Segurança

Como Proteger Site WordPress de Hackers: Guia 2025

· Ana Sousa · 10 min de leitura

Não existe um site WordPress "demasiado pequeno para ser atacado". Bots automatizados testam milhões de sites diariamente, procurando plugins desactualizados, passwords fracas e configurações vulneráveis. A protecção eficaz não requer conhecimento avançado — requer implementar as medidas certas e mantê-las actualizadas.

Os vectores de ataque mais comuns

Compreender como os ataques acontecem ajuda a priorizarmedi

  • Plugins/temas desactualizados (39%): Vulnerabilidades conhecidas com exploits públicos
  • Brute force no login (16%): Tentativas automáticas de passwords comuns
  • Hosting comprometido (14%): Outro site no servidor partilhado é hackeado
  • Plugins/temas nulled (11%): Software pirata com backdoors incluídos
  • Passwords roubadas (10%): Re-utilização de credentials de data breaches
  • SQL injection e XSS (10%): Vulnerabilidades em código customizado

Medidas de protecção prioritárias

1. Manter tudo actualizado

A medida mais eficaz. 39% dos hacks exploram vulnerabilidades em software desactualizado. Actualizar WordPress core, plugins e temas logo que patches de segurança são lançados. Usar staging para validar antes de aplicar em produção.

2. Passwords fortes + 2FA

Passwords de 16+ caracteres geradas aleatoriamente + autenticação de dois factores elimina praticamente todos os ataques brute force. Implementar para todas as contas admin e editor.

3. Instalar firewall (WAF)

Um Web Application Firewall bloqueia pedidos maliciosos antes de chegarem ao WordPress. Opções:

  • Cloudflare (gratuito para protecção básica, WAF no plano Pro)
  • Wordfence (firewall a nível de aplicação, gratuito com premium opcional)
  • Sucuri (WAF cloud-based com CDN incluído)

4. Limitar acesso ao wp-admin

  • Alterar URL de login (WPS Hide Login)
  • Limitar tentativas de login falhadas
  • Bloquear acesso por IP se possível (para equipa com IPs fixos)
  • Desactivar XML-RPC se não usado (Disable XML-RPC plugin)

5. Configurar permissões correctas

  • Ficheiros: 644 | Pastas: 755 | wp-config.php: 600
  • Desactivar edição de ficheiros no admin: define('DISALLOW_FILE_EDIT', true);
  • Não usar "admin" como username da conta principal

6. Backups regulares testados

A última linha de defesa. Backup diário com retenção de 30 dias, armazenado externamente (não no mesmo servidor). Testar restore mensalmente — um backup nunca restaurado não é um backup.

7. Monitorização de integridade

Detectar alterações não autorizadas a ficheiros. Wordfence inclui file integrity monitoring que compara ficheiros do core WordPress com o repositório oficial e alerta sobre modificações.

Plugins de segurança recomendados

  • Wordfence: firewall + malware scan + login security (o mais completo gratuito)
  • Solid Security (iThemes Security): hardening + 2FA + file monitoring
  • Sucuri Security: auditoria + malware scan + hardening

Nota: instale apenas UM plugin de segurança completo. Múltiplos plugins de segurança conflituam e degradam performance.

Checklist de segurança rápida

  • ✓ WordPress, plugins e temas actualizados
  • ✓ Passwords fortes + 2FA activado
  • ✓ Firewall activo (Cloudflare ou plugin)
  • ✓ Login URL alterado + tentativas limitadas
  • ✓ Permissões de ficheiros correctas
  • ✓ Backups diários testados
  • ✓ SSL/HTTPS forçado
  • ✓ Plugins/temas não usados removidos
  • ✓ XML-RPC desactivado
  • ✓ Monitorização de uptime activa

Segurança gerida pela Vuvo

Os planos de manutenção incluem hardening, monitorização de segurança, backups testados e resposta a incidentes para todos os sites da agência.

Ver planos de manutenção