Sites são alvos constantes de ataques automatizados. Bots vasculham a internet 24h buscando vulnerabilidades conhecidas - versões desatualizadas de WordPress, plugins com brechas, senhas fracas. Segurança gerenciada é a camada de proteção ativa que monitora, bloqueia e responde a essas ameaças.

Por que a segurança padrão não é suficiente

Uma instalação padrão do WordPress não tem:

  • Firewall de aplicação
  • Proteção contra força bruta no login
  • Varredura de malware
  • Monitoramento de arquivos modificados
  • Detecção de backdoors

Sem essas camadas, qualquer bot bem programado pode comprometer o site em minutos se encontrar uma vulnerabilidade.

As camadas de segurança

Firewall de Aplicação Web (WAF)

O WAF fica entre o visitante e o seu site, filtrando requisições maliciosas antes de chegarem ao servidor.

O que bloqueia:

  • Injeção de SQL
  • Cross-site scripting (XSS)
  • Tentativas de acesso a arquivos sensíveis (wp-config.php, .htaccess)
  • Scanners de vulnerabilidade
  • Tráfego de IPs com histórico de atividade maliciosa

Opções:

  • Cloudflare WAF (plano gratuito tem proteção básica, plano Pro tem WAF completo)
  • Wordfence (plugin WordPress - WAF no servidor)
  • Sucuri (WAF na nuvem + monitoramento)

Proteção de login

O wp-admin e wp-login.php são os alvos mais comuns de ataques de força bruta - bots tentam automaticamente combinações de usuário e senha.

Medidas de proteção:

  • Limitar tentativas de login (bloqueio após X falhas)
  • Autenticação de dois fatores (2FA)
  • Trocar a URL do wp-login.php para uma URL customizada
  • Bloquear acesso ao wp-admin por IP (para sites com poucos administradores)

Varredura de malware

Verificação periódica dos arquivos do site contra assinaturas de malware conhecidas e comparação com arquivos originais do WordPress.

O que detecta:

  • Código PHP malicioso injetado em arquivos do tema
  • Backdoors escondidos em arquivos de upload
  • Modificações nos arquivos core do WordPress
  • Links e redirecionamentos maliciosos no banco de dados

Frequência: mínimo semanal; diário em sites críticos.

Monitoramento de integridade de arquivos

Cria um “mapa” dos arquivos do site e monitora alterações. Se um arquivo for modificado sem uma atualização legítima, alerta imediato.

É uma das detecções mais eficientes de comprometimento - malware sempre modifica arquivos.

Verificação de blacklists

Serviços como Google Safe Browsing, Sucuri e McAfee mantêm listas de domínios que distribuem malware. Se seu domínio cair em uma blacklist:

  • Chrome exibe aviso vermelho “Site enganoso”
  • E-mails do seu domínio vão para spam
  • SEO é prejudicado

Monitoramento de blacklists detecta esse problema imediatamente.

Configurações de segurança fundamentais

Senhas fortes e únicas

Parece básico mas é onde muitos sites falham. Senha do admin do WordPress deve ter 16+ caracteres, aleatória, diferente de todos os outros sites.

Use um gerenciador de senhas (Bitwarden gratuito, 1Password, Dashlane).

Usuário admin não pode ter nome “admin”

O nome de usuário “admin” é testado em todo ataque de força bruta. Crie um usuário com nome diferente, com privilégio de administrador, e delete o “admin” original.

Limitar usuários com privilégio de administrador

Cada usuário admin é um vetor de ataque potencial. Defina permissões mínimas necessárias: editores e colaboradores não precisam de acesso administrativo completo.

HTTPS em todo o site

Todo o tráfego deve ser HTTPS (não só o login). Verifique se o certificado SSL está ativo e se não há conteúdo misto (imagens ou scripts carregados via HTTP em página HTTPS).

Como responder a um site comprometido

Sinais de comprometimento:

  • Google Search Console envia aviso de malware
  • Visitantes são redirecionados para outro site
  • Antivírus do usuário bloqueia o acesso ao site
  • Aparecem páginas ou usuários não criados por você
  • E-mails do domínio chegam em spam

Plano de resposta:

  1. Coloque o site em manutenção (para proteger visitantes)
  2. Identifique a extensão do comprometimento (quais arquivos foram alterados)
  3. Restaure backup limpo (anterior ao comprometimento) ou limpe arquivos infectados manualmente
  4. Atualize todos os plugins, temas e WordPress core
  5. Troque todas as senhas (wp-admin, FTP, banco de dados, hospedagem)
  6. Identifique a vulnerabilidade explorada e corrija
  7. Solicite revisão ao Google (Search Console) se foi blacklistado

Sem backup disponível, a limpeza manual pode custar R$ 500-2.000+ em serviços especializados.

Manutenção de Sites

Seu site tem as camadas de segurança adequadas?

Implementamos firewall, varredura de malware, proteção de login e monitoramento ativo de segurança para o seu site.

Proteger meu site agora

FAQ

Wordfence gratuito é suficiente para um site pequeno?

Para sites pequenos e médios, a versão gratuita do Wordfence oferece proteção razoável: WAF, varredura de malware e proteção de login. A versão paga adiciona atualizações de regras em tempo real (a versão gratuita tem delay de 30 dias). Para e-commerce ou sites de alta criticidade, a versão paga ou o Sucuri são mais indicados.

Se meu site tem pouco tráfego, ainda é alvo de ataques?

Sim. Bots não selecionam vítimas por tráfego - eles varrem toda a internet. Um site com 50 visitas/mês mas com WordPress desatualizado é tão vulnerável quanto um com 50.000 visitas/mês.

Segurança de hospedagem substitui segurança de aplicação?

Não. Segurança de servidor (firewall de rede, proteção de infraestrutura) e segurança de aplicação (WAF, malware, login) são camadas diferentes. Uma boa hospedagem protege a infraestrutura, mas vulnerabilidades no WordPress, plugins e configurações da aplicação são responsabilidade do dono do site.

Quanto tempo depois de um ataque a limpeza é possível?

Quanto mais rápido, melhor. Um site comprometido que fica online por dias distribui malware para visitantes e acumula mais arquivos infectados. Com backup recente, a recuperação pode ser feita em horas. Sem backup, pode levar dias e custar mais em serviço manual de limpeza.