Os 12 melhores plugins de segurança do WordPress comparados (análise de 2021)

A segurança é absolutamente essencial para você que tem um blog, site da sua pequena empresa ou loja de comércio eletrônico. Afinal, caso seu site seja invadido, você correrá o risco de prejudicar sua reputação, perder seus arquivos e banco de dados, rebaixar a posição de SEO e fornecer dados pessoais dos clientes e visitantes para os hackers. 

Como em diversas situações da vida, a prevenção é o melhor remédio. E, felizmente, é fácil proteger seu site do WordPress e impedir uma invasão.

Vamos analisar em detalhes os 12 melhores plugins de segurança do WordPress, compará-los em diversas áreas e ajudar você a tomar a decisão certa para o seu site. Além disso, vamos responder a algumas perguntas sobre a segurança do WordPress.

O WordPress tem problemas de segurança?

O WordPress é usado por mais de 40% da internet, sendo o sistema de gerenciamento de conteúdo (CMS) mais conhecido. Sua popularidade coloca o sistema no alvo de hackers, mas o software em si não tem problemas de segurança.

Na verdade, é raro que os hackers acessem sites por meio de vulnerabilidades do WordPress. A maioria dos sites é invadida devido a problemas de segurança que podem ser evitados, como plugins e temas desatualizados, senhas fracas ou um ambiente de hospedagem deficiente.

Nenhum sistema de gerenciamento de conteúdo é 100% seguro, mas os desenvolvedores especialistas do WordPress se esforçam para torná-lo o mais seguro possível a cada atualização. E, seguindo algumas práticas recomendadas simples, você não precisará se preocupar.

Como posso melhorar a segurança do meu site do WordPress?

  1. Escolha um provedor de hospedagem de alta qualidade. A segurança começa no seu host. Escolha um que tenha uma boa reputação. Busque funcionalidades como backup automático, certificado SSL, firewall no nível do servidor e proteção contra malware. E, antes de adquirir um plano, verifique nas avaliações se há problemas comuns de segurança. Veja os provedores de hospedagem do WordPress que são recomendados pelo Jetpack.
  2. Atualize os temas, os plugins e o WordPress regularmente. Muitas vezes, as novas versões incluem patches de vulnerabilidades de segurança, bem como outras funcionalidades. Certifique-se de atualizar esses elementos o quanto antes.
  3. Escolha temas e plugins confiáveis. Instale somente plugins e temas de fontes confiáveis e que tenham excelentes avaliações. Além disso, nunca adquira as versões gratuitas (também chamadas de “nulled”) dos plugins e temas premium. Muitas vezes, elas são repletas de malware e vulnerabilidades.
  4. Crie nomes de usuário e senhas seguros. Use uma senha exclusiva para seu site do WordPress contendo pelo menos 20 caracteres e uma combinação de letras maiúsculas, letras minúsculas, números e símbolos. Isso exige que os hackers e bots precisem adivinhar a senha.
  5. Defina as permissões de usuário apropriadas. As funções de usuários do WordPress definem quais ações cada conta pode executar no seu site. Conceda às pessoas somente a função mínima necessária para que realizem suas tarefas e remova as contas que não estiverem mais em uso.
  6. Faça backups automáticos armazenados em outro local. Configure os backups automatizados para ocorrer, no mínimo, a cada 24 horas. Depois, armazene-os em um local totalmente independente do seu host. Assim, se ocorrer algo com seu servidor, o backup não será afetado. 
  7. Configure a proteção contra ataques de força bruta. Os ataques de força bruta ocorrem quando bots tentam adivinhar milhares de combinações de nome de usuário/senha por minuto para forçar a entrada em seu site. No entanto, uma boa ferramenta pode bloquear os endereços de IP suspeitos antes que cheguem até você. 
  8. Verifique o malware. Como você não pode monitorar o malware no site o tempo todo pessoalmente, escolha uma ferramenta ou plugin que faça isso. Ficar sabendo de uma ação suspeita assim que ela ocorre permite resolver o problema e impedir que ele se espalhe.
  9. Configure a autenticação em dois fatores. A autenticação em dois fatores exige uma senha e um dispositivo físico para fazer login no seu site. Normalmente, é enviado ao seu celular um código exclusivo que deve ser inserido para fazer login. Isso torna praticamente impossível para os hackers entrarem tendo o nome de usuário e senha.
  10. Livre-se dos comentários spam. Além de irritantes, os comentários spam podem conter links para sites de phishing nocivos, o que também afeta os visitantes do site. É possível deletá-los manualmente ou instalar um plugin para filtrar os comentários e excluir o spam.

Preciso usar um plugin de segurança do WordPress?

Você não necessariamente precisa de um plugin de segurança do WordPress para ter um site seguro. Várias práticas recomendadas, como atualizações regulares e senhas seguras, podem ser implementadas sem um plugin. No entanto, os melhores plugins do WordPress permitem ir além, adicionando outra camada de segurança e tornando mais simples incluir proteção avançada sem a ajuda de um desenvolvedor.

E a segurança é uma área que não deve ser subestimada. Não importa o tipo de site que você tem, uma invasão pode afetar consideravelmente a percepção dos visitantes e clientes sobre a sua marca. Também pode prejudicar suas posições no mecanismo de busca (por exemplo, o Google não gosta de sites que não são seguros), diminuir o número de vendas e leads recebidos e colocar informações como dados de cartões de crédito em risco.

Embora o plugin de segurança do WordPress não seja obrigatório, é recomendado instalar um em seu site.

