Denuncie um incidente de Segurança da Informação clicando AQUI ou envie email para incidentes@tic.ufrj.br

© 2025

Dicas de Segurança no WordPress

Dicas-Tutoriais
setembro 14, 2020

O WordPress é um dos sistemas de gerenciamento de conteúdo mais populares do mundo. E, devido a sua popularidade, tornou-se o líder em sites infectados, totalizando 83%, em 2017, de acordo com o estudo realizado pela Sucuri, empresa de segurança multiplataforma (para acessar a pesquisa, acesse: https://sucuri.net/reports/2017-hacked-website-report/).

Apesar da “liderança”, existe uma grande comunidade em torno da plataforma WordPress visando garantir que as correções sejam feitas o mais rápido possível. Além disso, o WordPress possui uma equipe de especialistas dedicada à segurança na web.

Para mitigar incidentes de segurança da informação em sites WordPress é necessário seguir boas práticas. Utilizar o WordPress desatualizado, ou com plugins anulados, má administração do sistema, sem gerenciamento de credenciais e falta de conhecimento necessário de Web e segurança entre usuários não técnicos do WordPress mantêm os hackers em cima de seu jogo do crime cibernético. Mesmo os líderes do setor nem sempre usam as melhores práticas.

É importante destacar que segurança não é somente sobre sistemas perfeitamente seguros. Segurança é redução e não a eliminação de riscos. Segurança é empregar controles apropriados e disponíveis, assim reduzindo as chances de se tornar um alvo a ser hackeado. 

Neste artigo, iremos listar as principais vulnerabilidades e dicas de segurança que podem ser aplicadas no WordPress. 

Este documento foi elaborado considerando as principais características do serviço de hospedagem oferecido pela DSSC (Diretoria de Suporte à Sistemas Corporativos – TIC/UFRJ ). Desta forma, ressaltamos que os casos excepcionais e/ou omissos deverão ser verificados diretamente com o responsável pelo serviço.

 

1.Use a última versão do PHP

É fundamental utilizar a versão mais recente do PHP no seu servidor. Normalmente, cada versão do PHP é suportada por dois anos após seu lançamento. E, durante este tempo, bugs e problemas de segurança são corrigidos. 

Se você possui seu site hospedado na DSSC – TIC/UFRJ, solicite ao setor que faça a atualização de acordo com as características e particularidades do seu site. Se possível, solicite ao seu desenvolvedor que, em um ambiente local, faça as atualizações e testes (principalmente nas funcionalidades de plugins) garantindo que seu site esteja apto às atualizações desejadas.

 

2.Use nomes de usuário e senhas inteligentes

Uma das formas de fortalecer a segurança no WordPress é utilizar nomes de usuários e senhas inteligentes. Elaborar senhas seguras é uma boa prática para diminuir os riscos de seu site ser invadido. 

A SegTIC, vinculada à Superintendência de Tecnologia da Informação e Comunicação da UFRJ, é a equipe responsável pelo tratamento dos incidentes, elaborar soluções, demandas de auditoria e implantar sistemas de segurança. Em seu endereço eletrônico (www.security.ufrj.br) são disponibilizadas dicas de segurança, inclusive quanto a elaboração de senhas seguras. Veja em: <https://www.security.ufrj.br/dicas/o-que-voce-anda-fazendo-com-suas-senhas-elabore-uma-senha-segura>

 

3.Use sempre a versão mais recente do WordPress, Plugins e Temas

Mantenha o WordPress (núcleo, plugins e temas) atualizados. Aprimoramentos de segurança e correções de bugs são sempre disponibilizados para os usuários do WordPress. Há a opção de atualização automática, veja em: https://kinsta.com/pt/blog/atualizacoes-automaticas-WordPress/

Vulnerabilidades de plugins representam 55,9% dos pontos explorados pelos hackers. Portanto, a instalação de plugins deve ser realizado com cautela. Recomendamos que só sejam instalados plugins confiáveis. As categorias “em destaque” e “popular”, no repositório do WordPress, pode ser uma referência para consultas. 

Uma dica é a ferramenta VirusTotal, que vem sendo utilizada em empresas de segurança digital como uma segunda opinião para detecções de conteúdo malicioso. Veja mais em: https://www.virustotal.com/gui/home/upload

 

3.1 Como atualizar o WordPress Core

Para atualizar o núcleo do WordPress, você pode clicar em “Atualizações”, no seu painel do WordPress, e clicar no botão “Atualizar agora”.

Fonte: https://kinsta.com/pt/blog/seguranca-wordpres/#1-invista-em-hospedagem-segura-do-wordpress

Há também a possibilidade de atualização manualmente. Para isso, recomendamos que solicite o apoio de um desenvolvedor. 

