O Guia Definitivo de Segurança do WordPress – Passo a Passo (2025)

Todo proprietário de site WordPress que conhecemos já teve aquele momento de pânico ao perceber que seu site poderia estar vulnerável a hackers. Aprendemos essa lição da maneira mais difícil no início de nossa jornada, quando vimos o que violações de segurança poderiam fazer com os negócios.

É por isso que, ao longo dos anos, mantivemos o WPBeginner seguro contra ataques repetidos usando os melhores plugins de segurança e seguindo as melhores práticas de segurança do WordPress.

A segurança do WordPress não precisa ser complicada ou cara. A maioria dos proprietários de sites pensa que precisa contratar especialistas ou gastar milhares em ferramentas de segurança, mas isso simplesmente não é verdade. Com a abordagem certa e estratégias comprovadas, você pode proteger seu site assim como nós protegemos o nosso.

Passamos anos testando plugins de segurança, implementando as melhores práticas e ajudando milhares de usuários do WordPress a proteger seus sites. Neste guia, vamos guiá-lo por cada etapa que usamos para manter nosso site seguro, para que você possa dormir tranquilamente sabendo que seu site WordPress está protegido.

Embora o software principal do WordPress seja muito seguro e auditado regularmente por centenas de desenvolvedores, ainda há muito a ser feito para manter seu site seguro.

Na WPBeginner, acreditamos que a segurança não é apenas sobre eliminação de riscos. É também sobre redução de riscos. Como proprietário de um site, há muito que você pode fazer para melhorar a segurança do seu WordPress, mesmo que você não seja um expert em tecnologia.

É por isso que montamos uma lista de verificação de segurança do WordPress com etapas acionáveis que você pode tomar para proteger seu site contra vulnerabilidades de segurança.

Para facilitar, criamos um índice para ajudá-lo a navegar facilmente pelo nosso guia definitivo de segurança do WordPress.

Índice

Noções básicas de segurança do WordPress

• Por que a segurança do WordPress é importante
• Mantenha o WordPress atualizado
• Use Senhas Fortes e Permissões de Usuário
• Entenda o Papel da Hospedagem WordPress

Segurança do WordPress em Passos Simples (Sem Código)

• Instale uma Solução de Backup do WordPress
• Instale um Plugin de Segurança WordPress Reputável
• Habilite um Firewall de Aplicação Web (WAF)
• Mova seu Site WordPress para SSL/HTTPS

Segurança do WordPress para Usuários DIY

• Altere o Nome de Usuário Padrão do Administrador
• Desabilite a Edição de Arquivos
• Desabilite a Execução de Arquivos PHP em Certos Diretórios do WordPress
• Limite as Tentativas de Login
• Adicione Autenticação de Dois Fatores (2FA)
• Altere o Prefixo do Banco de Dados do WordPress
• Proteja com Senha a Página de Administração e Login do WordPress
• Desabilite a Indexação e Navegação de Diretórios
• Desabilite o XML-RPC no WordPress
• Deslogar Automaticamente Usuários Inativos no WordPress
• Adicionar Perguntas de Segurança ao Login do WordPress
• Escanear WordPress em Busca de Malware e Vulnerabilidades
• Corrigir um Site WordPress Invadido

Pronto? Vamos começar.

Por Que a Segurança do Site é Importante

Um site WordPress invadido pode causar sérios danos à receita e à reputação do seu negócio. Hackers podem roubar informações e senhas de usuários, instalar software malicioso e até distribuir malware para seus usuários.

Pior ainda, você pode acabar pagando ransomware aos hackers apenas para recuperar o acesso ao seu site.

Todos os dias, o Google alerta 12-14 milhões de usuários que um site que eles estão tentando visitar pode conter malware ou roubar informações.

Além disso, o Google coloca em lista negra mais de 10.000 sites por dia por malware ou phishing.

Assim como proprietários de negócios com um local físico são responsáveis por proteger suas propriedades, proprietários de negócios online precisam prestar atenção extra à segurança do WordPress.

[Voltar ao Topo ↑]

Mantenha o WordPress atualizado

O WordPress é um software de código aberto e é regularmente mantido e atualizado. Por padrão, o WordPress instala automaticamente atualizações menores.

Para lançamentos importantes, você precisa iniciar manualmente a atualização.

