojas virtuais.
Tanto meu site de serviços (leonardomarioto.com) quanto o FreeLab estão hospedados em servidores Cloud da Hostinger.
Frequentemente, recebo muitas pessoas desesperadas por terem tido seus projetos WordPress hackeados. E a Hostinger é de longe a hospedagem que menos apresentou problemas de segurança até o momento.
E, recentemente, um dos meus clientes, que lida com alto volume de tráfego, vinha enfrentando quedas frequentes no servidor. Fizemos um teste e, bang!, a Hostinger deu conta do recado.
Estou preparando o próximo post para falar somente sobre hospedagens. Assine a newsletter abaixo para receber o artigo em primeira mão 👋
News do FreeLab
Assine a news e fique por dentro sempre quando houver novidades!
HTTPS – Essencial para criptografar as informações do usuário
O HTTPS nada mais é do que hoje conhecemos por SSL (Secure Sockets Layer), que ajuda a criar um canal criptografado entre o usuário e o servidor, garantindo que qualquer informação transferida, como dados pessoais ou de pagamento, permaneça privada e segura.
Inclusive, o WooCommerce, plugin que transforma o WordPress em uma loja virtual, não funciona corretamente se acaso o SSL não estiver configurado no site.
Além disso, a implementação do SSL não se limita a uma questão de segurança; é também um fator SEO. O Google favorece sites seguros com classificações mais altas nos resultados de pesquisa. Então, se você ainda não o fez, obtenha um certificado SSL e eleve tanto a segurança quanto a visibilidade do seu site.
A maioria dos planos profissionais de hospedagem oferecem o certificado SSL gratuito, já incluso nos planos mensais.
Atualizações frequentes para correção de vulnerabilidades
Além do uso de hospedagens não confiáveis, aqui está um outro grande motivo dos sites serem hackeados, que é a falta do cuidado em atualizar os seus componentes principais: WordPress Core, Temas e Plugins.
Portanto, não há desculpas quando se trata de atualizações. O WordPress, assim como seus temas e plugins, é atualizado com frequência por uma razão crucial: segurança. A cada nova versão, correções para bugs e vulnerabilidades recentemente descobertas são aplicadas.
Outra dica importante é manter somente aquilo que é utilizado. Também frequentemente atendo clientes cujo sites foram infectados e, para minha pouca surpresa, a maioria deles possui diversos plugins desatualizados, plugins desativados mas não removidos, e múltiplos temas instalados. Na realidade, o ideal é que somente o tema principal (aquele que está em uso) permaneça instalado e ativo.
Por isso, também evite plugins em excesso e caso não esteja utilizando qualquer um deles, remova-o completamente, e não apenas desative. E lembre-se: instale plugins e temas somente de fontes confiáveis.
Promover o uso de credenciais fortes e únicas
As senhas são as chaves de nossas casas virtuais. Encorajar ou até mesmo impor a escolha de senhas seguras, com uma combinação de letras maiúsculas, minúsculas, números e caracteres especiais, é uma defesa simples, mas eficaz.
Também usar um serviço de autenticação de dois fatores (2FA) adiciona uma camada extra de proteção, que é altamente recomendada para qualquer login importante no WordPress (usuários com perfis de administrador, por exemplo).

Um plugin que também utilizo com frequência para isso é o “WP 2FA – Two-factor authentication for WordPress“. Para a maioria dos usuários, a versão gratuita já cumpre bem os requisitos de proteção.
Reduzir o risco de ataques de força bruta ao painel administrativo
Alterar o URL de login do painel é uma técnica simples, mas que fortalece a segurança do site. Ao modificarmos o endereço padrão (como /wp-admin ou /wp-login.php) para uma rota personalizada, dificultamos a ação dos invasores que buscam explorar essas páginas conhecidas com ataques de força bruta, que nada mais são do que tentativas automatizadas de adivinhar as credenciais de acesso.
Ferramentas de limitação de login, que bloqueiam acessos depois de um certo número de tentativas frustradas, são nossas melhores amigas para conter essas invasões.
Para esses casos, recomendo o uso de dois plugins: “Limit Login Attempts Reloaded” e o “WPS Hide Login“.

