O Cenário Real: Por Que Sites São Invadidos

A maioria das invasões de sites não é obra de hackers sofisticados mirando especificamente seu negócio. São ataques automatizados — bots que varrem a internet procurando sites com vulnerabilidades conhecidas: plugins desatualizados, senhas fracas, versões antigas de WordPress, configurações expostas.

Para um negócio em Goiânia, um site invadido pode significar:

  • Redirecionamento de visitantes para sites fraudulentos ou de spam
  • Injeção de código malicioso que infecta computadores de clientes
  • Exposição de dados de formulários (nome, e-mail, telefone dos seus leads)
  • Inclusão na blacklist do Google — site marcado como "perigoso" nos resultados
  • Queda imediata de ranqueamento enquanto o site está comprometido
  • Envio de spam em massa usando seu servidor/domínio

E o pior: muitos proprietários ficam sabendo que foram invadidos apenas quando clientes reclamam ou quando o Google derruba o site dos resultados.

LGPD e responsabilidade: Com a Lei Geral de Proteção de Dados em vigor, uma invasão que expõe dados pessoais de clientes pode resultar em multas de até 2% do faturamento da empresa (limite de R$ 50 milhões por infração). Segurança não é opcional para quem coleta dados em formulários.

As 7 Proteções Básicas que Todo Site Precisa

Essas medidas não eliminam 100% dos riscos, mas afastam a grande maioria dos ataques automatizados que buscam alvos fáceis:

1. HTTPS com Certificado SSL Válido

O SSL criptografa a comunicação entre o navegador do usuário e seu servidor. Sem ele, dados enviados em formulários (incluindo senhas e informações de contato) trafegam em texto puro na rede.

Mais importante: o Google marca sites sem HTTPS como "Não Seguro" na barra de endereços do Chrome. Isso afasta visitantes e prejudica o ranqueamento. Certificados Let's Encrypt são gratuitos e suportados por praticamente todos os hostings.

2. WordPress e Plugins Sempre Atualizados

Vulnerabilidades em plugins são a porta de entrada mais comum para invasões. Quando uma falha é descoberta, o desenvolvedor lança um patch — mas a janela entre o anúncio público da vulnerabilidade e a atualização do seu site é o período de maior risco.

Configure atualizações automáticas para versões menores do WordPress (segurança) e mantenha uma rotina de atualização de plugins a cada 1–2 semanas. Antes de qualquer atualização, faça um backup completo.

3. Senhas Fortes e Autenticação em Dois Fatores

Ataques de força bruta tentam milhares de combinações de senha por segundo. Uma senha como "empresa2024" ou "admin123" é comprometida em segundos. Uma senha gerada com 20+ caracteres aleatórios torna o ataque computacionalmente inviável.

Use um gerenciador de senhas (Bitwarden, 1Password) para gerar e armazenar senhas fortes. Ative autenticação em dois fatores (2FA) no painel do WordPress e no cPanel/Painel do hosting. O plugin "Two Factor" ou o Wordfence oferecem 2FA para o WordPress.

4. Backup Automatizado e Offsite

Backup é a sua rede de segurança — tanto contra invasões quanto contra falhas humanas, erros de atualização e problemas de servidor. Um backup que fica apenas no mesmo servidor do site não serve: se o servidor for comprometido, o backup também estará.

Configure backups diários automáticos enviados para um local externo — Google Drive, Amazon S3, ou um serviço especializado como o BlogVault. Teste a restauração do backup periodicamente; um backup que não consegue ser restaurado é inútil.

5. Firewall de Aplicação Web (WAF)

Um WAF filtra requisições maliciosas antes que cheguem ao WordPress — bloqueando tentativas de SQL injection, cross-site scripting (XSS), ataques de força bruta e exploração de vulnerabilidades conhecidas. O Cloudflare (na versão gratuita) e o Wordfence (plugin WordPress) são opções populares.