O WordPress também vem com milhares de plugins e temas que você pode instalar em seu site. Esses plugins e temas são mantidos por desenvolvedores terceirizados, que também lançam atualizações regularmente.

Estas atualizações do WordPress são cruciais para a segurança e estabilidade do seu site WordPress. Você precisa garantir que o core, plugins e tema do WordPress estejam atualizados.

[Voltar ao Topo ↑]

Use Senhas Fortes e Permissões de Usuário

As tentativas mais comuns de hacking do WordPress usam senhas roubadas. No entanto, você pode dificultar isso usando senhas mais fortes e exclusivas para o seu site.

Não estamos falando apenas da área de administração do WordPress. Lembre-se de criar senhas fortes para suas contas FTP, bancos de dados, contas de hospedagem WordPress e endereços de e-mail personalizados que usam o nome de domínio do seu site.

Muitos iniciantes não gostam de usar senhas fortes porque são difíceis de lembrar. A boa notícia é que você não precisa mais se lembrar de senhas, pois pode simplesmente usar um gerenciador de senhas.

Veja nosso guia sobre como gerenciar senhas do WordPress para mais informações.

Outra maneira de reduzir o risco é não dar a ninguém acesso à sua conta de administrador do WordPress, a menos que você realmente precise.

Se você tem uma equipe grande ou autores convidados, certifique-se de entender as funções e permissões de usuário no WordPress antes de adicionar novas contas de usuário e autores ao seu site WordPress.

[Voltar ao Topo ↑]

Entenda o Papel da Hospedagem WordPress

Seu serviço de hospedagem WordPress desempenha o papel mais importante na segurança do seu site WordPress. Um bom provedor de hospedagem compartilhada como Hostinger, Bluehost ou SiteGround toma medidas extras para proteger seus servidores contra ameaças comuns.

Aqui estão apenas algumas maneiras pelas quais boas empresas de hospedagem web trabalham nos bastidores para proteger seus sites e dados:

• Eles monitoram continuamente sua rede em busca de atividades suspeitas.
• Todas as boas empresas de hospedagem possuem ferramentas para prevenir ataques DDoS em larga escala.
• Elas mantêm o software do servidor, as versões do PHP e o hardware atualizados para impedir que hackers explorem uma vulnerabilidade de segurança conhecida em uma versão antiga.
• Elas possuem planos de recuperação de desastres e planos de acidentes prontos para serem implementados, que permitem proteger seus dados em caso de um grande acidente.

Em um plano de hospedagem compartilhada, você divide os recursos do servidor com muitos outros clientes. Existe o risco de contaminação entre sites, onde um hacker pode usar um site vizinho para atacar o seu site.

Em contraste, usar um serviço de hospedagem WordPress gerenciada oferece uma plataforma mais segura para o seu site. Empresas de hospedagem WordPress gerenciada oferecem backups automáticos, atualizações automáticas do WordPress e configurações de segurança mais avançadas para proteger seu site.

Recomendamos o SiteGround como nosso provedor preferencial de hospedagem WordPress gerenciada. Eles têm suporte responsivo, servidores rápidos e excelente confiabilidade.

Certifique-se de obter o melhor negócio usando nosso cupom SiteGround especial.

[Voltar ao Topo ↑]

Segurança do WordPress em Poucos Passos Fáceis (Sem Codificação)

Sabemos que melhorar a segurança do WordPress pode ser um pensamento assustador para iniciantes, especialmente se você não é técnico. Adivinhe – você não está sozinho.

Ajudamos milhares de usuários do WordPress a fortalecer a segurança de seus sites WordPress.

Mostraremos como você pode melhorar a segurança do seu WordPress com apenas alguns cliques (sem necessidade de codificação).

Se você consegue clicar e apontar, você consegue fazer isso!

1. Instale uma Solução de Backup do WordPress

Backups são sua primeira defesa contra qualquer ataque ao WordPress. Lembre-se, nada é 100% seguro. Se sites governamentais podem ser hackeados, o seu também pode.

Backups permitem que você restaure rapidamente seu site WordPress caso algo ruim aconteça.

Existem muitos plugins de backup do WordPress gratuitos e pagos que você pode usar. A coisa mais importante que você precisa saber sobre backups é que você deve salvar regularmente backups completos do site em um local remoto (não em sua conta de hospedagem).

Recomendamos armazená-lo em um serviço de nuvem como Amazon, Dropbox ou nuvens privadas como Stash.