Os melhores plugins de segurança do WordPress

Página inicial do Jetpack Security com detalhes sobre preços e funcionalidades

Confira os melhores plugins de segurança do WordPress:

Use a lista acima para acessar plugins específicos e conferir as principais funcionalidades, opções de preços e, claro, como cada um ajuda a proteger seu site.

1. Jetpack Security

Ao contrário de vários outros plugins, o Jetpack Security realiza diversas tarefas: as funcionalidades gratuitas e pagas incluem desde prevenção contra ataques de força bruta a monitoramento de inatividade, backups, verificação de malware, proteção antispam e muito mais. Essas funcionalidades combinadas criam um plugin de segurança completo do WordPress que é fácil de ser usado mesmo por iniciantes e contempla até os maiores sites. E, de bônus, as varreduras não deixam seu site mais lento, pois são executadas nos servidores do Jetpack.

Além disso, o Jetpack é desenvolvido e mantido pelas pessoas por trás do WordPress.com, especialmente para o WordPress. A equipe do Jetpack conhece cada detalhe do WordPress e entende os problemas exatos que os proprietários de sites do WordPress enfrentam todos os dias, sendo assim o melhor plugin de segurança disponível.

Principais funcionalidades do Jetpack Security:

  • Backups automáticos diários e em tempo real
  • Verificações de malware diárias e em tempo real
  • Prevenção automatizada contra spam
  • Registro de atividades detalhado mostrando tudo que ocorre em seu site
  • Monitoramento de inatividade
  • Proteção contra ataques de força bruta
  • Autenticação em dois fatores
  • Aplicativo móvel com alertas e acesso aos backups, resultados de verificação e registro de atividades

Vamos analisar algumas dessas funcionalidades em mais detalhes.

Proteção contra ataques de força bruta

O ataque de força bruta ocorre quando hackers usam bots para tentar adivinhar combinações de nome de usuário e senha até encontrar a correspondência certa. Como usam grandes redes de computadores, conseguem tentar milhares de senhas por segundo.

A funcionalidade Proteção contra ataques de força bruta do Jetpack bloqueia tentativas de login indesejadas de IPs mal-intencionados antes que alcancem seu site.

Notificação do Jetpack de site fora do ar

Monitoramento de inatividade

O monitoramento de inatividade do Jetpack acessa seu site de diferentes locais ao redor do mundo e envia um alerta instantâneo se ele sair do ar. Por que isso é útil? Não dá para solucionar um problema que você não conhece! Se o seu site ficar fora do ar por um longo período, você poderá perder tráfego, vendas e até mesmo posições no mecanismo de busca. Com o monitoramento de inatividade, você saberá sobre os problemas na hora, podendo resolvê-os o mais rápido possível.

Autenticação em dois fatores

A autenticação em dois fatores adiciona uma camada de proteção à sua página de login, exigindo mais do que o nome de usuário e senha. Ao fazer login no seu site, o Jetpack enviará um código ao seu celular, que deverá ser inserido. Assim, para que um hacker entre, ele precisaria saber seu nome de usuário e senha e estar com seu dispositivo móvel, uma circunstância improvável.

Registro de atividades do Jetpack mostrando tudo que ocorreu no site, incluindo backups disponíveis

Backups automatizados  

Se o seu site for interrompido por algum motivo, o backup total será inestimável. Imagine perder todo o seu trabalho, o dinheiro investido e os dados dos clientes ou visitantes. Os backups do WordPress oferecem tranquilidade.

No entanto, nem todas as soluções de backup são criadas da mesma maneira. Os backups do Jetpack são:

  • Automatizados, para que você não precise criar backups manualmente;
  • Seguros, para que os backups estejam sempre protegidos e disponíveis;
  • Fáceis de configurar, o que é especialmente útil caso você não entenda muito de programação ou gerenciamento de servidores;
  • Rápidos de restaurar, para colocar seu site de volta no ar o mais rápido possível;
  • Disponíveis em dois formatos: diário e em tempo real.

Os backups diários são realizados automaticamente uma vez por dia, sendo uma solução excelente para restaurantes, blogs e outros sites que não são atualizados mais de uma vez a cada 24 horas.

Os backups em tempo real são realizados automaticamente enquanto você trabalha. Assim, você tem um registro atualizado do seu site a cada minuto. As mudanças são salvas conforme são feitas. São ideais para lojas online, sites de associação, fóruns e outros sites que são atualizados com frequência. 

Independentemente da opção escolhida, você tem a certeza de que o backup do seu site está feito e pode ser restaurado com alguns cliques caso precise.

Jetpack Scan em execução em um site

Verificação automatizada de malware

Se um hacker obtiver acesso ao seu site, poderá implantar um “backdoor”, um tipo de malware que permite acessar o site a qualquer momento para roubar dados ou inserir malware ou vírus sem o seu conhecimento. O malware prejudica a sua reputação e coloca em risco as suas informações e os dados dos clientes.

É aí que entra o Jetpack Scan. Ele executa automaticamente verificações de malware diárias do código do seu site em busca de ações suspeitas. Assim que uma ameaça for detectada, você receberá uma notificação por e-mail com detalhes dos arquivos infectados.

E o melhor: o Jetpack corrige automaticamente a maioria das ameaças conhecidas. Ou seja, além de ficar sabendo dos problemas na hora, você provavelmente não precisará fazer nada para corrigi-lo.

Filtro automático de spam

Muitas vezes, o spam vem em forma de comentários contendo links para sites não confiáveis. Com o software certo, é possível deixar milhões de comentários de spam, que rapidamente saem do controle.

O Jetpack Anti-spam filtra automaticamente os comentários, pingbacks e envios de formulário de contato de spans conhecidos, economizando horas do seu tempo. Para que comentários reais não sejam marcados como spam, é possível revisar e recuperar os comentários. Você também pode configurar o Jetpack para excluir os piores comentários sem que precise analisá-los. 

