O WordPress alimenta mais de 43% de todos os sites da internet, segundo o W3Techs. Essa popularidade o torna também o CMS mais visado por atacantes. Segundo o Sucuri Website Threat Research Report, o WordPress representou cerca de 96,2% dos sites CMS infectados analisados recentemente.
A questão não é que o WordPress seja inseguro. O core é bem mantido e recebe correções regulares. O problema está em como a maioria dos sites é configurada: plugins desatualizados, senhas fracas, ausência de monitoramento e backups inexistentes.
Pontos-Chave
- O WordPress concentra 96,2% dos sites CMS infectados (Sucuri).
- Mais de 26% das vulnerabilidades críticas de WordPress estão em plugins com correções disponíveis há mais de 30 dias (Patchstack).
- O 2FA previne 99,9% dos ataques automatizados, segundo a Microsoft.
- Site comprometido envenena a reputação do domínio de email, afetando entregabilidade e vendas.
- A regra de ouro do backup é 3-2-1: 3 cópias, 2 mídias, 1 off-site.

1. Mantenha tudo atualizado, sempre
A causa mais comum de sites WordPress comprometidos é software desatualizado. Segundo a Patchstack, mais de 26% das vulnerabilidades críticas de plugins tinham correções disponíveis há mais de 30 dias quando foram exploradas. Os administradores simplesmente não aplicaram.
Atualizações não são só novas funcionalidades. São correções de segurança. Cada versão que você pula é uma porta aberta documentada publicamente, porque os changelogs detalham o que foi corrigido.
Checklist de atualização segura
- Ativar atualizações automáticas para o core do WordPress.
- Atualizar plugins e temas semanalmente, ou ativar auto-update nos de confiança.
- Remover plugins e temas inativos. Desativado não é seguro: o código ainda está no disco.
- Manter ambiente de staging para validar antes de aplicar em produção.
2. Escolha plugins com critério rigoroso
O ecossistema de plugins é a maior força do WordPress e seu maior risco. Há mais de 60 mil plugins no repositório oficial, e a qualidade varia enormemente.
O que avaliar antes de instalar
- Data da última atualização. Se faz mais de 6 meses, desconfie.
- Número de instalações ativas. Prefira plugins com mais de 10 mil instalações.
- Avaliações e histórico de problemas de segurança.
- Compatibilidade com a sua versão do WordPress.
- Reputação do desenvolvedor ou empresa mantenedora.
A regra geral é simples: menos plugins significa menor superfície de ataque. Cada plugin é código de terceiro rodando no seu servidor com acesso ao banco. Instale só o essencial.
Para segurança, três plugins cobrem a maior parte do essencial: Wordfence (firewall e escaneamento de malware), Sucuri Security (monitoramento de integridade) e Limit Login Attempts (proteção contra força bruta).
3. Implemente backup robusto e testado
Backup é a última linha de defesa. Quando tudo mais falha, um backup recente e íntegro é o que separa uma recuperação rápida de uma catástrofe operacional.
A regra 3-2-1 do backup
- 3 cópias dos dados.
- 2 tipos de mídia diferentes.
- 1 cópia fora do local (off-site).
Na prática: backup automático diário no servidor, replicação para nuvem (S3, Meile BOX, etc.), retenção de ao menos 30 dias e teste periódico de restauração.
O teste é o ponto mais negligenciado. Um backup que nunca foi restaurado não é um backup, é uma esperança. A cada trimestre, restaure em ambiente de teste e verifique o funcionamento completo.
Plugins como UpdraftPlus e BlogVault automatizam backups externos. Para sites críticos, combine o plugin com snapshots da VPS ou do Meile VPS.
4. Credenciais fortes com autenticação em dois fatores
O acesso administrativo ao WordPress é o alvo preferido de ataques de força bruta. Bots testam milhares de combinações por hora em sites expostos. E segundo a Microsoft, o 2FA previne 99,9% desses ataques.
Práticas essenciais de autenticação
- Nunca use "admin" como nome de usuário. É o primeiro que os bots testam.
- Exija senhas com mínimo de 14 caracteres usando gerenciador de senhas.
- Implemente 2FA para todos os usuários administrativos (prefira aplicativo ao SMS).
- Limite tentativas de login: máximo 5 por IP antes de bloqueio temporário.
- Altere a URL de login padrão. Bots buscam
/wp-login.phpautomaticamente.
Para 2FA, WP 2FA e Two Factor Authentication são plugins sólidos e gratuitos. Prefira Google Authenticator ou Authy em vez de SMS.
5. Permissões de arquivo corretas
Permissões mal configuradas permitem que atacantes modifiquem arquivos, injetem código malicioso ou acessem dados sensíveis como credenciais do banco.
Permissões recomendadas
- Diretórios:
755. - Arquivos:
644. wp-config.php:600(somente leitura pelo proprietário)..htaccess:644.
Além das permissões, mova o wp-config.php para um nível acima do diretório raiz quando possível, ou proteja-o via regra no .htaccess. Desabilite também a edição de arquivos pelo painel administrativo adicionando define('DISALLOW_FILE_EDIT', true); ao wp-config.php. Isso impede que uma conta admin comprometida modifique temas ou plugins diretamente pelo painel.
6. HTTPS em todo o site
Atualmente, não há justificativa para um site corporativo rodar em HTTP. O Chrome marca sites HTTP como não seguro, o Google penaliza no ranking, e dados transmitidos sem criptografia podem ser interceptados.
Implementação correta de HTTPS
- Forçar redirecionamento de HTTP para HTTPS em todo o site.