Com base na frequência com que você atualiza seu site, a configuração ideal pode ser backups diários ou em tempo real.

Felizmente, isso pode ser facilmente feito usando plugins como Duplicator, UpdraftPlus ou BlogVault. Ambos são confiáveis e, o mais importante, fáceis de usar (sem necessidade de codificação).

Para mais detalhes, veja nosso guia sobre como fazer backup do seu site WordPress.

[Voltar ao Topo ↑]

Instale um Plugin de Segurança WordPress Reputável

Após os backups, a próxima coisa que precisamos fazer é configurar um sistema de auditoria e monitoramento que acompanhe tudo o que acontece em seu site.

Isso inclui monitoramento de integridade de arquivos, tentativas de login com falha, varredura de malware e muito mais.

Felizmente, você pode resolver isso facilmente instalando um dos melhores plugins de segurança WordPress, como o Sucuri.

Você precisa instalar e ativar o plugin gratuito Sucuri Security. Para mais detalhes, consulte nosso guia passo a passo sobre como instalar um plugin WordPress.

Agora, você pode ir para Sucuri Security » Dashboard para ver se o plugin encontrou algum problema imediato com o código do seu WordPress.

A próxima coisa que você precisa fazer é navegar até a página Sucuri Security » Settings e clicar na aba ‘Hardening’.

As configurações padrão funcionam bem para a maioria dos sites, então você pode ativá-las clicando no botão ‘Apply Hardening’ para cada opção.

Isso ajuda a proteger as áreas-chave que os hackers costumam usar em seus ataques.

Após a parte de hardening, as outras configurações padrão do plugin são boas o suficiente para a maioria dos sites e não precisam de nenhuma alteração.

A única coisa que recomendamos personalizar são os alertas por e-mail, que podem ser encontrados na aba ‘Alerts’ da página de configurações.

Por padrão, você receberá muitos alertas por e-mail que podem sobrecarregar sua caixa de entrada.

Recomendamos habilitar alertas apenas para ações importantes sobre as quais você deseja ser notificado, como alterações de plugins e registros de novos usuários.

Este plugin de segurança do WordPress é muito poderoso, então navegue por todas as abas e configurações para ver tudo o que ele faz, como varredura de malware, logs de auditoria, rastreamento de tentativas de login falhas e muito mais.

Para mais informações, você pode ver nossa análise detalhada da Sucuri.

Habilite um Firewall de Aplicação Web (WAF)

Usar um firewall de aplicativo web (WAF) é a maneira mais fácil de proteger seu site e ter confiança na segurança do seu WordPress.

Um firewall de site bloqueia todo o tráfego malicioso antes mesmo que ele chegue ao seu site.

• Um firewall de site em nível de DNS roteia o tráfego do seu site através de seus servidores proxy na nuvem. Isso permite que ele envie apenas tráfego genuíno para o seu servidor web.
• Um firewall em nível de aplicativo examina o tráfego assim que ele chega ao seu servidor, mas antes de carregar a maioria dos scripts do WordPress. Este método não é tão eficiente quanto o firewall em nível de DNS na redução da carga do servidor.

Para saber mais, veja nossa lista dos melhores plugins de firewall para WordPress.

Usamos a Sucuri no WPBeginner por muitos anos e ainda a recomendamos como um dos melhores firewalls de aplicação web para WordPress. Recentemente, mudamos da Sucuri para a Cloudflare porque precisávamos de uma rede CDN maior com recursos mais focados em clientes corporativos.

Você pode ler sobre como a Sucuri nos ajudou a bloquear 450.000 ataques ao WordPress em um mês.

A melhor parte do firewall da Sucuri é que ele também vem com uma garantia de limpeza de malware e remoção de listas negras. Isso significa que, se você fosse hackeado sob a vigilância deles, eles garantem consertar seu site, não importa quantas páginas você tenha.

Esta é uma garantia bastante forte porque reparar sites hackeados é caro. Especialistas em segurança normalmente cobram mais de US$ 250 por hora, enquanto você pode obter todo o pacote de segurança da Sucuri por US$ 199 por um ano inteiro.

Dito isso, a Sucuri não é o único provedor de firewall em nível de DNS disponível. O outro concorrente popular é a Cloudflare. Veja nossa comparação de Sucuri vs. Cloudflare (Prós e Contras).

