Foto: nenadstojkovicart (BY) via Openverse
Como deixar o WordPress seguro
O WordPress roda em quase metade dos sites do mundo, e justamente por isso é o alvo preferido de quem tenta invadir sites por aí. Mas não se assuste: a esmagadora maioria dos ataques é automática e mira em descuidos básicos, como senhas fracas e plugins desatualizados. Quem fecha essas portas evita praticamente todos os problemas.
Neste guia você vai aprender as medidas de segurança que realmente importam para um iniciante, em ordem de prioridade: senhas, atualizações, plugins de segurança, login protegido, HTTPS e backup. Nada de termos complicados, só o que protege o seu trabalho de verdade.
O curso Carregador de Páginas te ensina a criar a sua própria página de vendas com WordPress + Elementor, do zero, sem saber programar. Conhecer o curso →
1. Use senhas fortes e um bom nome de usuário
Essa é, de longe, a medida mais importante e a mais negligenciada. A maioria das invasões acontece por senhas óbvias e pelo usuário padrão "admin".
- Nunca use "admin" como nome de usuário. Crie um usuário administrador com outro nome e apague o "admin", se existir.
- Senha longa e única: misture letras maiúsculas, minúsculas, números e símbolos. Quanto mais longa, melhor. Nada de "123456" ou o nome do seu negócio.
- Use um gerenciador de senhas para guardar tudo sem precisar decorar.
Só isso já bloqueia a maior parte dos ataques automáticos, que ficam tentando combinações comuns dia e noite.
2. Mantenha tudo atualizado
Atualizações não são só novidades: elas corrigem falhas de segurança descobertas. Um plugin desatualizado é uma janela aberta para invasores. Mantenha sempre em dia:
- O núcleo do WordPress (o aviso aparece no topo do painel).
- Os plugins (em Plugins → Plugins instalados).
- O tema ativo.
Sempre que ver o aviso de atualização, faça um backup rápido e atualize. E apague plugins e temas que você não usa: cada um parado é um risco a menos quando removido.
3. Instale um plugin de segurança
Um bom plugin de segurança funciona como um porteiro para o seu site. Opções gratuitas e populares são o Wordfence e o Solid Security (antigo iThemes Security). Eles oferecem:
- Firewall: bloqueia acessos suspeitos antes que cheguem ao seu site.
- Verificação de vírus: escaneia os arquivos em busca de código malicioso.
- Limite de tentativas de login: bloqueia quem erra a senha muitas vezes seguidas.
Instale um deles (apenas um, para não haver conflito), ative as proteções recomendadas e pronto: você ganhou uma camada forte de defesa sem esforço.
4. Proteja a tela de login
A página de login (seusite.com/wp-admin) é a porta da frente. Reforce-a:
- Limite de tentativas: já incluso na maioria dos plugins de segurança, evita que tentem mil senhas seguidas.
- Verificação em duas etapas (2FA): além da senha, pede um código do seu celular. Mesmo que descubram sua senha, não entram. Vários plugins de segurança oferecem isso.
- Esconda ou troque o endereço de login se o seu plugin permitir, para dificultar ataques automáticos.
5. Garanta o HTTPS (cadeado de segurança)
O HTTPS é o que coloca aquele cadeado ao lado do endereço do site e criptografa os dados entre o visitante e você. Hoje é obrigatório: o Google penaliza sites sem ele e os navegadores avisam que o site é "não seguro".
A boa notícia é que quase toda hospedagem oferece o certificado SSL gratuito (Let's Encrypt). Ative no painel da hospedagem e confirme que o endereço do seu site começa com https:// em Configurações → Geral.
6. Tenha sempre um backup recente
Por mais que você se proteja, segurança total não existe. O backup é a sua rede de segurança: se o pior acontecer, você restaura o site em minutos em vez de perder tudo. Use um plugin como o UpdraftPlus, agende backups automáticos e guarde as cópias fora do servidor, na nuvem. Segurança e backup andam sempre juntos.
7. Escolha uma hospedagem de qualidade
Boa parte da segurança vem de baixo. Hospedagens sérias mantêm os servidores atualizados, monitoram ataques e oferecem proteções extras. Hospedagem muito barata e desconhecida costuma economizar justamente em segurança. Vale considerar isso ao escolher onde seu site vai morar.
8. Hábitos simples que evitam dor de cabeça
Além das ferramentas, boa parte da segurança vem de hábitos do dia a dia. São cuidados que não custam nada e evitam a maioria dos sustos. Nunca instale temas ou plugins "piratas" baixados de sites desconhecidos, pois é a forma mais comum de um site ser infectado por vírus de propósito. Não use o computador público ou redes de wi-fi abertas para acessar o painel do seu site sem cuidado. Crie um usuário separado, sem poderes de administrador, para tarefas do dia a dia como escrever posts, deixando a conta de administrador só para quando for realmente necessário. E, sempre que alguém parar de trabalhar com você, remova o acesso dessa pessoa. Segurança é menos sobre um plugin mágico e mais sobre não deixar portas abertas por descuido.
Perguntas frequentes
Meu site é pequeno, mesmo assim corro risco?
Sim. A maioria dos ataques é automática e não escolhe o tamanho do site. Robôs varrem a internet inteira procurando qualquer site com brecha.
Plugin de segurança deixa o site lento?
Plugins bem feitos como Wordfence e Solid Security têm impacto mínimo. O benefício de proteção compensa muito.
Fui invadido. E agora?
Restaure um backup limpo, troque todas as senhas, atualize tudo e rode uma verificação completa com um plugin de segurança. Por isso o backup é tão importante.
Preciso saber programar para deixar o site seguro?
Não. Todas as medidas deste guia são feitas com cliques no painel e com plugins. Nenhuma exige código.
Aprenda a fazer sozinho, passo a passo. Ver o curso Carregador de Páginas →
Leia também: Como fazer backup do WordPress · Plugins essenciais do WordPress · Hospedagem de site: como escolher