O Cloudflare tem a vantagem de operar na "borda" da rede, bloqueando o tráfego antes que sequer chegue ao seu servidor, e também funciona como CDN melhorando a performance.

6. Limitar Tentativas de Login

Por padrão, o WordPress permite tentativas ilimitadas de login — o que facilita ataques de força bruta. Plugins como o Limit Login Attempts Reloaded ou o próprio Wordfence bloqueiam IPs após um número configurável de tentativas falhas (geralmente 3–5).

Além disso, trocar a URL de login do padrão /wp-admin para uma URL personalizada é uma medida simples que elimina boa parte do tráfego de bots que atacam o login.

7. Monitoramento Ativo

Você precisa saber que foi invadido antes dos seus clientes. Ferramentas como o Google Search Console alertam quando o Google detecta malware no site. O Wordfence envia e-mails quando detecta mudanças suspeitas em arquivos. Serviços como UptimeRobot monitoram se o site está online e alertam em caso de queda.

Plugin recomendado para WordPress: O Wordfence Security (versão gratuita) cobre WAF, scanner de malware, limite de tentativas de login e alertas por e-mail em um único plugin. Para a maioria dos negócios em Goiânia, é o ponto de partida mais prático para segurança básica.

Hardening do WordPress: Configurações Avançadas

Além das proteções básicas, algumas configurações específicas do WordPress fecham portas que ficam abertas por padrão:

Desabilitar a Enumeração de Usuários

Por padrão, o WordPress expõe os nomes de usuários via a REST API (/?author=1). Atacantes usam isso para descobrir nomes de login válidos antes de tentar força bruta. Adicionar a seguinte regra no .htaccess ou via plugin bloqueia essa exposição.

Proteger o wp-config.php

O arquivo wp-config.php contém as credenciais do banco de dados. Mover esse arquivo para um diretório acima do public_html (o WordPress detecta automaticamente) ou restringir acesso via .htaccess evita que seja acessado diretamente pelo navegador.

Desabilitar a Edição de Arquivos no Painel

O editor de temas e plugins dentro do painel do WordPress é um risco — se a conta de administrador for comprometida, o invasor pode editar diretamente arquivos PHP do site. Adicionar define('DISALLOW_FILE_EDIT', true); no wp-config.php desabilita essa funcionalidade.

Remover o Número de Versão do WordPress

O WordPress inclui a versão em meta tags e em arquivos como readme.html. Expor a versão facilita para atacantes saberem quais vulnerabilidades específicas explorar. Isso pode ser ocultado com algumas linhas no functions.php.

O Que Fazer Se Seu Site For Invadido

Mesmo com todas as proteções, invasões podem acontecer. A resposta rápida é fundamental para minimizar o dano:

Passo 1: Colocar o Site em Modo de Manutenção

Antes de qualquer limpeza, tire o site do ar ou coloque em manutenção para evitar que usuários acessem conteúdo malicioso. Isso também evita que o Google indexe mais páginas comprometidas enquanto você resolve o problema.

Passo 2: Restaurar de Backup Limpo

Se você tem um backup de data anterior à invasão, restaurá-lo é a forma mais rápida e segura de remover o malware. Confirme qual foi a última data de backup "limpa" verificando se o problema já estava presente.

Passo 3: Escanear e Remover Malware

Se não houver backup disponível, use o Wordfence ou o MalCare para escanear todos os arquivos do site. Esses scanners comparam os arquivos do WordPress com versões originais e identificam modificações suspeitas. Arquivos maliciosos podem então ser removidos ou restaurados para versão limpa.

Passo 4: Trocar Todas as Senhas

Após a limpeza, troque obrigatoriamente: senha do painel WordPress de todos os usuários, senha do banco de dados (e atualizar no wp-config.php), senha do hosting/cPanel, chaves de autenticação no wp-config.php (disponíveis em api.wordpress.org/secret-key/1.1/salt/), e senhas de e-mail e FTP.