Garantir que o servidor esteja utilizando uma versão segura e atualizada do PHP
Sabemos que o PHP é a linguagem de programação que serve de base para o WordPress. Uma versão desatualizada ou insegura do PHP pode ser uma vulnerabilidade significativa para o seu site. Certifique-se sempre de usar a versão mais recente do PHP compatível com o WordPress, para garantir não só segurança aprimorada, mas também melhor desempenho.
Muitas hospedagens oferecem a atualização da versão do PHP de forma simples e descomplicada. E aqui mais um motivo que indico a Hostinger: os seus planos Cloud oferecem a flexibilidade de alterar a versão do PHP para cada site de forma individualizada, mesmo que todos estejam hospedados em um único servidor.
Lembre-se de fazer um backup de tudo antes de atualizar a versão.
Faça backups com frequência
Um backup é o nosso salva-vidas. Se o inesperado acontecer, um bom backup pode rapidamente devolver o site à vida como se nada tivesse acontecido.
A maioria dos planos de hospedagens sérios oferecem backups regulares, tanto diários quanto semanais, a depender do pacote contratado. Algumas dicas importantes são:
- Armazene backups em locais seguros, de preferência fora do servidor;
- Teste regularmente que os backups podem ser recuperados com sucesso;
- Tenha sempre mais do que somente 1 ou 2 backups;
- Lembre-se: é preciso fazer o backup tanto dos conteúdos do site (pastas, arquivos, etc.) quando do banco de dados (índices, tabelas, etc.).
E, sim, no início de minha trajetória cometi o erro de fazer o backup apenas dos conteúdos e me esqueci do banco de dados. Isso me trouxe muita dor de cabeça, mas, no final, tudo se resolveu 😌
Agora, vamos prosseguir com algumas dicas avançadas para proteger ainda mais nossos projetos WordPress.
Avançado: Estratégias de Segurança WordPress para Profissionais
Desabilitando a Edição de Arquivos
Desabilitar a edição de arquivos diretamente no painel administrativo de sistemas de gestão de conteúdo, como o WordPress, é uma prática de segurança importante. Isso previne que usuários, que possuam acesso administrativo, possam modificar arquivos de temas ou plugins diretamente através do editor de arquivos interno.
Para fazer isso, localize o arquivo wp-config.php
, que fica na pasta public_html
, raíz da sua instalação.
Você deve adicionar a linha de código “define('DISALLOW_FILE_EDIT', true);
“, logo antes da frase /* That's all, stop editing! Happy publishing. */
:

Desativando o relatório de erros PHP
Desativar o relatório de erros PHP é crucial para prevenir a exposição de informações sensíveis sobre sua configuração de servidor. Isso ajuda a proteger seu site contra potenciais hackers que exploram essas informações para ataques. Acesse o arquivo php.ini
localizado na raiz do seu servidor.
Para desativar os relatórios de erro, adicione ou modifique a linha “display_errors = Off
“. Certifique-se de fazer isso antes de terminar as configurações essenciais do arquivo.
Em muitas hospedagens, esse processo pode ser realizado com um único clique, como no exemplo abaixo:

Reduzir riscos de manipulação de banco de dados
Para reduzir os riscos de manipulação de banco de dados, é fundamental implementar controles estritos de acesso e uso de práticas de codificação seguras.
No arquivo de configuração, que já vimos anteriormente, wp-config.php
, certifique-se de usar senhas fortes e únicas para o acesso ao banco de dados.

Usando .htaccess para aumentar a segurança no WordPress
Utilizar o arquivo .htaccess
para aumentar a segurança do WordPress é uma técnica eficaz. Este arquivo, localizado na pasta public_html
, permite que você restrinja o acesso a certos arquivos e diretórios.
Adicione regras que neguem o acesso a arquivos importantes, como o wp-config.php
, para prevenir que sejam acessados diretamente, ou seja, que usuários não autorizados visualizem ou manipulem o arquivo através do navegador. Isso pode ser feito inserindo linhas como Deny from all
dentro das tags <Files>
apropriadas:

Implementar medidas para mitigar ataques de negação de serviço (DDoS)
Você sabe o que é uma rede CDN? Grosso modo, a CDN é uma rede de servidores distribuídos pelo mundo que trabalham em conjunto para fornecer entrega rápida de conteúdo da internet, independentemente da localização do usuário.
Para mitigar ataques de negação de serviço (DDoS), o uso de serviços como o da Cloudflare pode ser extremamente eficaz. A Cloudflare, além de outras funcionalidades, possui proteção contra DDoS, que absorve e filtra o tráfego malicioso antes que ele atinja o servidor.
A Cloudflare possui planos gratuitos e pagos, e os planos gratuitos já são mais do que suficientes para grande parte dos projetos.

Utilizar ferramentas especializadas para reforçar a segurança
Por fim, muitas ferramentas podem ajudar a aprimorar a segurança do seu site WordPress além das mencionadas anteriormente. Estas incluem scanners de vírus e malwares, ajustes mais finos de segurança, entre outros.
Aqui, também tenho minhas preferências.
Caso você esteja com o orçamento reduzido, eu indico a utilização do Wordfence em sua modalidade gratuita. Agora, se você precisa de uma proteção extra para projetos mais robustos, recomendo Virusdie ou Malcare, sendo a primeira minha escolha para projetos de parceiros.
Conclusão
Continuar educando-se sobre as melhores práticas e revisando as políticas regularmente é imprescindível para manter WordPress seguro.
Mas, é importante que seja dito: nenhum sistema é 100% infalível, mas uma abordagem de defesa proativa é o que vai tornar o seu site WordPress cada vez mais protegido.
Espero que as dicas compartilhadas sejam úteis para o desenvolvimento e segurança de seus projetos. Caso tenha alguma dúvida, sugestão ou precise de mais informações, fique à vontade para deixar seu comentário abaixo 👇🫡