Painel do aplicativo móvel do Jetpack em vários dispositivos

Aplicativo móvel do Jetpack

A ação dos hackers não para enquanto você está longe do computador. Com o aplicativo móvel do Jetpack, é possível monitorar as atividades do site, restaurar um backup e visualizar os resultados da verificação de malware de onde você estiver. 

Além disso, você receberá alertas instantâneos se o site sair do ar ou se um malware for encontrado, oferecendo tranquilidade total a você. Algo está errado? É possível resolver a maioria das ameaças conhecidas com um clique no próprio aplicativo.

Facilidade de uso:

O Jetpack foi criado para que todos os proprietários de sites consigam usá-lo, independentemente do nível individual de habilidades técnicas. Todas as funcionalidades são ativadas com apenas alguns cliques, sem exigir conhecimento de programação ou um desenvolvedor.

Suporte e documentação:

O Jetpack é desenvolvido e mantido por especialistas do WordPress que se importam de verdade com você, com seu site e com sua empresa. O plano gratuito inclui um excelente suporte por e-mail, e os planos pagos oferecem atendimento prioritário mais rápido para que você tenha a ajuda de que precisa no momento certo.

Há também uma ampla documentação sobre as etapas de configuração e solução de problemas

Opções de preços e planos:

  • O Jetpack gratuito inclui o monitoramento de inatividade, proteção contra ataque de força bruta e o registro de atividades com os 20 eventos mais recentes sem custo.
  • O Jetpack Security diário inclui todas as funcionalidades, além de backups diários, verificações de segurança diárias e um registro de atividades de 30 dias a partir de US$ 11,97 ao mês.
  • O Jetpack Security em tempo real inclui todas as funcionalidades, além de backups em tempo real, verificações de segurança em tempo real e um registro de atividades de um ano a partir de US$ 33,57 ao mês.
  • Também é possível adquirir as funcionalidades separadamente, como o Jetpack Backup, Jetpack Scan e Jetpack Anti-spam, a partir de US$ 4,77 ao mês.

Ideal para: 

Blogs, lojas de comércio eletrônico e sites de todos os tamanhos. O Jetpack Security é o melhor e mais completo plugin de segurança do WordPress para praticamente qualquer cenário. 

Plugin Wordfence listado no diretório do WordPress

2. Wordfence

O Wordfence é um firewall de aplicativo Web que também oferece funcionalidades adicionais, como verificação de malware. Por ser um firewall de ponto de extremidade, integra-se profundamente ao WordPress, não pode ser ignorado e não permite o vazamento de dados. Isso faz dele muito mais seguro do que as alternativas na nuvem.

Depois de configurar o Wordfence, você receberá notificações por e-mail se ele identificar algo preocupante, como um plugin desatualizado, um trecho de código mal-intencionado ou vírus. 

No entanto, o Wordfence é conhecido por deixar seu site mais lento, pois adiciona várias tabelas de banco de dados pesadas e sobrecarrega o servidor durante as verificações de malware.

Principais funcionalidades do Wordfence:

  • Firewall de aplicativo Web
  • Verificador de segurança
  • Proteção contra senhas vazadas
  • Autenticação em dois fatores
  • Bloqueio manual e bloqueio de país
  • Reparo de arquivo automatizado

Vamos analisar em detalhes algumas funcionalidades.

Funcionalidade de firewall do Wordfence ativada

Firewall de aplicativo Web

O firewall é, sem dúvidas, a funcionalidade mais marcante do Wordfence. Ele aproveita os dados coletados dos mais de quatro milhões de sites que protege para entender os métodos usados pelos hackers, como identificar os ataques e localizar de onde são feitos. Frequentemente, são atualizadas as regras de firewall e a lista de endereços de IP mal-intencionados que são bloqueados para oferecer proteção constante.

Painel de configurações da varredura do Wordfence

Verificador de segurança

O verificador de segurança monitora em seu site a presença de malware, URLs corrompidas, spam, redirecionamentos mal-intencionados e injeções de código. Relata também as mudanças feitas nos principais arquivos do WordPress, as vulnerabilidades de segurança conhecidas e os plugins desatualizados. 

Bloqueio manual e bloqueio de país

Os planos premium oferecem acesso a essas funcionalidades, que basicamente potencializam o firewall. Com o bloqueio manual, é possível bloquear redes mal-intencionadas por completo ou as atividades realizadas por humanos ou robôs que você quiser. Já o bloqueio de país permite bloquear todo o tráfego de um país específico, um recurso especialmente útil durante um ataque. Observe que, devido ao SEO, não é recomendado usar o bloqueio de país em longo prazo.

Reparo de arquivo automatizado

Se o Wordfence identificar que um arquivo vital do WordPress foi modificado indevidamente, você poderá retorná-lo para o estado original com apenas um clique. Observe que há uma diferença entre remover malware e reparar um site invadido, que tem o preço adicional de US$ 490 no Wordfence.

Facilidade de uso:

É possível usar o Wordfence sem ter conhecimento técnico, mas o painel de configurações pode ser confuso e complicado. Todas as funcionalidades são listadas ao mesmo tempo, e pode ser difícil entender o que seu site precisa. Por padrão, o Wordfence também envia vários alertas por e-mail, e muitos deles não exigem uma ação do proprietário do site. Assim, iniciantes podem ter dificuldade de entender o que precisam fazer em relação a cada mensagem.

Suporte e documentação:

O Wordfence oferece suporte gratuito nos fóruns do WordPress e suporte premium em um sistema online de emissão de tíquetes. Também há um banco de dados de documentações que fornece detalhes sobre a configuração e solução de problemas do plugin.

