Segurança WordPress: 12 Medidas Que Deve Implementar Hoje

Mais de 40% da web corre em WordPress, o que o torna o sistema de gestão de conteúdo mais atacado do mundo. A maioria dos ataques não é dirigida — são bots que percorrem a internet a testar vulnerabilidades conhecidas em versões desactualizadas de plugins e configurações por defeito. Isto significa que proteger um site WordPress não exige medidas extraordinárias: exige implementar as medidas básicas correctamente e mantê-las actualizadas.

Este artigo lista as 12 medidas de segurança WordPress com maior impacto real, ordenadas por facilidade de implementação. As primeiras podem ser implementadas em menos de uma hora; as últimas requerem um pouco mais de tempo mas têm impacto proporcional.

Medidas de acesso e autenticação (as mais críticas)

1. Passwords fortes e únicas para todas as contas WordPress

A maioria dos ataques de força bruta testa combinações de passwords comuns. Passwords com 16+ caracteres que incluem maiúsculas, minúsculas, números e símbolos eliminam praticamente este vector. Usar um gestor de passwords (Bitwarden, 1Password) para gerar e armazenar passwords únicas por site.

2. Autenticação de dois factores (2FA) para administradores

Mesmo com uma password comprometida, o 2FA impede o acesso não autorizado. Implementar com o plugin WP 2FA ou Google Authenticator. Para lojas WooCommerce, activar também para contas de loja com acesso a encomendas.

3. Limitar tentativas de login

Por defeito, WordPress permite tentativas de login ilimitadas — o que facilita ataques de força bruta. Plugins como Limit Login Attempts Reloaded ou Wordfence limitam o número de tentativas falhadas e bloqueiam IPs após o limite.

4. Alterar o URL de login padrão

A URL /wp-login.php é conhecida por todos os bots. Alterar para um URL personalizado (ex: /acesso-privado) reduz drasticamente o volume de tentativas de login automáticas. Plugin: WPS Hide Login.

Medidas de actualização e código

5. Manter WordPress, plugins e temas actualizados

A causa mais comum de comprometimento WordPress são vulnerabilidades em plugins ou temas desactualizados. Actualizações de segurança devem ser aplicadas rapidamente após lançamento — idealmente em staging primeiro para validar compatibilidade.

6. Remover plugins e temas inactivos

Plugins desactivados mas instalados continuam a ser vectores de ataque se tiverem vulnerabilidades. Remover completamente (não apenas desactivar) qualquer plugin ou tema que não está a ser usado activamente.

7. Usar apenas plugins e temas de fontes confiáveis

Plugins e temas de sites de terceiros não verificados são uma das principais fontes de malware WordPress. Usar exclusivamente o repositório oficial wordpress.org ou desenvolvedores estabelecidos com histórico verificável.

Medidas de servidor e configuração

8. Configurar permissões de ficheiros correctas

Permissões incorrectas permitem que ficheiros sejam modificados por processos não autorizados. As configurações correctas: ficheiros WordPress a 644, pastas a 755, wp-config.php a 600 (só o proprietário lê e escreve).

9. Proteger o wp-config.php

O wp-config.php contém credenciais da base de dados e chaves de segurança. Mover para um directório acima da raiz pública (WordPress detecta automaticamente), e adicionar regra .htaccess para negar acesso directo.

10. Desactivar a edição de ficheiros no wp-admin

O editor de ficheiros built-in do WordPress permite editar código PHP directamente no browser — se uma conta admin for comprometida, este editor é uma porta de entrada para malware. Desactivar adicionando ao wp-config.php: define('DISALLOW_FILE_EDIT', true);

Medidas de monitorização e resposta

11. Implementar firewall de aplicação web (WAF)

Um WAF filtra pedidos maliciosos antes de chegarem ao WordPress — bloqueando tentativas de SQL injection, XSS e outros ataques comuns. Cloudflare (plano gratuito inclui WAF básico) ou Wordfence Premium oferecem protecção efectiva.

12. Scans regulares de malware e monitorização de integridade

Verificações periódicas de malware e comparação de checksums de ficheiros core detectam comprometimentos precocemente — frequentemente antes de qualquer sintoma visível. Wordfence ou Sucuri Security automatizam estes scans. A frequência mínima recomendada é semanal para sites activos.