Meu site é pequeno. Sou alvo de ataque mesmo?

Sim. A grande maioria dos ataques não é direcionada — são robôs varrendo a internet em busca de sites com falhas conhecidas (plugin desatualizado, senha fraca). O tamanho do seu negócio não importa para um script automatizado; o que importa é se a porta está aberta.

WordPress é inseguro?

O WordPress em si não é o problema — é a desatualização. A maioria das invasões explora plugins ou temas velhos, não o núcleo do WordPress. Mantendo tudo atualizado, removendo o que não usa e usando senhas fortes, ele é tão seguro quanto a maioria das plataformas.

Com que frequência preciso atualizar plugins e temas?

O ideal é ligar a atualização automática para correções de segurança e revisar o resto pelo menos uma vez por semana. Quanto mais tempo um plugin fica desatualizado, maior a janela para um ataque automatizado.

Acho que meu site foi invadido. O que faço primeiro?

Verifique os usuários administradores (apague qualquer um que você não criou), troque todas as senhas, atualize tudo e restaure de um backup limpo se houver. Se o site lida com dados de clientes ou pagamentos, vale acionar um profissional para uma limpeza e auditoria completas.

Segurança 16 de junho de 2026 9 min de leitura 881

Segurança de sites: o guia prático pra proteger o seu (sem pânico)

A maioria dos sites invadidos não caiu por um gênio do mal — caiu por plugin desatualizado, senha fraca ou descuido. Reuni as ameaças que mais derrubam sites de PME e um plano em camadas pra fechar as portas, com os guias e ferramentas pra cada parte.

A maioria das invasões explora três fraquezas: plugin desatualizado, senha fraca e código que confia no usuário. Proteger seu site é um plano de camadas — não uma bala de prata. Este guia mapeia as portas mais exploradas, o checklist de proteção para um fim de semana e quando contratar um especialista.

Quando um cliente me chama em pânico porque "o site foi hackeado", quase nunca foi um gênio do mal. Foi um plugin que ninguém atualizou, uma senha que era 123456 ou um formulário que confiava demais no visitante. A boa notícia: as portas que os atacantes usam são quase sempre as mesmas — e dá pra trancar a maioria num fim de semana. Este é o guia que eu queria que todo dono de site lesse.

Quais ameaças mais comprometem sites?

Os ataques de hoje são, na esmagadora maioria, automatizados: robôs varrendo a internet atrás de falhas conhecidas. Não importa o tamanho do seu negócio — importa se a porta está aberta. As mais comuns:

Plugin, tema ou CMS desatualizado — a porta nº 1. Foi exatamente o que aconteceu no caso recente do plugin Everest Forms no WordPress, onde um campo de formulário virou uma porta pra rodar código no servidor.
Código que confia no usuário — entrada de formulário caindo direto num eval() ou concatenada num SQL. É o "pecado original" que destrincho naquele mesmo post.
Senha fraca, sem 2FA, ou um usuário admin esquecido — o jeito mais chato (e comum) de perder o site.
Site sem HTTPS — além de inseguro, o Google penaliza e o navegador marca como "não seguro".
Dados pessoais expostos / sem base na LGPD — coletar nome, e-mail e telefone sem política e sem cuidado é risco jurídico além de técnico. Tem um guia só sobre isso (com um gerador grátis).
IA mal plugada — chatbots e agentes que obedecem a instruções escondidas (prompt injection). Montei um agente falso pra você hackear e sentir por que isso é estrutural.

Como montar um plano de proteção em camadas?

Segurança não é uma bala de prata — é camadas. Se uma falha, a próxima segura. Este é o plano que aplico (e que cabe num fim de semana):

Atualize tudo e ligue a atualização automática. Remova plugins, temas e contas que você não usa — cada um é uma porta a menos.
Senhas fortes + 2FA em tudo que for painel. Revise os administradores e apague qualquer um que você não reconheça.
HTTPS + um WAF (firewall de aplicação, tipo Wordfence) + backup automático guardado fora do servidor.
(No código) nunca confie no usuário: valide a entrada, use prepared statements no banco, nada de eval() com dado de fora nem segredo escrito no código.
LGPD: tenha política de privacidade e trate os dados com base legal. Você gera as suas em minutos com o PolicyForge.
Monitore: alertas de usuário novo, de mudança de arquivo e de login estranho. Quanto antes você souber, menor o estrago.

Quando vale contratar um especialista em segurança?

Dá pra fazer muita coisa sozinho com o plano acima. Mas vale chamar alguém quando: você já foi invadido (e precisa de uma limpeza confiável), o site é uma loja / lida com pagamentos ou dados sensíveis, ou simplesmente você não tem tempo pra cuidar disso e prefere dormir tranquilo.

Quero uma auditoria de segurança

Eu faço hardening, correção de vulnerabilidades e adequação à LGPD — sem virar notícia ruim. Se algum sinal acima é o seu caso, bora conversar.

Onde aprofundar cada ameaça?

Este guia é o mapa. Cada porta tem o seu aprofundamento:

Um plugin com eval() está invadindo sites WordPress — o caso Everest Forms, na prática.
Como criar a Política de Privacidade do seu site (LGPD), de graça — com gerador.
"Ignore as instruções anteriores" — o ataque de prompt injection que a IA não sabe se defender.
Como saber se a sua senha é forte — e por que "Senha123!" quebra em segundos.
Cabeçalhos de segurança HTTP — feche clickjacking, XSS e sniffing com um gerador pronto.
Como evitar spam em formulários sem CAPTCHA — Honeypot e Time-trap com código pronto para copiar.

Quais ameaças mais comprometem sites?

Como montar um plano de proteção em camadas?

Quando vale contratar um especialista em segurança?

Onde aprofundar cada ameaça?

Continue lendo

Um plugin com eval() está invadindo sites WordPress: o caso Everest Forms e como se proteger

Como fazer backup do seu site (e por que o backup da própria hospedagem não basta)

Como evitar spam em formulários sem CAPTCHA (Honeypot e Time-trap)