Opções de preços e planos:

  • O Wordfence Free inclui o firewall de aplicativo Web básico, verificador de malware e proteção contra ataques de força bruta sem custos.
  • Já o Wordfence Premium adiciona funcionalidades como atualizações de firewall em tempo real, verificações da lista de bloqueios de IP e bloqueio de país por US$ 99 ao ano.

Ideal para: 

Sites pequenos que buscam especificamente um firewall e não precisam proteger dados importantes, como detalhes de cartões de crédito. Apesar de não oferecer outras funcionalidades, o Wordfence é o plugin de segurança do WordPress mais completo desta lista. Seu diferencial é o firewall de aplicativo Web.

Página do plugin iThemes Security no diretório do WordPress

3. iThemes Security

O iThemes Security é um plugin freemium que prioriza a defesa do seu site, adicionando camadas de proteção, em vez de identificar e resolver invasões. Para isso, aplica medidas de segurança, como configurar as permissões de arquivo corretas, impôr senhas fortes e alterar URLs de login. 

Principais funcionalidades do iThemes Security:

  • Proteção contra ataques força bruta
  • Detecção de 404 e alteração de arquivo
  • Backups de banco de dados
  • Ocultação da página de login e administração
  • Proteção com senha forte
  • Autenticação em dois fatores

Confira mais detalhes sobre algumas funcionalidades:

Proteção contra ataques força bruta

Bloqueia as pessoas que tentam entrar várias vezes com falha. Impede que bots tentem adivinhar a combinação de senha e nome de usuário milhares de vezes em um curto período.

Backups de banco de dados

Gera automaticamente backups do seu banco de dados, que são enviados ao seu e-mail. Observe que o backup inclui somente o banco de dados, e não seus arquivos, mídias, plugins ou temas.

Ocultar página de login

Por padrão, a página de login e o painel de administração de todos os sites do WordPress contêm o URL /wp-admin. Com isso, é muito fácil para os hackers encontrarem essa página, já que segue um modelo. O iThemes Security permite alterar o URL sem precisar de um código personalizado, adicionando mais uma camada de proteção.

Painel de configurações do iThemes Security

Facilidade de uso:

Assim como o Wordfence, o painel de configurações do iThemes pode ser complicado para iniciantes e usuários sem conhecimento técnico. Diversas configurações específicas podem ser ativadas ou desativadas, e é difícil encontrar as definições adequadas para seu site.

Suporte e documentação:

O suporte da versão gratuita do iThemes Security é oferecido nos fóruns do WordPress.org. A versão premium inclui um sistema de emissão de tíquetes de suporte. Há também uma documentação detalhada disponível.

Opções de preços e planos:

  • O iThemes Security gratuito inclui medidas de proteção, backups do banco de dados, proteção contra ataques de força bruta e proteção contra alteração de arquivo, entre outras funcionalidades, sem custos.
  • A versão premium, iThemes Blogger, adiciona verificações de malware programadas, autenticação em dois fatores e reCAPTCHA (entre outras funcionalidades) por US$ 80 ao ano por site. 

Ideal para: 

Proteção de login e do site. Embora contenha outras funcionalidades, é mais fácil para os usuários gerenciá-las em outros plugins de segurança do WordPress.

Plugin Sucuri Security mostrado no diretório do WordPress

4. Sucuri

Sucuri é uma solução de segurança do WordPress baseada em nuvem, ou seja, é totalmente executada em servidores próprios, evitando atrasos no seu. Como não foi desenvolvido especialmente para o WordPress, é compatível com qualquer plataforma ou sistema de gerenciamento de conteúdo. Além de oferecer firewall de aplicativo Web e ferramentas de verificação de malware, os serviços de limpeza são o principal destaque. 

Opções de proteção do Sucuri no painel do WordPress

Observe que o Sucuri diferencia claramente as funcionalidades gratuitas das premium. O plugin gratuito oferece verificação de malware e proteção do WordPress, enquanto a versão premium inclui o firewall de aplicativo Web e serviços de limpeza pós-invasão.

Principais funcionalidades do Sucuri:

  • Verificação de malware
  • Monitoramento de status da lista de bloqueios
  • Firewall de aplicativo Web
  • Mitigação de ataques de negação de serviço distribuído (DDoS)
  • Prevenção contra ataques de força bruta
  • Serviços de limpeza do site

Vamos analisar algumas funcionalidades em detalhes.

Monitoramento de status da lista de bloqueios

O Sucuri confere se seu URL está na lista de bloqueios de diversos serviços. Como os sites na lista de bloqueios perdem uma fração considerável de tráfego, isso pode ser uma grande vantagem.

Mitigação de ataques de negação de serviço distribuído (DDoS)

Os ataques de DDoS são tentativas mal-intencionadas de interromper o tráfego de um servidor sobrecarregando-o com um fluxo de tráfego falso. Em suma, isso impede que visitantes comuns e clientes reais acessem seu site. A funcionalidade de mitigação de DDoS do Sucuri bloqueia esses ataques.

Serviços de limpeza do site

A equipe de especialistas do Sucuri está à disposição para reparar e recuperar seu site após uma invasão. O plugin remove o código mal-intencionado dos seus arquivos e banco de dados, envia solicitações de remoção da lista de bloqueios e repara o spam de SEO (como injeções de link).

Facilidade de uso:

A configuração da versão premium do Sucuri pode ser um pouco complexa para quem não é desenvolvedor, porque é preciso alterar as configurações de DNS do domínio para usar os servidores do Sucuri. A configuração do plugin gratuito do WordPress é muito mais simples para quem não é desenvolvedor.

