Após concluir a instalação do WordPress, é fundamental aplicar medidas básicas de segurança para proteger seu site contra acessos indevidos e vulnerabilidades comuns. Abaixo, listamos algumas boas práticas recomendadas:
Alguns arquivos padrões vêm com a instalação do WordPress e não são mais necessários após a configuração inicial. Eles podem representar riscos se permanecerem no servidor, pois podem fornecer informações técnicas sensíveis.
Arquivos que você deve excluir:
wp-config-sample.php
– Arquivo de exemplo da configuração, pode ser usado para deduzir a estrutura do seu wp-config.php
.readme.html
– Contém informações sobre a versão do WordPress, o que pode facilitar ataques direcionados.license.txt
– Licença do WordPress, não é necessário no ambiente de produção.xmlrpc.php
(caso não use) – Se não utilizar aplicativos externos ou pingbacks, esse arquivo pode ser desabilitado ou bloqueado, pois é alvo comum de ataques.wp-activate.php
poderá ser removido se você não está usando multisite (ou seja, está em uma instalação padrão do WordPress) e não pretende ativar esse recurso. Se você estiver usando o WordPress Multisite com registro de usuários habilitado, não remova esse arquivo. Ele é essencial para o fluxo de ativação de novas contas via e-mail.wp-config.php
Esse arquivo contém informações sensíveis de banco de dados e configurações do site. Algumas ações recomendadas:
wp-config.php
um diretório acima da raiz (se seu servidor permitir).chmod 600 wp-config.php
Para garantir a segurança do seu site, algumas medidas precisam ser tomadas através da configuração do servidor Apache e através das restrições de acessos dos arquivos e diretórios do seu servidor. O artigo Wordpress - Segurança e Correção de Falha de Acesso - Avançado eu explico melhor sobre essas configurações.
Se ainda estiver em tempo de configurar o banco de dados, evite usar o prefixo padrão wp_
nas tabelas, substituindo por algo personalizado, como site123_
, para dificultar ataques de injeção de SQL.
Evite utilizar nomes óbvios como admin
para o usuário administrador. Crie um nome exclusivo e com senha forte.
Atualizações corrigem falhas de segurança. Ative as atualizações automáticas ou faça revisões periódicas para garantir que tudo esteja em dia.
A URL padrão é amplamente conhecida por bots e scripts maliciosos. Ao alterá-la, você:
Uma forma de realizar essa alteração é através do plugin WPS Hide Login (leve e confiável).
meu-painel
) e salve;seusite.com/meu-painel
;/wp-login.php
e /wp-admin
) passam a exibir erro 404.Você pode mudar a URL a qualquer momento, basta atualizar o campo nas configurações.
wp-login.php
manualmente, pois isso quebra o WordPress.Nessa seção eu apresento uma lista de plugins recomendados que utilizo para aprimorar a segurança do site WordPress, assim como alguns plugins que irão aprimorar a sua criação de sites.
All-in-One Security (AIOS) é um plugin essencial para proteger sites WordPress, oferecendo recursos avançados de segurança de forma simples e eficiente.
Com ele, você protege seu site contra ataques de força bruta, bloqueia bots, ativa um firewall inteligente (WAF), evita spam em comentários e impede o roubo de conteúdo com ferramentas como prevenção de iFrame e bloqueio de cópia de texto.
Tudo isso com uma interface intuitiva e diversas funções gratuitas, tornando-o uma solução indispensável para quem quer manter o WordPress seguro sem complicação.
O plugin Google Authenticator é um plugin de segurança para WordPress que adiciona autenticação de dois fatores (2FA) usando o app Google Authenticator no celular.
Com ele, mesmo que alguém descubra sua senha, não conseguirá acessar seu site sem o código de verificação, aumentando significativamente a proteção contra invasões.
É possível ativar o 2FA apenas para usuários específicos, como administradores, garantindo segurança sem comprometer a usabilidade.