Siga os passos abaixo para atualizar a sua instalação existente, acesse: https://WordPress.org/support/article/updating-WordPress/

 

3.2 Como atualizar os plugins do WordPress

Semelhante a atualização do WordPress, clique em “Atualizações”, no seu painel do WordPress, selecione os plugins que você deseja atualizar e clique em “Atualizar Plugins”.

Fonte: https://kinsta.com/pt/blog/seguranca-wordpres/#como-atualizar-os-plugins-do-wordpress

Esta atualização também pode ser feita de forma manual. Pegue a versão mais recente do desenvolvedor do plugin ou do repositório do WordPress e carregue-a via SFTP (via FileZilla), sobrescrevendo o plugin existente no diretório /wp-content/plugins.

Atenção: Evite cadastrar acessos SFTP na plataforma do WordPress, usa o FileZilla

Analise as informações do plugin, como a última data de atualização e/ou quantas avaliações o plugin tem. Abaixo, é exibida uma imagem que exemplifica um plugin com críticas negativas e desatualizado. Além disso, o WordPress adiciona no topo da página um aviso sobre os plugins que não foram atualizados há algum tempo.

Fonte: https://kinsta.com/pt/blog/seguranca-wordpres/#como-atualizar-os-plugins-do-wordpress

Veja alguns recursos disponíveis para ajudá-lo a identificar atualizações e vulnerabilidades de segurança no WordPress :

Para mais informações sobre atualizações, acesse: https://www.hostinger.com/tutorials/WordPress/how-to-update-WordPress?_ga=2.147041335.1409539964.1597672247-917089384.1596058226

 

 

4.Bloqueie o seu administrador do WordPress

Bloquear a sua área de administração do WordPress e fazer login são boas práticas que reforçam a segurança do seu site. Duas ótimas maneiras de fazê-las é alterar a URL de login padrão do wp-admin e limitar as tentativas de login.

 

4.1 Como alterar seu URL de login do WordPress

O padrão da URL de login é domain.com/wp-admin. É possível alterá-la gratuitamente através do plugin WPS Hide. Link do plugin: https://wordpress.org/plugins/wps-hide-login/.

Fonte: https://kinsta.com/pt/blog/seguranca-wordpres/#como-alterar-seu-url-de-login-do-wordpress

4.2 Como limitar tentativas de login

Colocar um limite de tentativas de login incorretos é outra forma de reduzir riscos de invasão. O plugin gratuito Cerber Limit Login Attempts é uma maneira de configurar facilmente durações de bloqueio, tentativas de login, listas de permissões e listas negras de IP. 

Link do plugin: https://WordPress.org/plugins/wp-cerber/

Fonte: https://kinsta.com/pt/blog/seguranca-wordpres/#como-limitar-tentativas-de-login

4.3 Como alterar o usuário admin

Afim de aumentar sua segurança WordPress, é recomendado alterar o usuário admin para um outro nome ou crie uma nova conta de administrador com usuário diferente. Siga os passos abaixo, se você prefere o segundo caminho:

1. Acesse o painel do WordPress.

2. Navegue até a seção Users e clique em Add New.

3.Crie um novo usuário e forneça permissões de Administrador.

Fonte: https://www.hostinger.com.br/tutoriais/como-aumentar-seguranca-no-wordpress/#1-8211-Mantenha-seu-WordPress-atualizado

4.Acesse o WordPress com seu novo usuário.

5.Volte à seção Users e remova o usuário antigo.

 

5. Tire proveito da autenticação de dois fatores

A autenticação de dois fatores é um recurso que acrescenta uma camada adicional de segurança para o processo de login da conta, exigindo que o usuário forneça duas formas de autenticação.  Na maioria das vezes, a primeira forma de autenticação (o primeiro fator) é a senha. O segundo fator é uma informação que só o usuário sabe ou tenha acesso, à depender do serviço. O mais utilizado é um SMS ou um código que é enviado para para um e-mail.

Para isso, veja os seguintes plugins:

Depois de instalar e configurar um dos plugins acima, normalmente, terá um campo adicional na sua página de login do WordPress para inserir seu código de segurança. Com o plugin Duo, você primeiro faz login com suas credenciais e, em seguida, é necessário escolher um método de autenticação, como Duo Push, chamada ou senha.

Fonte:https://kinsta.com/pt/blog/seguranca-wordpres/#6-tire-proveito-da-autenticao-de-dois-fatores

6. Desativar o XML-RPC

O XML-RPC tornou-se um alvo para ataques do tipo de força bruta (brute-force). Um dos recursos ocultos do XML-RPC é o método system.multicall, o qual pode ser utilizado para executar vários métodos dentro de uma mesma solicitação. Por um lado, o XML-RPC é útil, pois permite que o aplicativo passe vários comandos em uma solicitação, por outro lado, este método pode ser utilizado para intenções maliciosas. 

Alguns plugins WordPress dependem do XML-RPC, porém a maioria dos sites não precisam dele o que permite desabilitá-lo. 