Suporte e documentação:

O suporte da versão gratuita é oferecido nos fóruns do WordPress, e a versão premium usa um sistema de emissão de tíquetes. Também há uma ampla base de conhecimento disponível respondendo a perguntas comuns.

Opções de preços e planos:

  • O Sucuri Free inclui verificação de malware, monitoramento da lista de bloqueios e proteção do WordPress sem custos.
  • No Sucuri Basic, o firewall de aplicativo Web e serviços de limpeza estão disponíveis por US$ 199 ao ano. No entanto, não há garantia para o tempo de resposta da limpeza e as verificações de malware são executadas a cada 12 horas.
  • O Sucuri Pro custa US$ 299,99 ao ano e inclui tudo que faz parte do plano Basic, aumentando a frequência das verificações de malware para seis horas.
  • No Sucuri Business, as verificações de malware são realizadas a cada 30 minutos e há garantia de tempo de resposta a invasões de seis horas. Esses benefícios estão disponíveis pela tarifa anual de US$ 499,99.

Ideal para: 

Proteção e limpeza de um site após uma violação. Como a versão gratuita do plugin não inclui funcionalidades essenciais como firewall, é recomendado optar pela versão premium ou escolher outro plugin.

All in One WP Security & Firewall listado no diretório do WordPress

5. All in One WP Security and Firewall

O plugin All in One WP Security and Firewall é uma solução do WordPress 100% gratuita e completa, como indica o nome. As funcionalidades são divididas em categorias com base no nível de segurança (e a probabilidade de que quebrem seu site), com opções para todos os níveis de habilidade. 

No entanto, todas as funcionalidades têm como objetivo proteger seu site contra invasões, e não verificar malware ou limpar um site invadido.

Principais funcionalidades do All in One WP Security and Firewall:

  • Proteção da conta de usuário
  • Segurança da página de login
  • Backups de banco de dados
  • Segurança do sistema de arquivos
  • Funcionalidade de lista de bloqueios
  • Firewall
  • Verificador de segurança
  • Proteção contra ataques de força bruta

Confira mais informações sobre algumas funcionalidades:

Segurança da página de login

O plugin bloqueia os usuários após determinado número de tentativas de login, força o logout após o período de tempo definido, adiciona reCAPTCHA à página de login e registra cada atividade de login e logout. Isso ajuda a proteger seu site contra hackers e bots.

Segurança do sistema de arquivos

O All in One WP Security and Firewall verifica se há problemas de permissão em seus arquivos e pastas e permite corrigi-los com um clique. Ele evita que hackers e bots visualizem arquivos facilmente comprometidos (como readme.html e license.txt) e desativa a edição de arquivos.

Verificador de segurança

O verificador de segurança monitora as alterações nos arquivos comparando-os aos principais arquivos padrão do WordPress. Observe que não há verificação de malware e que os problemas não são corrigidos para você.

Facilidade de uso:

Como as funcionalidades são divididas por nível de segurança, separando as que podem quebrar seu site das opções seguras, é um plugin fácil para iniciantes. Também há um medidor de intensidade da segurança que oferece uma visão geral da situação atual em um dado momento.

Suporte e documentação:

O suporte está disponível somente nos fóruns do WordPress.org e a documentação é restrita a algumas funcionalidades.

Opções de preços e planos:

Este plugin tem somente uma versão gratuita que inclui todas as funcionalidades.

Ideal para: 

Iniciantes e sites básicos. É fácil começar relativamente rápido sem quebrar seu site. Por outro lado, como o plugin não tem uma versão premium, faltam algumas funcionalidades valiosas, como verificação e remoção de malware. Pode ser uma boa solução para blogs por hobby que não queiram investir muito na segurança do site.

Página inicial do Defender Pro do WPMU DEV

6. Defender Pro

O Defender Pro foi criado pelo WPMU DEV, uma empresa de desenvolvimento do WordPress que cria soluções de todo tipo, de segurança à complementos, testes e análises. Ele pode ser comprado separadamente ou como parte de um pacote de ferramentas de site.

Principais funcionalidades do Defender Pro:

  • Verificação de segurança
  • Proteção de login
  • Autenticação em dois fatores
  • Monitoramento da lista de bloqueios
  • Recuperação e reparo de arquivo alterado

Facilidade de uso:

O Defender Pro inclui um assistente de instalação fácil de usar, ideal para iniciantes.

Suporte e documentação:

O WPMU DEV oferece suporte por chat ao vivo, além de fóruns, e-mails e uma documentação detalhada.

Opções de preços e planos:

  • O Defender Pro Only inclui as funcionalidades listadas acima por US$ 60 ao ano.
  • Já a versão Security and Backups Pack adiciona outros produtos, como ferramentas de backup e migração, por US$ 90/ano.
  • A assinatura WPMU DEV oferece o pacote completo de ferramentas, incluindo complementos, análises e outras, por US$ 190 ao ano.

Ideal para: 

Sites que desejam adquirir o pacote completo de ferramentas, e não apenas as de segurança. O Defender Pro é uma boa opção de segurança, mas não tem funcionalidades importantes, como firewall e prevenção antispam. No entanto, combinado ao pacote completo de ferramentas do WPMU DEV, oferece boas vantagens. 

Página do BulletProof Security no diretório do WordPress

7. BulletProof Security

O BulletProof Security é um plugin freemium do WordPress voltado especialmente para desenvolvedores. É completo e permite diversos ajustes no back-end, mas é difícil de ser usado por iniciantes.