[Voltar ao Topo ↑]

Mova seu Site WordPress para SSL/HTTPS

SSL (Secure Sockets Layer) é um protocolo que criptografa a transferência de dados entre seu site e o navegador do usuário. Essa criptografia dificulta que alguém espione e roube informações.

Assim que você ativar o SSL, o endereço do seu site usará HTTPS em vez de HTTP. Você também verá um cadeado ou um ícone semelhante ao lado do endereço do seu site no navegador.

Certificados SSL são tipicamente emitidos por autoridades certificadoras, e seus preços começam em US$ 80 e chegam a centenas de dólares por ano. Devido ao custo adicional, a maioria dos proprietários de sites no passado optou por continuar usando o protocolo inseguro.

Para resolver isso, uma organização sem fins lucrativos chamada Let’s Encrypt decidiu oferecer Certificados SSL gratuitos para proprietários de sites. Seu projeto é apoiado pelo Google Chrome, Facebook, Mozilla e muitas outras empresas.

É mais fácil do que nunca começar a usar SSL para todos os seus sites WordPress. Muitas empresas de hospedagem agora oferecem um certificado SSL gratuito para o seu site WordPress.

Se a sua empresa de hospedagem não oferecer um, você pode comprar um certificado SSL da Domain.com. Eles têm as melhores e mais confiáveis ofertas de SSL do mercado. O certificado vem com uma garantia de segurança de US$ 10.000 e um selo de segurança TrustLogo.

Segurança do WordPress para Usuários DIY

Se você fizer tudo o que mencionamos até agora, então você estará em uma boa situação.

Mas, como sempre, há mais que você pode fazer para fortalecer a segurança do seu WordPress.

Lembre-se de que alguns desses passos podem exigir conhecimento de codificação.

Altere o Nome de Usuário Padrão do Administrador

Antigamente, o nome de usuário padrão do administrador do WordPress era ‘admin’. Como os nomes de usuário compõem metade das credenciais de login, isso facilitava para os hackers realizarem ataques de força bruta.

Felizmente, o WordPress mudou isso desde então e agora exige que você selecione um nome de usuário personalizado no momento da instalação do WordPress.

No entanto, alguns instaladores do WordPress de 1 clique ainda definem o nome de usuário padrão do administrador como ‘admin’. Se você notar que esse é o caso, então provavelmente é uma boa ideia trocar sua hospedagem web.

Como o WordPress não permite alterar nomes de usuário por padrão, existem três métodos que você pode usar para alterar o nome de usuário.

1. Crie um novo nome de usuário administrador e exclua o antigo.
2. Use o plugin Username Changer
3. Atualize o nome de usuário do phpMyAdmin

Cobrimos todos esses três métodos em nosso guia detalhado sobre como alterar corretamente seu nome de usuário do WordPress.

[Voltar ao Topo ↑]

Desabilite a Edição de Arquivos

O WordPress vem com um editor de código integrado que permite editar seus arquivos de tema e plugin diretamente da sua área de administração do WordPress.

Nas mãos erradas, este recurso pode ser um risco de segurança, e é por isso que recomendamos desativá-lo.

Você pode fazer isso facilmente adicionando o seguinte código ao seu arquivo wp-config.php ou com um plugin de trecho de código como o WPCode (recomendado):

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Mostramos como fazer isso passo a passo em nosso guia sobre como desativar os editores de tema e plugin do painel de administração do WordPress.

Alternativamente, você pode fazer isso com 1 clique usando o recurso de Endurecimento (Hardening) no plugin gratuito Sucuri mencionado acima.

[Voltar ao Topo ↑]

Desabilite a Execução de Arquivos PHP em Certos Diretórios do WordPress

Outra maneira de endurecer a segurança do seu WordPress é desativando a execução de arquivos PHP em diretórios onde não é necessária, como /wp-content/uploads/.

Você pode fazer isso abrindo um editor de texto como o Bloco de Notas e colando este código:

<Files *.php>
deny from all
</Files>

Em seguida, você precisa salvar este arquivo como .htaccess e carregá-lo na pasta /wp-content/uploads/ do seu site usando um cliente FTP.

Para uma explicação mais detalhada, consulte nosso guia sobre como desativar a execução de PHP em determinados diretórios do WordPress.

Alternativamente, você pode fazer isso com um clique usando o recurso de Endurecimento no plugin gratuito Sucuri que mencionamos acima.

