Segurança em WordPress: como evitar que o seu site seja pirateado

O WordPress move uma fatia enorme da web e, em Portugal, é a base de boa parte dos sites institucionais e lojas online. Essa popularidade tem um reverso: é também o alvo preferido de quem procura sites vulneráveis para injetar publicidade, roubar dados ou usar o teu servidor para enviar spam. A boa notícia é que a esmagadora maioria dos ataques explora falhas básicas e evitáveis. Não precisas de ser engenheiro de segurança para fechar as portas mais óbvias.

Neste guia explicamos porque é que os sites WordPress são pirateados e o que fazer, na prática, para que o teu não seja o próximo.

Porque é que o WordPress é tão atacado

Há uma ideia errada de que "o WordPress é inseguro". Não é verdade. O núcleo do WordPress é mantido por uma equipa de segurança dedicada e recebe correções com frequência. O problema raramente está no núcleo — está à volta dele:

• Plugins e temas desatualizados. É de longe a causa nº 1. Um plugin abandonado há dois anos é uma porta aberta.
• Palavras-passe fracas. "admin / 123456" continua a ser explorado por ataques automáticos todos os dias.
• Alojamento partilhado mal configurado. Um site comprometido no mesmo servidor pode contaminar os outros.
• Falta de atualizações. Adiar atualizações por "medo de partir o site" é o erro que mais cara sai.

A grande maioria das invasões não é dirigida a ti pessoalmente. São robôs que varrem a web à procura de versões vulneráveis conhecidas. Manteres tudo atualizado já te tira da lista da maioria deles.

As medidas essenciais (faz isto primeiro)

Se só tiveres tempo para o básico, começa por aqui. São as ações com maior retorno por minuto investido.

1. Manter núcleo, temas e plugins atualizados

Quase todas as atualizações incluem correções de segurança. Atualiza com regularidade e remove tudo o que não usas — cada plugin extra é mais superfície de ataque.

2. Palavras-passe fortes e autenticação em dois passos

Usa palavras-passe longas e únicas para cada acesso (WordPress, alojamento, base de dados). Ativa autenticação em dois passos (2FA) na área de administração. Evita o utilizador "admin".

3. Limitar tentativas de login

Bloquear o IP após várias tentativas falhadas trava os ataques de força bruta, que tentam adivinhar a palavra-passe milhares de vezes por hora.

4. HTTPS em todo o site

Um certificado SSL cifra a ligação entre o visitante e o servidor. Hoje é obrigatório — o Google penaliza sites sem ele e os navegadores marcam-nos como "não seguro". Vemos isto em detalhe em Certificado SSL e HTTPS: o que é e porque o seu site precisa.

5. Cópias de segurança automáticas

Não é prevenção, é o teu seguro. Se o pior acontecer, uma cópia recente devolve o site ao ar em minutos. Tratamos do tema em Cópias de segurança do site: porque salvam o seu negócio.

Camadas adicionais de proteção

Resolvido o básico, estas medidas elevam o nível e fazem sentido sobretudo para lojas online e sites com dados de clientes:

• Firewall de aplicação web (WAF). Filtra tráfego malicioso antes de chegar ao site. Muitos alojamentos de qualidade já incluem um.
• Monitorização de ficheiros. Alerta quando algo é alterado sem autorização — sinal claro de invasão.
• Esconder a versão do WordPress e remover informação técnica que ajuda os atacantes a saber o que explorar.
• Permissões de ficheiros corretas no servidor, para que código malicioso não consiga escrever onde não deve.
• Acesso por funções. Quem só precisa de editar conteúdo não deve ter privilégios de administrador.

Em Portugal, o Centro Nacional de Cibersegurança (CNCS) publica recomendações e alertas úteis para PME que queiram aprofundar boas práticas de segurança digital.

RGPD: um site pirateado pode ser uma violação de dados

Se o teu site recolhe dados pessoais — formulários de contacto, clientes de uma loja, subscritores de newsletter — uma invasão pode constituir uma violação de dados pessoais ao abrigo do RGPD. Nesse caso, podes ser obrigado a notificar a CNPD e, em certos casos, os próprios titulares dos dados, normalmente no prazo de 72 horas após teres conhecimento. A segurança deixa de ser só uma questão técnica e passa a ser também legal.

O que fazer se o site já foi pirateado

Se desconfias que o site está comprometido — redirecionamentos estranhos, publicidade que não puseste, avisos do Google —, não entres em pânico:

1. Põe o site em modo manutenção para não expor os visitantes.
2. Restaura uma cópia de segurança limpa, anterior à invasão.
3. Muda todas as palavras-passe: WordPress, alojamento, base de dados, FTP.
4. Atualiza tudo e remove plugins/temas suspeitos.
5. Verifica e limpa o conteúdo antes de voltar a publicar.

Se não tens conhecimentos técnicos para isto, recorre a quem os tenha. Tentar limpar à mão um site infetado, sem saber o que procurar, costuma deixar portas abertas para reinfeção.

A segurança é manutenção contínua, não um produto

Não existe "instalar segurança e esquecer". Um site protegido hoje fica vulnerável daqui a três meses se ninguém atualizar nada. É por isso que a segurança faz parte da manutenção do site — não é um extra opcional. Falamos disso em Porque é que um site precisa de manutenção.

---

No sitesfixe.pt construímos sites institucionais e lojas online em Lisboa com segurança pensada desde o início — websites desde 1.500€, lojas desde 3.500€ — e oferecemos planos de manutenção que mantêm o teu site atualizado, com cópias de segurança e monitorização. Pede um orçamento sem compromisso.

Lê também:

• Cópias de segurança do site: porque salvam o seu negócio
• Certificado SSL e HTTPS: o que é e porque o seu site precisa
• Porque é que um site precisa de manutenção

Fontes

• WordPress.org — Security
• Centro Nacional de Cibersegurança (CNCS)
• DNS.PT