Principais funcionalidades do BulletProof Security:

  • Verificador de malware
  • Pastas de plugin ocultas
  • Segurança e monitoramento de login
  • Logout de sessão expirada
  • Expiração do cookie de autorização
  • Registros de segurança
  • Diversas outras funcionalidades de segurança avançadas

Facilidade de uso:

Mais uma vez, este plugin não foi desenvolvido para iniciantes. Apesar de oferecer um assistente de instalação, é complicado alterar ou aprimorar as configurações, podendo até mesmo quebrar seu site. 

Suporte e documentação:

O suporte do plugin gratuito é fornecido nos fóruns do WordPress.org. Já o suporte premium é oferecido em um fórum especial. Há uma documentação reduzida e tutoriais em vídeo disponíveis.  

Opções de preços e planos:

  • O BulletProof Security gratuito oferece muitas das funcionalidades listadas acima sem custo adicional.
  • O BulletProof Security Pro inclui instalações ilimitadas e funcionalidades avançadas, como backup e monitoramento de banco de dados, firewall do plugin e restauração automática dos arquivos do site, por US$ 69,95.

Ideal para: 

Desenvolvedores e usuários avançados que desejam personalizar todos os aspectos da segurança do site.

Página do Security Ninja no diretório do WordPress

8. Security Ninja

O Security Ninja é uma solução de segurança relativamente completa, mas é reconhecido por oferecer mais de 50 verificações de segurança integradas. Os testes analisam desde os temas e plugins atualizados às versões do WordPress, acessibilidade dos arquivos e prefixos da tabela de banco de dados. 

Principais funcionalidades do Security Ninja:

  • Firewall de aplicativo Web
  • Verificação de malware
  • Proteção do formulário de login
  • Verificações de vulnerabilidade do plugin
  • Registro de eventos

Facilidade de uso:

Este plugin é relativamente fácil de usar, mas exige sua participação. Os problemas encontrados não são corrigidos automaticamente. Em vez disso, você é totalmente responsável pelo seu site e pelas correções de segurança. Isso pode ser útil para quem sabe o que está fazendo, mas apresenta dificuldades para iniciantes. Observe que a versão Pro corrige cerca de 30 problemas automaticamente, caso escolha essa opção.

Suporte e documentação:

O suporte da versão gratuita é fornecido nos fóruns do WordPress.org, e a versão Pro inclui um sistema de emissão de tíquetes de suporte. Há uma documentação detalhada disponível.

Opções de preços e planos:

  • O Security Ninja gratuito inclui sem custos mais de 50 verificações de segurança, conforme mencionado acima.
  • Já o Security Ninja Starter adiciona o firewall, verificador de malware, reparador automático e muito mais por US$ 49 ao ano por site. Se quiser incluir mais de um site, adquira o plano Plus (três sites) por US$ 129 ao ano ou o plano Pro (cinco sites) por US$ 199 ao ano. Os planos também oferecem a opção de adquirir uma licença vitalícia a um preço premium. 

Ideal para: 

Sites que desejam entender a situação atual com precisão, bem como pessoas que tenham conhecimento intermediário sobre o WordPress e segurança.

9. SecuPress

O SecuPress combina várias funcionalidades de segurança em um só plugin sem sobrecarregar seu site. As versões gratuita e premium são fáceis de usar por pessoas de todos os níveis de habilidade. Uma das melhores funcionalidades é o Security Report, que informa a situação do seu site e sugere recomendações de melhorias.

Principais funcionalidades do SecuPress:

  • Verificador de integridade do site
  • Limite de tentativas de login
  • Funcionalidades de proteção do WordPress
  • Autenticação em dois fatores
  • Verificação de malware
  • Backup de arquivos e banco de dados

Facilidade de uso:

O SecuPress tem uma interface com navegação simples, ideal para proprietários de sites de todos os níveis. Ele divide as funcionalidades com base na finalidade e explica o que cada uma faz no site.

Suporte e documentação:

O suporte da versão gratuita é oferecido nos fóruns do WordPress, e a versão premium inclui um sistema de emissão de tíquetes. 

Opções de preços e planos:

  • O SecuPress Free inclui o verificador de integridade, várias funcionalidades de proteção e limite de tentativas de login, entre outros, sem custo.
  • Já a versão SecuPress Pro adiciona a autenticação em dois fatores, verificação de malware e backups, entre outras funcionalidades avançadas, por US$ 69,99 ao ano.

Ideal para: 

Pequenas empresas, especialmente as que podem investir um pouco em um plugin de segurança do WordPress. É recomendado adquirir a versão premium, já que a versão gratuita não inclui as funcionalidades mais valiosas, como verificação de malware.

Página do Astra Security no diretório do WordPress

10. Astra Security

O Astra Security é uma ferramenta de segurança premium que se descreve como um “pacote de segurança tudo-em-um para proteção completa, exceto o incômodo”. Observe que, além de proteger o WordPress, o plugin é compatível com todo tipo de site. Como não é especializado no WordPress, algumas funcionalidades valiosas da plataforma podem não ser aproveitadas.

Principais funcionalidades do Astra Security:

  • Firewall do site
  • Verificação de limpeza de malware
  • Monitoramento da lista de bloqueios
  • Proteção contra bots mal-intencionados
  • Bloqueio de IP e de país

Facilidade de uso:

O Astra Security é fácil de instalar e relativamente simples de configurar. A equipe de suporte premium também está à disposição para ajudar.

Suporte e documentação:

O nível de suporte recebido depende do plano adquirido. O suporte por chat ao vivo está disponível 24h todos os dias, além da documentação e base de conhecimento para começar.

