Checklist de Segurança WordPress 2025: 20 Pontos Essenciais

WordPress alimenta mais de 40% da web — o que o torna o alvo mais atacado de qualquer CMS. A maioria dos ataques bem-sucedidos não explora vulnerabilidades zero-day sofisticadas; explora configurações por defeito, plugins desactualizados e passwords fracas. Esta checklist cobre os 20 pontos que separam um site seguro de um alvo fácil.

Autenticação e controlo de acesso

• 1. Autenticação de dois factores (2FA) no admin WordPress — obrigatório para todos os utilizadores com papel Editor ou superior. Plugins: WP 2FA, Google Authenticator.
• 2. Password forte e única para todas as contas admin — mínimo 16 caracteres, gerada por gestor de passwords (Bitwarden, 1Password). Nunca reutilizar passwords de outros serviços.
• 3. Utilizador "admin" renomeado — o nome de utilizador "admin" é o primeiro alvo de ataques de força bruta. Criar novo utilizador com nome diferente, atribuir papel Administrador, apagar o utilizador "admin".
• 4. Limitar tentativas de login — bloquear IP após 3-5 tentativas falhadas. Wordfence ou Limit Login Attempts Reloaded.
• 5. Restringir acesso ao wp-login.php — via .htaccess, limitar ao IP do cliente ou adicionar camada de autenticação HTTP Basic.

Actualizações e dependências

• 6. WordPress core actualizado — versões desactualizadas têm vulnerabilidades conhecidas publicamente indexadas no WPScan. Actualizar sempre em staging primeiro.
• 7. Plugins actualizados — 90% dos compromissos WordPress acontecem via plugins vulneráveis. Auditar plugins activos: desinstalar os que não são usados, substituir os abandonados.
• 8. Temas actualizados — incluindo o tema filho e temas inactivos. Temas inactivos instalados têm vulnerabilidades mesmo sem estar activados.
• 9. Eliminar temas e plugins não utilizados — código instalado mas desactivado ainda pode ser explorado. Desinstalar completamente (não apenas desactivar).
• 10. Nunca usar themes ou plugins nulled — software pirata frequentemente contém backdoors deliberados. O custo de uma licença é sempre inferior ao custo de uma limpeza de malware.

Configuração do servidor e ficheiros

• 11. Permissões de ficheiros correctas — directórios: 755, ficheiros: 644, wp-config.php: 600 ou 640. Permissões 777 são uma vulnerabilidade grave.
• 12. Proteger wp-config.php — mover para um nível acima da raiz web (WordPress verifica automaticamente) ou bloquear acesso externo via .htaccess.
• 13. Desactivar XML-RPC se não for usado — XML-RPC é um vector de ataques de força bruta e DDoS de amplificação. Desactivar via plugin ou .htaccess.
• 14. Desactivar edição de ficheiros no painel — adicionar define('DISALLOW_FILE_EDIT', true); ao wp-config.php impede que um atacante com acesso ao admin edite ficheiros PHP directamente.
• 15. SSL/TLS actualizado — HTTPS obrigatório em todas as páginas, redireccionamento automático de HTTP para HTTPS, certificado válido e renovado automaticamente.

Monitorização e detecção

• 16. Plugin de segurança activo com WAF — Web Application Firewall bloqueia ataques conhecidos antes de chegarem ao WordPress. Wordfence (gratuito e premium), Solid Security, ou Cloudflare WAF.
• 17. Monitorização de integridade de ficheiros — alertar quando ficheiros do core WordPress ou de plugins são modificados. Wordfence faz isto; também disponível via auditoria de hosting.
• 18. Logs de segurança activos — registar tentativas de login falhadas, alterações de utilizadores, e modificações de ficheiros. Essencial para análise forense pós-incidente.
• 19. Verificação regular de blacklists — Google Safe Browsing, Sucuri, Norton, MXToolbox. Um site na blacklist perde visibilidade no Google e navegadores mostram aviso de perigo.

Backup e recuperação

• 20. Backups testados com política 3-2-1 — backup diário, cópia offsite (não no mesmo servidor), teste de restauro mensal documentado. Um backup não testado não é um backup.

Priorização: por onde começar?

Se estiver a fazer a primeira auditoria de um site, priorize nesta ordem: 2FA (ponto 1), actualizações de core e plugins (6-8), limitar tentativas de login (4), backups offsite (20), e SSL (15). Estes 5 pontos eliminam a maioria dos vectores de ataque mais comuns.