Problemas com segurança WordPress? Confira 6 dicas para evitar invasões.

Provavelmente em algum momento você já se frustrou com algum tipo de problema de segurança com o WordPress, isso é mais recorrente do que imagina.

Com a criação das plataformas de CMS, a criação e manutenção de sites deixou de ser um “bicho de sete cabeças” e simplificou a criação de qualquer tipo de site de forma mais simples e com alta qualidade.

Hoje, o WordPress é o CMS mais utilizado no mundo. Em média 30% dos sites são construídos em WordPress, o que dá abertura para diversos tipos de ataques.

Se o seu site é WP, é possível que ele já tenha sofrido com alguma tentativa de invasão, independente se obteve sucesso ou não.

Mas o WordPress é seguro?

Eu sei que esse alto índice de tentativa de ataques pode te assustar. Mas isso não significa que a segurança WordPress tenha sérios problemas com falhas de segurança.

Definir o WordPress como ferramenta segura é complicado. O que você precisa saber é que um quarto da internet considera que ela é segura o suficiente.

A questão é a seguinte: grande parte da responsabilidade dessa segurança é sua! É importante saber e respeitar as regras e melhores práticas de segurança do WP e manter seus sites os mais seguros possíveis.

Principais tipos de ataques ao WordPress

Confira algumas formas mais utilizadas para ataques por cibercriminosos:

  • Força bruta: É forma mais frequente de ataque ao WP! Funciona assim: algum robô ou bot fica forçando e tentando adivinhar a senha de acesso ao painel de controle do WordPress. Eles repetem diversas combinações possíveis de senha e usuários comuns na página de login do WordPress.
  • Ataque ao código PHP do site: Aqui os hackers buscam vulnerabilidades no código PHP de determinados sites para conseguir invadí-lo. Essas vulnerabilidades podem ser originadas por plugins e temas desatualizados ou até mesmo no código núcleo de WP.
  • Conta sem privilégios: Cibercriminosos podem criar uma conta de usuários sem privilégios por meio de sites com registro de usuário. A partir disso, eles utilizam de falhas no código para transformar o usuário dele em um administrador e dominar a conta do WP.
  • Aplicativos desatualizados: outra forma de hackear um WordPress é através de aplicações antigas ou desatualizadas com integração ao seu WP. Com esse ataque, eles poderão modificar seus arquivos WordPress e infectar o seu site.

Apesar de ser possível atacar um WordPress por diversos tipos de entradas, não significa que o seu WP será invadido e todas as suas informações vazadas. Veja algumas dicas simples para evitar esses tipos de ataques.

6 dicas para manter a segurança WordPress.

1. Bom servidor.

O primeiro passo, que vai te poupar grandes dores de cabeça, é a escolha de um servidor de qualidade.

Existem diversos tipos de ataques, de ataques simples direto no WP aos nível de servidor. A primeira etapa é selecionar um bom servidor.

Opte sempre por um servidor que te ofereça: antivírus, antispam, monitoramento, proteção contra ataques, backups diários e atualizações automáticas. Existem algumas opções no mercado, como a Configr, que é capaz de te fornecer a melhor experiência em segurança.

Procure sempre por aqueles que oferece WAF e rate-limit no wp-login! O WAF funciona como uma espécie de Firewall, mas não da forma tradicional. Além de monitorar, filtrar e bloquear elementos perigosos no tráfego ele impede que configurações erradas de segurança sejam executadas. Já o rate-limit bloqueia várias tentativas sucessivas de login no painel de administração.

2. Proteção de login

Existem diversas formas que você pode previnir um ataque e melhorar a segurança WordPress por meio do login:

  • Rate-limit: como falei logo ali em cima, o rate-limit bloqueia o acesso de quem digita a senha, ou usuário, errada repetitivamente. Isso é muito importante, pois invalida os robôs ou bots chatos que tentam invadir nossos sites.

  • Não utilize usuário óbvio: várias pessoas utilizam o mesmo padrão para nomear o usuário. Utilizar o seu nome ou “admin” nas contas é uma forma muito óbvia para hackers se aproveitarem. Por tanto, utilize emails como usuário ou um nome mais elaborado.

  • senha forte: É muito importante que você utilize uma senha complexa para seu WP. O mesmo vale para o seu servidor de hospedagem, principalmente se for compartilhada.

3. Backups frequentes

A gente sempre espera que o pior não aconteça. Mas se por um acaso algum infortuno acontecer ao seu site, você precisa de um backup! Com ele você garante as informações originais e consegue contornar esta situação indesejada.

Se o seu servidor for bom, com backups diários, já é um grande passo. Mas se não tiver, o próprio WordPress possui seu próprio sistema de backup. Apesar do investimento extra que você terá, vai ter a garantia do seu site original.

Além disso, existem alguns aplicativos no mercado que proporcionam este serviço.Eles fazem backups via FTP ou integra a uma fonte de armazenamento externa.

4. Certificado SSL

Sua função é criar um canal seguro de transferência de informações entre o navegador do usuário e o servidor. Assim, ele evita que pessoas mal-intencionadas efetuem escutas ilegais dos dados transferidos na rede.

Ter esse cadeado verdinho e essa sinalização de Seguro, além de proteger as informações dos seus usuários, passa uma imagem de muito mais credibilidade e segurança.

5. Renomeie a URL de login

A URL padrão para qualquer site WordPress é www.exemplo.com/wp-admin. Isso significa que o endereço para o login da sua area administrativa está obvia para todo mundo, inclusive hackers e bots maliciosos.

O ideal é que você não entregue tão facilmente este endereço e troque esta URL por qualquer outra de seu interesse. Existe algumas forma de fazer isso, mas umas das mais eficazes são alguns plugins.

6. Mantenha tudo atualizado.

Por último, mas não menos importante, mantenha sempre em dia as atualizações de core, plugins e tema.

Já vimos que plugins e versão do WP desatualizados podem trazer uma grande dor de cabeça. Por isso, basta manter tudo redondinho, sempre a última versão.

No painel de controle do WordPress, é possível encontrar alertas que avisam da necessidade de atualizações. Por isso, essa etapa além de crucial é bem simples de se manter, né?


Essas foram algumas dicas que apesar de básicas, são essenciais e muito eficazes para manter a segurança WordPress.

A Configr possui como padrão as melhores práticas para segurança do WordPress, por isso além de otimizado para SEO, seu site estará sempre seguro.

Já teve problema com invasão no seu site? Conta pra gente aqui embaixo o que te ajudou a evitar esse tipo de problema.

Até a próxima,