Opções de preços e planos:

  • O plano Pro inclui um firewall, limpeza de malware a cada 12 horas, verificador de malware, proteção contra bots mal-intencionados e suporte bronze, entre outras funcionalidades, por US$ 228 ao ano.
  • O plano Advanced adiciona mais de 300 testes de segurança, limpeza de malware em oito horas, prevenção antispam e suporte prateado, entre outras funcionalidades, por US$ 468 ao ano.
  • O plano Business adiciona limpeza de malware em seis horas, mais de 500 testes de segurança e suporte ouro, entre outras funcionalidades, por US$ 1.428 ao ano. 

Ideal para: 

Empresas maiores, especialmente as que têm diversos sites em diferentes plataformas. Como é uma opção mais cara e não foi criada especialmente para o WordPress, provavelmente não é a melhor escolha para a maioria das empresas e blogs do WordPress. 

Página do WPScan no diretório do WordPress

11. WPScan

O WPScan é um plugin freemium de funcionalidade única cuja finalidade específica é testar a segurança do seu site. É o único plugin do tipo nesta lista, e foi incluído porque é excelente e oferece algo que a maioria dos outros plugins não possui. A varredura é feita consultando um amplo banco de dados de vulnerabilidades.

Principais funcionalidades do WPScan:

  • Verifica mais de 21 mil vulnerabilidades de segurança conhecidas no WordPress, plugins e temas
  • Verifica os arquivos debug.log, os arquivos de backup wp-config.php e arquivos de banco de dados exportados que podem representar riscos à segurança
  • Busca senhas fracas
  • Verifica se o XML-RPC e as senhas secretas padrão estão ativadas ou foram usadas

Facilidade de uso:

É muito fácil instalar o plugin. Basta registrar uma chave de API no site, adicioná-la ao plugin instalado e escolher configurações básicas.

Suporte e documentação:

O suporte é fornecido nos fóruns do WordPress e há instruções básicas disponíveis.

Opções de preços e planos:

O preço é baseado no número de solicitações de API necessárias por dia. O WPScan faz uma solicitação de API por site do WordPress, tema instalado e plugin usado. Por exemplo, se você tiver dez plugins e um tema instalados, usará 12 solicitações de API por dia.

  • O plano gratuito inclui 25 solicitações de API. É o suficiente para a grande maioria dos sites.
  • O plano Starter inclui 75 solicitações de API por € 5 ao mês.
  • O plano Professional inclui 300 solicitações de API por € 25 ao mês.

Ideal para: 

Sites que desejam monitorar vulnerabilidades de segurança e não usam um plugin de segurança que contenha esta funcionalidade. No entanto, observe que este não é um pacote de segurança completo e deve ser usado junto a outras medidas.

Página do plugin Shield Security no diretório do WordPress

12. Shield Security

O Shield Security tem uma estratégia simples: começa com a prevenção e também fornece correção se o site for invadido. E, como os bots são responsáveis pela maioria dos problemas de segurança, o Shield Security é dedicado especificamente a impedi-los de chegar ao seu site. Oferece também funcionalidades que protegem plugins comuns do WordPress, como Yoast, Gravity Forms, Advanced Custom Fields, Contact Form 7 e Elementor.

Principais funcionalidades do Shield Security:

  • Mecanismo de detecção anti-bot
  • Verificador de malware de vulnerabilidades
  • Detecção de spam
  • Autenticação em dois fatores
  • Firewall de aplicativo Web

Facilidade de uso:

É relativamente intuitivo para começar, mas oferece informações e configurações que podem ser confusas para iniciantes.

Suporte e documentação:

O suporte gratuito é fornecido nos fóruns do WordPress.org. Já o suporte premium é oferecido em um sistema de emissão de tíquetes. Há uma documentação detalhada disponível, bem como cursos online.

Opções de preços e planos:

  • O ShieldFREE inclui detecção de bots, autenticação em dois fatores e um firewall, entre outras funcionalidades, sem custos.
  • A versão ShieldPRO adiciona um verificador de malware, verificador de vulnerabilidades e prevenção contra spam, entre outras funcionalidades, por US$ 79 ao ano.

Ideal para: 

Proprietários de sites com conhecimento moderado de segurança e que podem investir uma certa quantia em um plugin premium. Como a versão gratuita não inclui verificador de malware, é recomendado adquirir a versão Pro.

Conclusão: qual é o melhor plugin de segurança do WordPress? 

O WordPress é bastante seguro, mas é sempre bom adicionar mais proteção ao seu trabalho e informações dos visitantes. Sites de qualquer tamanho podem ser direcionados, mas a importância da segurança extra aumenta de modo proporcional à popularidade e volume de conteúdo de um site. 

A maneira mais simples de aumentar a segurança é usar um plugin confiável. Por outro lado, escolher o melhor plugin de segurança do WordPress para o seu site pode ser complicado, porque há muitas opções diferentes! Os proprietários de sites devem considerar as funcionalidades de prevenção e limpeza disponíveis, bem como os custos e o conhecimento técnico necessário. 

Desenvolvido por uma equipe de especialistas do WordPress, o Jetpack é a principal escolha para a segurança do site do WordPress. Ele oferece funcionalidades de prevenção e resolução eficientes com custos razoáveis, configuração simples e suporte superior. 

Se você procura apenas uma ferramenta de verificação de segurança e não faz questão das outras funcionalidades, o WPScan é uma ótima pedida. Além de ser totalmente gratuito, é excelente na identificação de vulnerabilidades de segurança, ajudando a proteger e bloquear seu site do WordPress.

Ou, se você for desenvolvedor e buscar uma opção avançada e personalizável, considere o BulletProof Security. Ele permite ajustar praticamente todos os detalhes do back-end para fornecer funcionalidades de segurança exclusivas e abrangentes para todos os sites de clientes.

