Endurecer o WordPress em 2026 — o checklist que aplicamos nos sites dos clientes

A maioria dos artigos «Top 50 dicas de segurança do WordPress» é ruído. Listam «use uma senha forte» ao lado de controles genuinamente úteis, e o leitor não tem como diferenciar o que importa.

Este é o checklist que rodamos em cada novo site WordPress que entra em hospedagem gerenciada. Cada item está aqui porque vimos o ataque que ele previne acontecer com um cliente real nos últimos 18 meses. Aplique os controles desta lista e você defenderá aproximadamente 95 % do que chega aos origins WordPress.

A passagem de hardening do wp-config

define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);
define('WP_AUTO_UPDATE_CORE', 'minor');
define('FORCE_SSL_ADMIN', true);
define('WP_DEBUG', false);

Os dois controles de maior impacto: DISALLOW_FILE_EDIT remove o editor de tema/plugin do dashboard, então um admin comprometido não consegue depositar uma webshell pela UI. DISALLOW_FILE_MODS bloqueia completamente instalações de plugins/temas — o correto para sites cujos deploys passam pela CI.

O artigo completo cobre:

• Permissões de sistema de arquivos e o mount noexec em wp-content/uploads que neutraliza a maioria das webshells
• Desabilitar XML-RPC (ou aplicar rate-limit) — o amplificador de brute-force system.multicall
• Endpoints REST API que vazam nomes de usuário, e como bloqueá-los de forma limpa
• Jails do Fail2ban que de fato contam POSTs falhos em wp-login.php
• Obrigatoriedade de 2FA (TOTP no mínimo, WebAuthn para times pequenos)
• File-integrity monitoring com AIDE/Tripwire como rede de segurança pós-compromisso
• Allowlisting de plugins e temas — o problema do plugin abandonado

Entregamos este baseline em cada instalação WordPress gerenciada.