Existem algumas ferramentas que avaliam se o  XML-RPC está em execução ou não em seu site. 

Para desativar o XML-RPC, basta instalar o plugin gratuito Disable XML-RPC (https://WordPress.org/plugins/disable-xml-rpc/). 

 

7. Ocultar sua versão do WordPress

Por padrão, a versão do WordPress aparece no cabeçalho do código-fonte do seu site e, para não ficar exposto, sugerimos ocultar a informação.

Fonte:https://kinsta.com/pt/blog/seguranca-wordpres/#10-ocultar-sua-verso-do-wordpress

O ideal é que você verifique se a instalação do WordPress está sempre atualizada, para que  não precise se preocupar.

Para ocultar a informação sobre a versão do WordPress, adicione ao arquivo functions.php, do seu tema WordPress, o código abaixo.

function wpversion_remove_version() {

return ”;

}

add_filter(‘the_generator’, ‘wpversion_remove_version’);

A informação sobre a versão também aparece no arquivo readme.html. Ele está localizado na raiz da sua instalação, domain.com/readme.html. Você pode excluir com segurança este arquivo via FTP. Porém, se você estiver executando a versão 5.0 ou superior, não será necessário, pois o número da versão não será mais incluído. 

 

8.Use os plugins de segurança do WordPress

Existem alguns plugins para segurança, são eles: 

Alguns recursos e usos típicos dos plugins acima:

  • Gerar e forçar senhas fortes, ao criar perfis de usuário;
  • Forçar que as senhas expirem e sejam redefinidas regularmente;
  • Registro de ações do usuário;
  • Atualizações fáceis de chaves de segurança do WordPress;
  • Análise de Malware;
  • Autenticação de dois fatores;
  • reCAPTCHAs;
  • Firewalls de segurança do WordPress;
  • Lista de permissões de IP;
  • Lista negra de IP;
  • Logs de alteração de arquivo;
  • Monitorar alterações de DNS;
  • Bloquear redes maliciosas;
  • Ver informações WHOIS sobre visitantes;

Para mais dicas sobre plugins de segurança, acesse:  https://kinsta.com/pt/blog/plugins-de-seguranca-WordPress/

 

9.Invista em segurança de banco de dados

Existem maneiras que você pode melhorar a segurança do seu banco de dados do WordPress: 

 

10.Use conexões seguras

Conexões seguras são fundamentais para manter a segurança de site. O protocolo SFTP (Secure File Transfer Protocol – também conhecido como protocolo de transferência de arquivos segura, é um protocolo de rede usado para transferências de arquivos. 

Certifique-se que sua hospedagem WordPress oferece SFTP.

 

11.Desative a edição de arquivos no painel do WordPress

É importante dar aos usuários as funções e permissões corretas. Desabilitar o “Appearance Editor” pode ser benéfico, quando  tratamos de segurança.

Editar o ‘Appearance Editor’ é uma maneira rápida de executar códigos maliciosos explorada por hackers. Se eles não tiverem acesso, ajudará a evitar ataques. Coloque o código a seguir no arquivo wp-config.php para remover os recursos “edit_themes”, “edit_plugins” e “edit_files” de todos os usuários.

define(‘DISALLOW_FILE_EDIT’, true);

 

12.Sempre faça backups

Manter um backup local, periódico, assim como manter uma versão do site em um ambiente local com execução de testes é sempre uma boa prática. 

12.1 Plugins de Backup do WordPress

O WordPress oferece plugins que permitem que você realize seus backups via FTP. 

Atenção: Armazene uma cópia de seus arquivos de backup em seu computador local ou no computador de seu desenvolvedor, lembrando sempre de qual plugin de backup foi utilizado, pois alguns arquivos de backup só podem ser restaurados pelos plugins que o geraram.

Atenção 2: Você também pode utilizar o Filezilla e o DBeaver para fazer backups manuais.

 

13. Desative o relatório de erros PHP

Durante o desenvolvimento do seu site, o relatório de erros PHP pode ser útil, porém exibir esses erros pode ser uma falha de segurança WordPress, que pode ser explorada por hackers. 

Para desabilitar os relatórios de erro, adicione as linhas abaixo no arquivo wp-config.php.

error_reporting(0);

@ini_set(‘display_errors’, 0);

 

Fontes

https://kinsta.com/pt/blog/seguranca-wordpres/#lock-down-admin

https://www.hostinger.com.br/tutoriais/como-aumentar-seguranca-no-WordPress/#1-8211-Mantenha-seu-WordPress-atualizado

https://www.gocache.com.br/seguranca/21-dicas-de-seguranca-pra-proteger-seu-site-WordPress/

 

Share this content:

No tags
Previous
Next

Comments are closed

Últimas notícias

No tag

© 2025 . Created with ❤ using WordPress and Kubio