[Voltar ao Topo ↑]

Limite as Tentativas de Login

Por padrão, o WordPress permite que os usuários tentem fazer login quantas vezes quiserem. Isso deixa seu site WordPress vulnerável a ataques de força bruta. É aqui que os hackers tentam quebrar senhas tentando fazer login com diferentes combinações.

Isso pode ser facilmente corrigido limitando as tentativas de login falhas que um usuário pode fazer. Se você estiver usando o firewall de aplicativo web mencionado anteriormente, isso será tratado automaticamente.

No entanto, se você não tiver o firewall configurado, poderá prosseguir usando as etapas abaixo.

Primeiro, você precisa instalar e ativar o plugin gratuito Limit Login Attempts Reloaded. Para mais detalhes, consulte nosso guia passo a passo sobre como instalar um plugin WordPress.

Após a ativação, o plugin começará a limitar o número de tentativas de login que os usuários podem fazer.

As configurações padrão funcionarão para a maioria dos sites. No entanto, você pode personalizá-las visitando a página Configurações » Limit Login Attempts e clicando na guia 'Configurações' no topo. Por exemplo, para cumprir as leis de GDPR, você pode marcar a caixa de seleção 'Conformidade com GDPR'.

Para instruções detalhadas, dê uma olhada em nosso guia sobre como e por que limitar as tentativas de login no WordPress.

[Voltar ao Topo ↑]

Adicione Autenticação de Dois Fatores (2FA)

O método de autenticação de dois fatores requer 2 etapas diferentes para os usuários fazerem login:

1. A primeira etapa é o nome de usuário e a senha.
2. A segunda etapa exige que você use um código de um dispositivo ou aplicativo em sua posse que os hackers não possam acessar, como seu smartphone.

A maioria dos principais sites online, como Google, Facebook e Twitter, permite que você ative isso para suas contas. Você também pode adicionar a mesma funcionalidade ao seu site WordPress.

Primeiro, você precisa instalar e ativar o plugin WP 2FA – Autenticação de dois fatores. Para mais detalhes, veja nosso guia passo a passo sobre como instalar um plugin do WordPress.

Um assistente fácil de usar ajudará você a configurar o plugin e, em seguida, será apresentado um código QR.

Você precisará escanear o código QR usando um aplicativo autenticador em seu telefone, como Google Authenticator, Authy ou LastPass Authenticator.

Recomendamos o uso do LastPass Authenticator ou Authy porque eles permitem que você faça backup de suas contas na nuvem. Isso é muito útil caso seu telefone seja perdido, redefinido ou você compre um novo telefone. Todos os seus logins de conta serão facilmente restaurados.

A maioria desses aplicativos funciona de maneira semelhante e, se você estiver usando o Authy, basta clicar no botão '+' ou 'Adicionar conta' no aplicativo autenticador.

Isso permitirá que você escaneie o código QR em seu computador usando a câmera do seu telefone. Talvez você precise primeiro dar permissão ao aplicativo para acessar a câmera.

Após dar um nome à conta, você pode salvá-la.

Na próxima vez que você fizer login em seu site, será solicitado o código de autenticação de dois fatores após inserir sua senha.

Simplesmente abra o aplicativo autenticador em seu telefone e você verá um código de uso único.

Você pode então inserir o código em seu site para finalizar o login.

[Voltar ao Topo ↑]

Altere o Prefixo do Banco de Dados do WordPress

Por padrão, o WordPress usa wp_ como prefixo para todas as tabelas em seu banco de dados WordPress.

Se o seu site WordPress estiver usando o prefixo de banco de dados padrão, isso facilitará para os hackers adivinharem qual é o nome da sua tabela. É por isso que recomendamos alterá-lo.

Você pode alterar o prefixo do seu banco de dados seguindo nosso tutorial passo a passo sobre como alterar o prefixo do banco de dados do WordPress para melhorar a segurança.

[Voltar ao Topo ↑]

Proteja com Senha a Página de Administração e Login do WordPress

Normalmente, hackers podem solicitar sua pasta wp-admin e página de login sem quaisquer restrições. Isso permite que eles tentem seus truques de hacking ou executem ataques DDoS.

Você pode adicionar proteção adicional por senha em um nível de servidor, o que bloqueará efetivamente essas solicitações.

Basta seguir nossas instruções passo a passo sobre como proteger com senha o diretório de administração do WordPress (wp-admin).

