Na maioria das vezes em que um site feito com WordPress é invadido, a culpa não é do WordPress, mas sim de alguma falha boba que poderia ter sido evitada durante a sua construção. Essa é a ideia deste projeto: um checklist de ações que você deve tomar para aumentar a segurança do seu site.

wp-config

• Altere as chaves de segurança (Gerador disponibilizado pelo WordPress.org)
• Desative o editor de arquivos com define('DISALLOW_FILE_EDIT', true); no wp-config.php
• Force HTTPS no admin com define('FORCE_SSL_ADMIN', true);
• Em produção, mantenha WP_DEBUG desligado para não expor informações sensíveis

Página de login

• Ative proteção contra força bruta e limite de tentativas de login
• Ative autenticação de múltiplos fatores para administradores (passkeys/WebAuthn preferencialmente)
• Use nomes de usuário únicos (nunca admin) e evite contas compartilhadas
• Remova links para sua página de login (caso exista algum em seu tema)
• Use senhas fortes e únicas em todas as contas (com gerenciador de senhas)
• Revogue sessões antigas e altere senhas após incidentes ou troca de equipe
• Faça com que a mensagem de erro de login seja genérica (user/pass) (tutorial)

Painel Administrativo

• Proteja a pasta wp-admin com senha (desbloqueie apenas os arquivos necessários)
• Atualize o WordPress para sua versão mais recente
• Não utilize uma conta com nome de usuário admin. Caso exista, crie uma nova conta e apague a antiga
• Crie uma conta Editor e use-a somente para publicar seu conteúdo
• Implemente SSL em toda seção administrativa
• Revise contas de administrador periodicamente e remova usuários inativos
• Escaneie o site regularmente em busca de malware e alterações inesperadas de arquivos
• Tenha um plano de resposta a incidentes com contenção, recuperação e rotação de segredos

Tema

• Atualize o tema ativo para sua versão mais recente
• Apague temas inativos
• Apenas instale temas de fontes confiáveis
• Prefira temas com manutenção ativa, changelog claro e correções de segurança recentes

Plugins

• Atualize todos os plugins para suas versões mais recentes
• Apague plugins inativos
• Apenas instale plugins de fontes confiáveis
• Substitua plugins desatualizados por versões alternativas atualizadas
• Pense bem antes de instalar uma centena de plugins
• Revise permissões dos plugins e remova os que pedem mais acesso do que você precisa

Banco de dados

• Use credenciais fortes e únicas para o banco e mantenha apenas os privilégios necessários
• Configure backups automáticos com cópias externas (offsite)
• Teste restauração de backup regularmente
• Criptografe backups em trânsito e em repouso

Hospedagem

• Contrate uma hospedagem de confiança
• Acesse seu servidor apenas por SFTP ou SSH
• Configure as permissões das pastas para 755 e arquivos para 644 (Guia de segurança e fortalecimento do WordPress)
• Certifique-se de que seu arquivo wp-config.php não possa ser acessado por outras pessoas
• Remova ou bloqueie via .htaccess os arquivos license.txt, wp-config-sample.php e readme.html
• Evite a listagem de diretórios via .htaccess com o código: Options All -Indexes
• Use WAF/CDN com proteção contra bots e DDoS quando possível
• Ative monitoramento e alertas (uptime, expiração de SSL, picos de login, malware)
• Mantenha XML-RPC desativado, exceto se você realmente precisar dele
• Evite enumeração de nomes de usuário via URL pública (por exemplo ?author= com ID numérico que redireciona para o slug do autor): use regras no servidor (.htaccess no Apache, nginx), um plugin de segurança, ou desative arquivos públicos de autor se não precisar deles (Guia de segurança e fortalecimento do WordPress).
  Mostrar exemplo em Apache (.htaccess)

  # Bloqueia varreduras com author= numérico (301 remove a query string)
  RewriteEngine On
  RewriteCond %{QUERY_STRING} ^author=\d [NC]
  RewriteRule ^ %{REQUEST_URI}? [L,R=301]