Auditoria de Segurança WordPress:
encontre as vulnerabilidades antes dos atacantes
Análise completa ao seu site WordPress — plugins vulneráveis, configurações inseguras, permissões incorretas, headers HTTP em falta, exposição do painel de login e scanning de malware. Relatório detalhado com plano de correção prioritizado, entregue em 48 horas.
Tudo o que recebe na auditoria de segurança WordPress
Uma auditoria estruturada, metódica e documentada — não uma verificação superficial com ferramenta automática.
Os problemas mais comuns em sites WordPress auditados
A maioria dos sites WordPress tem pelo menos um problema crítico. Estes são os que encontramos com mais frequência — e que os atacantes procuram ativamente.
Plugins com CVEs conhecidos
Plugins populares com vulnerabilidades publicadas e não atualizados. Os atacantes fazem scanning automático para estes plugins — um site desatualizado é alvo em minutos.
wp-admin sem proteção
Página de login no URL padrão, sem limitação de tentativas, sem 2FA e com utilizador "admin". Esta combinação é a porta de entrada para a grande maioria dos ataques de força bruta.
Permissões de ficheiros incorretas
Pastas com permissão 777 ou ficheiros PHP executáveis em /uploads — erros que permitem que um atacante com acesso mínimo escale privilégios e plante backdoors.
Headers de segurança em falta
A ausência de headers como CSP, HSTS e X-Frame-Options expõe o site a clickjacking, XSS e ataques de man-in-the-middle. Correção simples mas raramente feita por padrão.
Malware já presente e não detetado
Sites comprometidos há semanas ou meses sem que o proprietário saiba — malware a enviar spam, páginas de phishing ocultas ou backdoors à espera de ativação.
Credenciais de base de dados expostas
Ficheiros wp-config.php acessíveis via web, debug.log com informação sensível ou credenciais de base de dados em ficheiros de backup acessíveis publicamente.
Quer saber se o seu WordPress tem vulnerabilidades críticas?
Faça uma primeira verificação gratuita de 30 minutos. Identificamos os problemas mais urgentes sem compromisso.
Da solicitação ao relatório — um processo claro e previsível
Auditoria estruturada que cobre todos os vetores relevantes e entrega resultados acionáveis, não apenas uma lista de problemas.
Recolha de contexto
Enviamos um questionário curto: tipo de site, plugins críticos, histórico de problemas, nível de tráfego e dados sensíveis tratados. Contexto que determina quais as áreas de maior risco a priorizar.
Acesso controlado ao ambiente
Solicitamos acesso temporário ao painel WordPress, SFTP e base de dados. Todo o acesso é registado, limitado ao período da auditoria e revogado imediatamente após a conclusão.
Análise técnica sistemática
Análise metodológica que cobre todos os vetores: ficheiros, base de dados, configurações do servidor, headers HTTP, plugins, utilizadores e logs. Combinamos ferramentas automatizadas com revisão manual.
Elaboração do relatório
Cada problema é documentado com: descrição técnica, nível de severidade, impacto potencial e instruções de correção específicas para o vosso ambiente.
Entrega e sessão de revisão
Entregamos o relatório e fazemos uma sessão de revisão de 30 minutos para explicar os problemas encontrados, responder dúvidas e acordar o plano de implementação das correções.
Auditoria técnica real — não um relatório gerado automaticamente
Muitas "auditorias" são simplesmente relatórios de ferramentas automáticas enviados sem análise. A nossa é feita por especialistas que entendem o contexto do vosso negócio.
Análise manual por especialistas
As ferramentas automatizadas encontram os problemas óbvios. A análise manual encontra os problemas específicos do vosso ambiente — configurações personalizadas e riscos contextuais.
Relatório acionável
O relatório é escrito para ser usado, não apenas arquivado. Cada problema tem instruções claras de correção que qualquer desenvolvedor pode implementar sem nos consultar novamente.
Confidencialidade total
Todas as credenciais e dados acedidos durante a auditoria são tratados com confidencialidade estrita. Trabalhamos sob NDA se necessário. Todos os acessos são revogados após a conclusão.
Correção incluída se necessário
Se preferirem, implementamos todas as correções identificadas com um custo fixo acordado após a auditoria. Não fazemos auditoria e deixamos os problemas por resolver.
Verificação pós-correção
Após a implementação das correções, fazemos uma nova verificação para confirmar que todos os problemas foram resolvidos e que não surgiram novos problemas durante o processo.
Suporte em português
Equipa portuguesa, relatórios em português, comunicação direta. Explicamos os problemas sem jargão excessivo para que a equipa de gestão entenda o que está em risco.
Dúvidas sobre a Auditoria de Segurança WordPress
O que está incluído numa auditoria de segurança WordPress?
A auditoria cobre: análise de plugins e temas (versões, CVEs conhecidos, plugins abandonados), revisão de permissões de ficheiros e pastas, verificação de headers HTTP de segurança, exposição da página de login, configuração do wp-config.php, scanning de malware, revisão de utilizadores e roles, análise de logs de acesso recentes e verificação de HTTPS/SSL. O resultado é um relatório estruturado com severidade (crítico, alto, médio, baixo) e passos de correção específicos.
Com que frequência devo fazer uma auditoria de segurança?
Recomendamos pelo menos uma auditoria anual para sites com tráfego moderado, e trimestral para e-commerce, sites com dados sensíveis ou plataformas de membership. Adicionalmente, deve fazer uma auditoria sempre que: instalar ou remover plugins significativos, mudar de hosting, detetar comportamento estranho no site, ou após um incidente de segurança.
O meu site foi hackeado. A auditoria ajuda a perceber como entrou?
Sim. A análise forense faz parte da auditoria pós-incidente: analisamos logs de acesso, ficheiros modificados recentemente, backdoors instalados, utilizadores criados sem autorização e padrões de tráfego suspeitos. O objetivo é identificar o vetor de entrada, limpar o site e fechar a vulnerabilidade para evitar reinfecção.
Quanto tempo demora a receber o relatório?
Para sites WordPress standard, o relatório é entregue em 24 a 48 horas úteis. Sites mais complexos (e-commerce, multisite, muitos plugins customizados) podem requerer 3-4 dias. O relatório inclui: resumo executivo, lista priorizada de problemas, instruções de correção passo a passo e recomendações de manutenção preventiva.
Precisam de acesso ao painel WordPress para fazer a auditoria?
Para uma auditoria completa, pedimos acesso de administrador ao painel WordPress, acesso FTP/SFTP ao servidor e acesso à base de dados (ou cPanel/Plesk). O acesso é usado apenas durante a auditoria, pode ser revogado imediatamente após, e nunca partilhamos credenciais com terceiros.
O que acontece depois da auditoria? Fazem a correção?
Sim. Após a auditoria, podemos implementar todas as correções identificadas — o que a maioria dos clientes prefere por eficiência. Alternativamente, entregamos o relatório detalhado para que a vossa equipa técnica execute as correções. Em ambos os casos, fazemos uma verificação final após a implementação para confirmar que todos os problemas foram resolvidos.