[Voltar ao Topo ↑]

Desabilite a Indexação e Navegação de Diretórios

Quando você digita o endereço de uma das pastas do seu site em um navegador da web, a página da web chamada index.html será exibida se ela existir. Se não existir, uma lista de arquivos nessa pasta será exibida em vez disso. Isso é conhecido como navegação de diretório.

A navegação de diretório pode ser usada por hackers para descobrir se você tem arquivos com vulnerabilidades conhecidas, para que eles possam tirar proveito desses arquivos para obter acesso.

A navegação de diretório também pode ser usada por outras pessoas para examinar seus arquivos, copiar imagens, descobrir a estrutura do seu diretório e outras informações. É por isso que é altamente recomendável desativar a indexação e a navegação de diretório.

Você precisa se conectar ao seu site usando FTP ou o gerenciador de arquivos do seu provedor de hospedagem. Em seguida, localize o arquivo .htaccess no diretório raiz do seu site. Se você não conseguir encontrá-lo lá, consulte nosso guia sobre por que você não consegue ver o arquivo .htaccess no WordPress.

Depois disso, você precisa adicionar a seguinte linha ao final do arquivo .htaccess:

Options -Indexes

Não se esqueça de salvar e fazer o upload do arquivo .htaccess de volta para o seu site.

Para mais informações sobre este tópico, veja nosso artigo sobre como desativar a navegação de diretórios no WordPress.

[Voltar ao Topo ↑]

Desabilite o XML-RPC no WordPress

XML-RPC é uma API principal do WordPress que ajuda a conectar seu site WordPress com aplicativos web e aplicativos móveis. Ele está ativado por padrão desde o WordPress 3.5.

No entanto, devido à sua natureza poderosa, o XML-RPC pode amplificar significativamente ataques de força bruta.

Por exemplo, se um hacker tradicionalmente quisesse tentar 500 senhas diferentes em seu site, ele teria que fazer 500 tentativas de login separadas. O plugin Limit Login Attempts Reloaded pode detectar e bloquear isso.

Mas com o XML-RPC, um hacker pode usar a função system.multicall para tentar milhares de senhas com, digamos, 20 ou 50 requisições.

É por isso que, se você não estiver usando XML-RPC, recomendamos que você o desative.

Existem 3 maneiras de desativar o XML-RPC no WordPress, e cobrimos todas elas em nosso tutorial passo a passo sobre como desativar o XML-RPC no WordPress.

Alternativamente, isso é tratado automaticamente se você estiver usando um firewall de aplicativo web (WAF), como mencionamos anteriormente.

[Voltar ao Topo ↑]

Deslogar Automaticamente Usuários Inativos no WordPress

Usuários logados às vezes podem se afastar da tela, e isso representa um risco de segurança. Alguém pode sequestrar a sessão deles, alterar senhas ou fazer alterações em suas contas.

É por isso que muitos sites bancários e financeiros desconectam automaticamente um usuário inativo. Você também pode configurar funcionalidades semelhantes em seu site WordPress.

Você precisará instalar e ativar o plugin Inactive Logout. Após a ativação, visite a página Configurações » Inactive Logout para personalizar as configurações de logout.

Basta definir a duração do tempo e adicionar uma mensagem de logout. Em seguida, não se esqueça de clicar no botão ‘Salvar Alterações’ na parte inferior da página para armazenar suas configurações.

Para obter instruções passo a passo, consulte nosso guia sobre como desconectar automaticamente usuários inativos no WordPress.

[Voltar ao Topo ↑]

Adicionar Perguntas de Segurança à Tela de Login do WordPress

Adicionar uma pergunta de segurança à sua tela de login do WordPress torna ainda mais difícil para alguém obter acesso não autorizado.

Você pode adicionar perguntas de segurança instalando o plugin Autenticação de dois fatores. Após a ativação, você precisará visitar a página Autenticação multifator » Dois fatores para configurar as definições do plugin.

Isso permitirá que você adicione vários tipos de autenticação de dois fatores ao seu site, incluindo perguntas de segurança.

Para instruções mais detalhadas, consulte nosso tutorial sobre como adicionar perguntas de segurança à tela de login do WordPress.

[Voltar ao Topo ↑]

Escanear WordPress em Busca de Malware e Vulnerabilidades

Se você tiver um plugin de segurança do WordPress instalado, ele verificará rotineiramente se há malware e sinais de violações de segurança.