Passo 5: Solicitar Revisão ao Google

Se o Google marcou seu site como perigoso, após a limpeza você precisa solicitar uma revisão no Google Search Console (seção "Segurança e ações manuais"). O Google reavalia o site e remove o aviso em alguns dias se o malware foi eliminado.

Checklist de Segurança para Sites em Goiânia

  • HTTPS ativo e certificado SSL válido (não expirado)
  • WordPress atualizado para a versão mais recente
  • Todos os plugins e temas atualizados
  • Plugins e temas não utilizados removidos (não apenas desativados)
  • Senhas de admin com 20+ caracteres gerados aleatoriamente
  • Autenticação em dois fatores no painel WordPress
  • Backup diário automático com cópia em local externo
  • WAF ativo (Cloudflare ou Wordfence)
  • Limite de tentativas de login configurado
  • Monitoramento de uptime ativo
  • Google Search Console configurado e alertas por e-mail ativos
  • DISALLOW_FILE_EDIT no wp-config.php
  • wp-config.php fora do public_html ou com acesso restrito
Preciso de certificado SSL pago ou o gratuito (Let's Encrypt) serve?

Para a grande maioria dos sites de empresas, o Let's Encrypt é completamente adequado. Ele oferece a mesma criptografia TLS que certificados pagos. Certificados pagos (EV/OV) oferecem validação organizacional e exibem o nome da empresa na barra de endereços de alguns navegadores, o que pode ser relevante para e-commerces e serviços financeiros. Para sites institucionais e de geração de leads em Goiânia, o Let's Encrypt é suficiente.

O Wordfence gratuito é suficiente ou preciso pagar?

A versão gratuita do Wordfence cobre as necessidades básicas: WAF, scanner de malware, limite de login e alertas. A versão premium oferece principalmente regras de firewall em tempo real (a versão gratuita tem delay de 30 dias) e verificação de IP em blacklists em tempo real. Para pequenas e médias empresas em Goiânia, a versão gratuita é um bom ponto de partida. Se o site tiver e-commerce ou lidar com dados sensíveis, a versão premium vale o investimento.

Trocar de hosting melhora a segurança?

O hosting é uma camada de segurança — um bom hosting oferece isolamento entre contas, firewall de servidor, monitoramento de malware e suporte em caso de invasão. Hostings compartilhados de baixa qualidade colocam centenas de sites no mesmo servidor sem isolamento adequado, o que significa que uma invasão em um site vizinho pode afetar o seu. VPS com configuração correta oferece isolamento completo e mais controle sobre as configurações de segurança.

Como sei se meu site já foi invadido sem eu perceber?

Sinais que podem indicar comprometimento: Google Search Console exibindo alertas de segurança, queda súbita de tráfego no Analytics, presença de páginas desconhecidas indexadas no Google (pesquise site:seudominio.com.br), redirecionamentos inesperados para outros sites, clientes relatando avisos de "site perigoso" no Chrome, e-mails de spam enviados pelo seu domínio. O scanner do Wordfence ou do Sucuri SiteCheck (gratuito) podem identificar malware em alguns minutos.

Não sabe se seu site está seguro?

Fazemos uma auditoria de segurança completa e implementamos as proteções necessárias. Diagnóstico gratuito para empresas em Goiânia.

Solicitar auditoria de segurança
YC
Yuri César

Especialista em desenvolvimento web e segurança para pequenas e médias empresas em Goiânia. Atua com proteção, limpeza e hardening de sites WordPress desde 2019.

Continue lendo

SEO

Auditoria de Site: Checklist Completo para 2026

30+ itens de auditoria técnica, performance e segurança para identificar o que está impedindo seu crescimento.
WordPress

Site Caiu Após Atualizar Plugin: Como Resolver em Minutos

Passo a passo para recuperar um site WordPress que parou de funcionar após atualização de plugin ou tema.
Web

O Que é um Site Profissional em 2026: Requisitos e Benchmarks

Os padrões mínimos de performance, segurança e SEO que todo site de empresa deve atingir em 2026.