Ideal para quem busca reforçar a segurança do login no WordPress com uma solução prática e confiável.
Login Lockdown é um plugin de segurança para WordPress que protege seu site contra ataques de força bruta, bloqueando automaticamente IPs após várias tentativas de login falhas.
Com recursos como bloqueio por país, log detalhado de tentativas, integração com captchas e verificação por e-mail (2FA alternativa), ele reforça a segurança da área de login de forma prática e eficaz.
Simples de configurar, o plugin é ideal para quem quer impedir acessos não autorizados e manter o controle total sobre quem tenta invadir o site.
A forma oficial Font Awesome e mais prática de adicionar ícones ao seu site WordPress, seja na versão Free ou Pro.
Com ele, você pode usar ícones modernos e personalizados em posts, páginas e templates, incluindo estilos como Duotone. O plugin também oferece compatibilidade com versões antigas, resolução de conflitos entre plugins e carregamento via CDN ou Kit oficial.
Ideal para quem deseja melhorar o visual e a comunicação visual do site com ícones profissionais e atualizados.
O Advanced Custom Fields é um plugin indispensável para desenvolvedores WordPress que desejam personalizar a experiência de edição no painel do site.
Com ele, é possível criar e gerenciar campos personalizados com facilidade, adicionando informações extras em qualquer parte do WordPress — como posts, usuários, mídias, taxonomias e páginas de opções.
Os campos podem ser exibidos em qualquer template do tema com funções práticas e intuitivas, tornando o ACF uma solução poderosa e flexível para sites dinâmicos e bem estruturados.
O Elementor Pro é um dos construtores de páginas mais poderosos para WordPress, ideal para quem deseja criar sites personalizados, modernos e profissionais sem escrever uma linha de código.
Com recursos como widgets avançados de portfólio, cabeçalhos e rodapés personalizados, efeitos visuais interativos, formulários personalizados e código/CSS sob medida, o plugin oferece total liberdade criativa.
Perfeito para quem quer transformar ideias em sites visualmente incríveis, mantendo a identidade da marca e a experiência do usuário em destaque.
O WP Image Zoom é um plugin de WordPress que permite adicionar um efeito de lupa interativo nas imagens do seu site, realçando detalhes e melhorando a experiência visual do usuário.
Com diversos tipos de zoom, efeitos de animação e fade, além de alta personalização, o plugin é ideal para destacar produtos, portfólios ou imagens com riqueza de detalhes.
Compatível com WooCommerce, páginas e posts, é uma excelente ferramenta para quem busca valorizar o conteúdo visual e potencialmente aumentar as conversões no site.
Quando falamos de segurança em WordPress, um dos plugins mais robustos e indispensáveis é o Wordfence. Ele oferece uma camada poderosa de proteção contra ataques, monitoramento em tempo real e ferramentas essenciais para blindar o seu site contra invasões.
Combinado com boas práticas de segurança, o Wordfence pode proteger até os pontos mais vulneráveis do WordPress.
wp_
) para dificultar ataques automatizados de injeção SQL./wp-admin
) para algo único e imprevisível.esc_html()
, sanitize_text_field()
, etc.)prepare()
nas consultas SQL para evitar injeçõesMesmo com todas as camadas de segurança aplicadas, nenhuma proteção é infalível. Por isso, manter backups regulares e automatizados do seu banco de dados e arquivos é essencial para garantir a recuperação do site em caso de invasão, erro humano ou falha no servidor.
🛠️ Dica: combine o Wordfence com plugins de backup como UpdraftPlus ou All-in-One WP Migration para uma estratégia de segurança completa.
O módulo Imagick é essencial para o processamento avançado de imagens no WordPress. Sua ausência pode afetar funcionalidades como redimensionamento, compressão e manipulação de imagens em plugins e temas.
sudo apt-get install php-imagick
php -m | grep imagick
Se a saída mostrar imagick
, significa que o módulo está ativo.
sudo systemctl restart apache2
Renée Maksoud - abril de 2025