Pular para o conteúdo
>_ITDITDPlataforma de Segurança Web

Por framework

Segurança do WordPress — por que é visado e as defesas mínimas

O WordPress é o mais visado por sua participação — via plugins/temas vulneráveis, atualizações negligenciadas, administradores fracos e painéis expostos (wp-admin/xmlrpc). Defesas mínimas: atualizações automáticas, plugins mínimos, 2FA e backups. Sem passos de ataque.

Publicado 2026-07-02 Atualizado 2026-07-02 4 min de leitura

Para: qualquer pessoa que opere um site WordPress. Sem passos de ataque aqui — só por que é visado e as defesas mínimas. Para o panorama entre frameworks, veja o hub de segurança por framework.

Por que é visado: as entradas são previsíveis

Os ataques ao WordPress não são mágica — a força bruta automatizada sonda um conjunto fixo de fraquezas. Conheça as entradas e você sabe onde fechar.

① Vulnerabilidades de plugins/temas

Buracos conhecidos em código de terceiros. A maior entrada. Deixado sem cuidado ou abandonado, o buraco permanece aberto.

② Atualizações negligenciadas

Correções do núcleo/plugin não aplicadas. Ferramentas automatizadas atingem CVEs publicados.

③ Administradores fracos/reutilizados

admin + senha fraca + sem 2FA. Tomado via força bruta de login ou reutilização de senha vazada.

④ Superfície de administração exposta

enumeração de usuários por wp-admin/xmlrpc/REST. Um trampolim para força bruta ou amplificação.

As principais rotas de invasão do WordPress. Todas fecháveis pela operação.

As defesas mínimas (5 passos)

Feche as armadilhas específicas do WordPress em ordem. Cada uma é feita no painel de administração ou na configuração.

1

Automatize atualizações (prioridade máxima)

Ative atualizações automáticas para o núcleo, plugins e temas. Fechar vulnerabilidades conhecidas publicadas (CVEs) antes que sejam atingidas é a maior defesa isolada. Faça backup antes de atualizações maiores.
2

Mantenha plugins/temas no mínimo

Para qualquer coisa não usada, apague em vez de desativar (arquivos restantes ainda podem ser alvo). Antes de instalar, verifique a frequência de atualização, a data da última atualização e a adoção. Menos extensões = superfície de ataque menor.
3

Autenticação forte (2FA) para administradores

Dê aos administradores uma senha forte + autenticação de dois fatores. Evite o nome de usuário admin e mantenha os privilégios mínimos. (→ o que é 2FA)
4

Limite a exposição da administração e as tentativas de login

Adicione limites de tentativas de login, desative xmlrpc.php se não for usado e suprima a enumeração de usuários da REST-API. Restringir de onde o painel de administração pode ser alcançado é ainda melhor.
5

Backups e detecção de adulteração

Mantenha backups recuperáveis, offline/separados e detecção de adulteração de arquivos, para que, mesmo se invadido, você consiga restaurar. (→ o essencial de backup)

Comum (perigoso)

  • núcleo e plugins atualizados manualmente e depois deixados de lado
  • plugins/temas não usados meramente desativados
  • admin admin + senha fraca + sem 2FA
  • tentativas de login, xmlrpc, enumeração de usuários deixados escancarados

Correto

  • núcleo/plugins/temas em atualizações automáticas
  • extensões não usadas apagadas para minimizar
  • administradores com senha forte + 2FA, menor privilégio
  • limites de tentativas de login, recursos desnecessários desligados, backups recuperáveis

A visão deste site: gerencie 'extensões e descuido', não o núcleo

O que funciona para o WordPress não é configuração chamativa, mas a disciplina operacional de "não adicionar extensões demais, não deixá-las sem cuidado." Plugins são convenientes, mas cada um adiciona uma "responsabilidade de continuar atualizando." O princípio deste site é o mesmo de qualquer tecnologia: minimize dependências (plugins), automatize atualizações e defenda com autenticação forte e backups recuperáveis. Parece específico do WordPress, mas é na verdade a base universal aplicada. Você pode verificar CVEs de plugins com a busca de CVE/KEV.

Leia a seguir

FAQ

QO WordPress é perigoso?
A

O núcleo do WordPress é mantido ativamente e não é especialmente vulnerável por si só. O que é perigoso é o uso. Sua condição de maior participação faz dele um alvo fácil para ataques automatizados, e a maioria das invasões reais não vem do núcleo, mas de vulnerabilidades de plugins/temas de terceiros, atualizações negligenciadas, contas de administrador fracas e superfícies de administração expostas. O outro lado: fechar isso corta a maior parte do risco.

QQuantos plugins são demais?
A

A regra é 'só o mínimo de que você precisa'. Cada plugin amplia a superfície de ataque, e qualquer um deixado sem atualização ou abandonado vira um buraco. Antes de instalar, verifique a frequência de atualização, a adoção e a data da última atualização; e o que você não usa, apague em vez de apenas desativar (arquivos desativados ainda podem ser alvo de vulnerabilidade). O mesmo vale para os temas.

QQual é o mínimo absoluto que eu deveria fazer?
A

(1) Ative atualizações automáticas para o núcleo, plugins e temas; (2) apague plugins/temas não usados para reduzir a contagem; (3) dê às contas de administrador uma senha forte e autenticação de dois fatores (2FA); (4) limite a exposição da administração (wp-admin/login) e as tentativas de login; (5) mantenha backups offline recuperáveis mais detecção de adulteração. Esses cinco detêm a maioria dos ataques automatizados.