- Configurar HSTS (HTTP Strict Transport Security) para impedir downgrade.
- Garantir que imagens, scripts e CSS carregam via HTTPS (evitar mixed content).
- Renovar o certificado antes do vencimento.
Certificados Let's Encrypt são gratuitos e amplamente suportados. A maior parte das hospedagens oferece instalação automática, sem custo.
7. Monitoramento ativo e contínuo
Segurança sem monitoramento é alarme desligado. Você só descobre que foi invadido quando o Google marca seu site como perigoso ou um cliente reporta conteúdo estranho.
O que monitorar
- Escaneamento de malware diário.
- Integridade de arquivos do core: alerta quando algo é modificado.
- Log de atividades administrativas: quem fez o quê e quando.
- Uptime: site fora do ar pode indicar ataque.
- Blacklists: seu domínio ou IP foi listado?
O Wordfence cobre a maior parte na versão gratuita. Para monitoramento externo, UptimeRobot (uptime) e Google Search Console (problemas de segurança detectados pelo Google) complementam bem.
A conexão entre site e email
Há um ponto que muitas empresas ignoram: a segurança do site WordPress e a do email corporativo estão conectadas. Ambos compartilham o mesmo domínio, e a reputação de um afeta a do outro.
Um WordPress comprometido pode ser usado para enviar spam pelo domínio da empresa. Quando isso acontece, o domínio entra em blacklists e emails legítimos começam a ser rejeitados ou classificados como spam. Vendas param. Suporte para de receber tickets. E ninguém entende o porquê.
A proteção completa exige cuidar das duas pontas:
- SPF, DKIM e DMARC configurados corretamente no DNS para bloquear spoofing.
- Antispam robusto no email para bloquear ameaças de entrada.
- WordPress seguro para garantir que o domínio não vire fonte de spam.
Na Meile, vemos essa conexão diariamente. Clientes que investem em segurança de email mas negligenciam o site acabam com problemas de reputação de domínio, e vice-versa. Segurança digital é um ecossistema: cada peça importa.
Para revendedores: segurança WordPress é serviço gerenciado mensal, não venda única
PME que tem site WordPress descobre que precisa de segurança quando o site é invadido. Antes disso, segurança é "extra" — algo que o cliente cogita só depois de tomar prejuízo direto. Agência ou MSP que oferece manutenção WordPress + segurança como serviço gerenciado transforma essa equação: deixa de vender projeto único e passa a vender carteira recorrente plurianual.
Operação concreta empacotada pelo revendedor MSP brasileiro:
- Onboarding (mês 1): auditoria de plugins instalados (versão, manutenção ativa, score), inventário de usuários e permissões, ativação 2FA em todos os admins, ajuste de permissões de arquivo, varredura inicial de malware, configuração de backup automático em destino externo, SSL Let's Encrypt configurado, política escrita de atualização documentada
- Mensal: relatório de atualizações aplicadas (core, plugins, temas), resultado de varredura de malware, logs de tentativas de login bloqueadas, validação de backup com restauração-teste, monitoramento de uptime, alertas de DMARC integrados com filtragem do servidor de e-mail
- Trimestral: revisão de plugins obsoletos, simulação de incidente (restauração completa em staging), revisão de permissões em mudanças de equipe do cliente, validação de pentest leve em formulários e endpoints expostos
- Anual: auditoria documental completa por vertical regulado quando aplicável, RIPD com fluxo de dados do site, revisão contratual de operador conforme Resolução CD/ANPD nº 4/2023, upgrade planejado de versão major do WordPress
Persona perfeita do revendedor: agência digital brasileira mantendo carteira de 20-100 sites WordPress de PME — site institucional de advogado, contador, clínica, escritório de engenharia, e-commerce de pequeno-médio porte. Hoje cada cliente paga mensalidade simbólica de "manutenção" sem entrega clara; com pacote estruturado, agência cobra múltiplos do que cobra hoje porque entrega relatório auditável, segurança comprovada e plano de resposta a incidente.
O combo natural pra fechar o ICP: site WordPress hospedado em hospedagem brasileira gerenciada + e-mail corporativo no mesmo provedor + manutenção mensal de segurança. Pra cliente PME, é um único fornecedor, um único fuso, uma única jurisdição — simplificação que vende sozinha.
A diferença comercial entre operação MSP de manutenção WordPress gerenciada e revenda de balcão vira evidente quando o cliente regulado pergunta sobre LGPD: revendedor sério tem RIPD, política escrita, contrato de operador. Revendedor de balcão tem desculpa.
Agência ou MSP avaliando entrada nesse modelo: a stack white label de manutenção WordPress gerenciada da Meile já entrega hospedagem brasileira, painel multi-tenant, suporte L2 em PT em nome do parceiro e infraestrutura sob LGPD. O argumento de venda pro cliente final está pronto; falta empacotar o serviço mensal e cobrar pelo enquadramento, não pelo conserto reativo.
Conclusão
A segurança do WordPress não exige investimento massivo nem conhecimento ultra-especializado. As 7 práticas descritas aqui são acessíveis para qualquer empresa e cobrem a grande maioria dos vetores de ataque.
O ponto crucial é consistência. Segurança não é projeto que você faz uma vez: é disciplina contínua de atualização, monitoramento e boas práticas. Trate seu site com o mesmo cuidado dedicado aos demais ativos digitais. Conheça também o email corporativo da Meile, que protege 400 mil caixas para mais de 8 mil clientes há duas décadas.