No entanto, se você notar uma queda repentina no tráfego do site ou nas classificações de busca, talvez você queira verificar manualmente a existência de malware. Você pode fazer isso usando seu plugin de segurança do WordPress ou um dos melhores scanners de malware e segurança.

Executar essas varreduras online é bastante simples. Você apenas insere o URL do seu site, e os rastreadores deles percorrem seu site para procurar por malware e código malicioso conhecidos.

Agora, tenha em mente que a maioria dos scanners de segurança do WordPress só pode avisá-lo se o seu site contiver malware. Eles não podem remover o malware ou limpar um site WordPress hackeado.

Isso nos leva à próxima seção, a limpeza de sites WordPress com malware e hackeados.

[Voltar ao Topo ↑]

Corrigir um Site WordPress Invadido

Muitos usuários do WordPress não percebem a importância de backups e segurança do site até que seu site seja hackeado.

Hackers instalam backdoors em sites afetados e, se esses backdoors não forem corrigidos adequadamente, seu site provavelmente será hackeado novamente.

Para usuários aventureiros e que gostam de fazer você mesmo, compilamos um guia passo a passo sobre como corrigir um site WordPress hackeado.

No entanto, limpar um site WordPress pode ser muito difícil e demorado. Nosso conselho seria deixar um profissional cuidar disso.

Se você está pagando para usar o plugin de segurança Sucuri que mencionamos acima, então o reparo de site invadido está incluído no preço.

Caso contrário, você pode conferir nossas recomendações das melhores agências de suporte WordPress para encontrar profissionais que possam consertar seu site invadido para você.

[Voltar ao Topo ↑]

Perguntas Frequentes sobre Segurança do WordPress

Como a segurança do WordPress é tão importante, recebemos perguntas frequentes sobre o assunto. Aqui estão as respostas para perguntas frequentes sobre como manter sites WordPress seguros contra ataques.

O WordPress é Seguro para Usar?

O WordPress foi projetado para ser seguro, especialmente se você o mantiver atualizado regularmente. No entanto, por ser tão popular, hackers frequentemente visam sites WordPress.

Não se preocupe, porém. Seguindo dicas de segurança simples como as deste artigo, você pode reduzir drasticamente as chances de alguém invadir seu site.

O que Pode Colocar Meu Site WordPress em Risco?

Existem diferentes maneiras pelas quais os hackers tentam obter acesso a sites. Algumas ameaças comuns incluem adivinhar senhas, instalar software malicioso (malware) e encontrar falhas no código do seu site para roubar informações ou assumir o controle.

Com que Frequência Devo Atualizar Meu Site WordPress?

Manter seu site WordPress, temas e plugins atualizados é muito importante. Novas atualizações frequentemente incluem correções para problemas de segurança. Tente usar atualizações automáticas ou verifique por atualizações você mesmo pelo menos uma vez por semana e instale-as rapidamente.

Preciso de um Plugin Especial para Segurança?

Você não precisa usar um plugin de segurança, mas eles podem tornar seu site muito mais seguro. Plugins de segurança agem como guardas extras para o seu site, protegendo você contra hackers e malware.

Como Saber Se Alguém Hackeou Meu Site?

Se você notar coisas estranhas acontecendo em seu site, pode ser um sinal de que você foi hackeado. Isso pode incluir ver novos usuários ou arquivos que você não criou, seu site enviando visitantes para outros sites, seu site rodando lentamente ou recebendo avisos do Google ou do seu provedor de hospedagem.

O Que Devo Fazer Se Meu Site For Hackeado?

Se você acha que seu site foi hackeado, não entre em pânico, mas aja rapidamente. Você pode entrar em contato com sua empresa de hospedagem e pedir ajuda. Você também pode usar um plugin de segurança ou pedir a um especialista em segurança para limpar seu site.

Se você tem um backup do seu site, restaure-o a partir desse backup. Certifique-se de alterar todas as suas senhas, incluindo as da sua área de administração do WordPress, banco de dados e FTP.

Esperamos que este artigo tenha ajudado você a aprender as melhores práticas para proteger seu site e nossa lista de verificação de segurança recomendada para WordPress. Você também pode querer ver nossa lista de os principais motivos pelos quais sites WordPress são hackeados e nossas escolhas de especialistas dos melhores plugins de segurança para WordPress.

Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.