Perguntas frequentes sobre a segurança do WordPress

Os plugins do WordPress podem conter vírus?

Sim, os plugins do WordPress que não são seguros podem conter vírus. Como o WordPress é de código aberto, qualquer pessoa pode modificar e usar o código para criar novos plugins. Isso é incrivelmente vantajoso porque significa que há uma solução para quase toda necessidade, mas também permite que desenvolvedores mal-intencionados tirem proveito do sistema.

Mas basta uma breve diligência prévia ao escolher plugins. Sempre instale plugins de fontes confiáveis (como o diretório do WordPress.org) e leia as avaliações para conhecer os problemas existentes. E, mais importante, nunca instale versões gratuitas (conhecidas como “nulled”) de plugins premium. Muitas vezes, elas são repletas de malware e vulnerabilidades. 

O WordPress pode ser invadido?

Sim, o WordPress, bem como qualquer outro sistema de gerenciamento de conteúdo, pode ser invadido. Na verdade, a maioria das invasões ocorre por métodos que podem ser evitados por completo. Adotando algumas práticas recomendadas, como escolher um host de alta qualidade, definir senhas seguras, atualizar o software e instalar um plugin de segurança do WordPress, seu site não terá motivos para estar mais vulnerável do que os outros. 

Quais tipos de site têm maior probabilidade de serem invadidos?

Pode parecer que os hackers direcionam apenas sites grandes com muito tráfego, mas não é bem assim. Os blogs e pequenas empresas são igualmente propensos a receber ataques, embora por vezes tenham menos medidas de segurança em vigor.

A maioria dos hackers não direciona sites específicos. Na verdade, bots automatizados são usados para pesquisar oportunidades simples na web. E os bots automatizados não são criteriosos.

Meu site precisa de um firewall?

Todo site deveria ter um bom firewall, pois ele atua como um escudo entre seu site e o tráfego recebido. Além de incluir um firewall no plano de hospedagem escolhido, pois protege seu site no nível do servidor, você deve instalar um firewall de aplicativo Web para proteger seu site contra ataques específicos a sistemas de gerenciamento de conteúdo.

O firewall é como um guarda parado na porta do seu site. Ele monitora cada visitante e bot que passa, identifica elementos suspeitos (como endereços de IP não seguros, botnets e tráfego para páginas ocultas) e os bloqueia antes que possam atacar. A maneira mais simples e eficaz de adicionar um firewall ao seu site do WordPress é instalar um plugin.

O WordPress é seguro para sites de comércio eletrônico?

Em relação à segurança do WooCommerce, é importante ter cuidado. Afinal, você é responsável por proteger os dados dos clientes, bem como arquivos e banco de dados do site. Por outro lado, o WordPress é uma escolha excelente para uma loja online, além de segura.

Por ser o sistema de gerenciamento de conteúdo mais conhecido, pode ser alvo dos hackers. Por outro lado, o WordPress conta com diversas medidas de segurança integradas para manter seu site seguro. E, com algumas práticas recomendadas em uso, como senhas fortes, um host confiável e um excelente plugin de segurança do WordPress, seu site estará pronto para o sucesso. 

Como faço para verificar a segurança do WordPress?

O ideal é começar com uma ferramenta de verificação de malware. Ela verifica seu site em busca de códigos suspeitos e alerta você ao identificar algo. Algumas até mesmo corrigem os problemas encontrados automaticamente.

Confira mais algumas maneiras de verificar a segurança do WordPress:

  • Verifique se o certificado SSL está ativo. O certificado SSL protege os dados transmitidos no seu site, como informações de contato e de pagamento. Para conferir se ele está ativo, observe o ícone de cadeado ao lado da sua URL no navegador.
  • Monitore a inatividade. Seu site sair do ar pode indicar uma invasão. Instale uma ferramenta automatizada que alerte caso o site fique inacessível para solucionar problemas imediatamente.
  • Certifique-se de não ter um aviso de segurança no navegador. Quando seu site é invadido, navegadores como Google Chrome e Safari exibem um aviso de segurança enquanto você digita seu URL. Visite seu site usando uma janela anônima ou privada para ter resultados mais precisos.
  • Verifique as notificações no Google Search Console. Se você tiver uma conta do Google Search Console, poderá acessar rapidamente o relatório de problemas de segurança, que informa se seu site foi invadido ou se aplica práticas não seguras.
  • Siga as práticas recomendadas de segurança. A melhor maneira de garantir que seu site do WordPress seja seguro é implementando medidas de segurança eficazes. Tome as medidas adequadas para proteger seu site (com um guia de uma fonte segura, como o Jetpack) e tenha a confiança de não estar suscetível aos hackers. 
Esta entrada foi publicada em Segurança. Adicione o link permanente aos seus favoritos.

Rob Pugh profile
Rob Pugh

Rob is the Marketing Lead for Jetpack. He has worked in marketing and product development for more than 15 years, primarily at Jetpack, Mailchimp, and UPS. Since receiving a Master of Science in Marketing Degree from Johns Hopkins University, he’s focused on delivering products that delight people and solve real problems.

Descubra as vantagens do Jetpack

Saiba como o Jetpack pode ajudar você a proteger, acelerar e desenvolver seu site do WordPress.

Compare planos

Dúvidas?

Os comentários estão desabilitados para este artigo, mas vamos ajudar você! Acesse o fórum de suporte. Teremos o prazer de tirar suas dúvidas.

Visualizar fórum de suporte
  • Digite seu endereço de email para acompanhar esse blog e receber notificações de novos posts por email.

    Junte-se a 230 outros seguidores
  • Ver por Tópico

  • Arquivos

  • %d blogueiros gostam disto: