Por framework
Segurança do WordPress — por que é visado e as defesas mínimas
O WordPress é o mais visado por sua participação — via plugins/temas vulneráveis, atualizações negligenciadas, administradores fracos e painéis expostos (wp-admin/xmlrpc). Defesas mínimas: atualizações automáticas, plugins mínimos, 2FA e backups. Sem passos de ataque.
Para: qualquer pessoa que opere um site WordPress. Sem passos de ataque aqui — só por que é visado e as defesas mínimas. Para o panorama entre frameworks, veja o hub de segurança por framework.
Por que é visado: as entradas são previsíveis
Os ataques ao WordPress não são mágica — a força bruta automatizada sonda um conjunto fixo de fraquezas. Conheça as entradas e você sabe onde fechar.
① Vulnerabilidades de plugins/temas
Buracos conhecidos em código de terceiros. A maior entrada. Deixado sem cuidado ou abandonado, o buraco permanece aberto.
② Atualizações negligenciadas
Correções do núcleo/plugin não aplicadas. Ferramentas automatizadas atingem CVEs publicados.
③ Administradores fracos/reutilizados
admin + senha fraca + sem 2FA. Tomado via força bruta de login ou reutilização de senha vazada.
④ Superfície de administração exposta
enumeração de usuários por wp-admin/xmlrpc/REST. Um trampolim para força bruta ou amplificação.
As defesas mínimas (5 passos)
Feche as armadilhas específicas do WordPress em ordem. Cada uma é feita no painel de administração ou na configuração.
Automatize atualizações (prioridade máxima)
Mantenha plugins/temas no mínimo
Autenticação forte (2FA) para administradores
admin e mantenha os privilégios mínimos. (→ o que é 2FA)Limite a exposição da administração e as tentativas de login
xmlrpc.php se não for usado e suprima a enumeração de usuários da REST-API. Restringir de onde o painel de administração pode ser alcançado é ainda melhor.Backups e detecção de adulteração
Comum (perigoso)
- núcleo e plugins atualizados manualmente e depois deixados de lado
- plugins/temas não usados meramente desativados
- admin
admin+ senha fraca + sem 2FA - tentativas de login, xmlrpc, enumeração de usuários deixados escancarados
Correto
- núcleo/plugins/temas em atualizações automáticas
- extensões não usadas apagadas para minimizar
- administradores com senha forte + 2FA, menor privilégio
- limites de tentativas de login, recursos desnecessários desligados, backups recuperáveis
A visão deste site: gerencie 'extensões e descuido', não o núcleo
O que funciona para o WordPress não é configuração chamativa, mas a disciplina operacional de "não adicionar extensões demais, não deixá-las sem cuidado." Plugins são convenientes, mas cada um adiciona uma "responsabilidade de continuar atualizando." O princípio deste site é o mesmo de qualquer tecnologia: minimize dependências (plugins), automatize atualizações e defenda com autenticação forte e backups recuperáveis. Parece específico do WordPress, mas é na verdade a base universal aplicada. Você pode verificar CVEs de plugins com a busca de CVE/KEV.
Leia a seguir
- Hub: segurança por framework · segurança do Laravel
- Base: o manual de resposta a vulnerabilidades · o essencial de backup
- Autenticação: o que é 2FA · Glossário: o que é phishing (a principal rota até os administradores)
FAQ
QO WordPress é perigoso?
O núcleo do WordPress é mantido ativamente e não é especialmente vulnerável por si só. O que é perigoso é o uso. Sua condição de maior participação faz dele um alvo fácil para ataques automatizados, e a maioria das invasões reais não vem do núcleo, mas de vulnerabilidades de plugins/temas de terceiros, atualizações negligenciadas, contas de administrador fracas e superfícies de administração expostas. O outro lado: fechar isso corta a maior parte do risco.
QQuantos plugins são demais?
A regra é 'só o mínimo de que você precisa'. Cada plugin amplia a superfície de ataque, e qualquer um deixado sem atualização ou abandonado vira um buraco. Antes de instalar, verifique a frequência de atualização, a adoção e a data da última atualização; e o que você não usa, apague em vez de apenas desativar (arquivos desativados ainda podem ser alvo de vulnerabilidade). O mesmo vale para os temas.
QQual é o mínimo absoluto que eu deveria fazer?
(1) Ative atualizações automáticas para o núcleo, plugins e temas; (2) apague plugins/temas não usados para reduzir a contagem; (3) dê às contas de administrador uma senha forte e autenticação de dois fatores (2FA); (4) limite a exposição da administração (wp-admin/login) e as tentativas de login; (5) mantenha backups offline recuperáveis mais detecção de adulteração. Esses cinco detêm a maioria dos ataques automatizados.