Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Copa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

14 dicas vitais para proteger sua área de administração do WordPress (atualizado)

Você está procurando maneiras de proteger sua área de administração do WordPress?

Proteger a área de administração contra acesso não autorizado permite bloquear muitas ameaças comuns à segurança. Isso pode ser útil se você estiver sofrendo muitos ataques em seu site WordPress.

Neste tutorial, mostraremos algumas dicas e hacks essenciais para proteger sua área de administração do WordPress.

Tips and hacks to protect WordPress admin area

Abordaremos várias dicas, e você pode usar os links rápidos abaixo para alternar entre elas:

1. Use um firewall

Um firewall monitora o tráfego do site e impede que solicitações suspeitas cheguem ao seu site.

Embora existam vários plug-ins de firewall para WordPress, como o Wordfence, recomendamos o uso do Sucuri. Ele é um serviço de segurança e monitoramento de sites que oferece um firewall baseado em nuvem para proteger seu site.

Website Application Firewall

Todo o tráfego do seu site passa primeiro pelo proxy em nuvem da Sucuri, que analisa cada solicitação e impede que as suspeitas cheguem ao seu site. Isso evita que seu site seja alvo de possíveis tentativas de invasão, phishing, malware e outras atividades mal-intencionadas.

Outra ótima opção é o Cloudflare, que é o que usamos agora no WPBeginner. Para obter mais detalhes, consulte nosso artigo sobre por que mudamos da Sucuri para a Cloudflare.

2. Proteger o diretório de administração do WordPress com senha

Sua área de administração do WordPress já está protegida por sua senha do WordPress. No entanto, adicionar proteção por senha ao diretório de administração do WordPress acrescenta outra camada de segurança à sua página de login.

Primeiro, é necessário fazer login no painel do cPanel da hospedagem na Web do WordPress e clicar no ícone “Password Protect Directories” (Diretórios protegidos por senha) ou “Directory Privacy” (Privacidade do diretório).

Directory privacy

Em seguida, você precisará selecionar sua pasta wp-admin, que normalmente está localizada dentro do diretório /public_html/.

Na tela seguinte, você precisa marcar a caixa ao lado da opção “Password protect this directory” (Proteger este diretório com senha) e fornecer um nome para o diretório protegido.

Depois disso, clique no botão “Salvar” para definir as permissões.

Password protect directory settings

Em seguida, é necessário clicar no botão voltar e criar um usuário. Será solicitado que você forneça um nome de usuário/senha e, em seguida, clique no botão “Save” (Salvar).

Agora, quando alguém tentar visitar o diretório de administração do WordPress ou wp-admin em seu site, será solicitado a inserir o nome de usuário e a senha.

Enter password

Para obter instruções mais detalhadas, consulte nosso guia sobre como proteger com senha o diretório de administração do WordPress (wp-admin).

3. Use sempre senhas fortes

Always use strong passwords

Sempre use senhas fortes para todas as suas contas on-line, inclusive para o site do WordPress. Recomendamos o uso de uma combinação de letras, números e caracteres especiais em suas senhas. Isso torna mais difícil para os hackers adivinharem sua senha.

Os iniciantes sempre nos perguntam como lembrar todas essas senhas. A resposta mais simples é que você não precisa. Existem alguns aplicativos gerenciadores de senhas realmente excelentes que você pode instalar no seu computador e telefone.

Para obter mais informações sobre esse tópico, consulte nosso guia sobre a melhor maneira de gerenciar senhas para iniciantes no WordPress.

4. Use a verificação em duas etapas na tela de login do WordPress

WordPress login screen with Google Authenticator enabled

A verificação em duas etapas, também conhecida como verificação de dois fatores, autenticação de dois fatores ou 2FA, acrescenta outra camada de segurança às suas senhas. Em vez de usar apenas a senha, ela solicita que você insira um código de verificação gerado pelo aplicativo Google Authenticator no seu telefone.

Mesmo que alguém consiga adivinhar sua senha do WordPress, ele ainda precisará do código do Google Authenticator para entrar.

Para obter instruções detalhadas passo a passo, consulte nosso guia sobre como configurar a verificação em duas etapas no WordPress usando o Google Authenticator.

5. Limitar tentativas de login

Limit login attempts

Por padrão, o WordPress permite que os usuários digitem as senhas quantas vezes quiserem. Isso significa que alguém pode continuar tentando adivinhar sua senha do WordPress inserindo combinações diferentes. Isso também permite que os hackers usem scripts automatizados para decifrar senhas.

Para corrigir isso, você precisa instalar e ativar o plug-in Limit Login Attempts Reloaded. Após a ativação, vá para a página Settings ” Login Lockdown para definir as configurações do plug-in.

Para obter instruções detalhadas, consulte nosso guia sobre por que você deve limitar as tentativas de login no WordPress. Para saber mais sobre o plug-in, você também pode conferir nossa análise detalhada do Limit Login Attempts.

6. Limitar o acesso de login a endereços IP

Outra ótima maneira de proteger o login do WordPress é limitar o acesso a endereços IP específicos. Essa dica é particularmente útil se você ou apenas alguns usuários confiáveis precisarem acessar a área administrativa.

Basta adicionar este código ao seu arquivo .htaccess:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

Não se esqueça de substituir os valores xx por seu próprio endereço IP. Se você usa mais de um endereço IP para acessar a Internet, certifique-se de adicioná-los também.

Para obter instruções detalhadas, consulte nosso guia sobre como limitar o acesso ao administrador do WordPress usando .htaccess.

7. Desativar dicas de login

Disabled login hints

Em uma tentativa de login com falha, o WordPress mostra erros que informam aos usuários se o nome de usuário estava incorreto ou a senha. Essas dicas de login podem ser usadas por alguém para tentativas maliciosas, como ataques de força bruta.

Você pode ocultar facilmente essas dicas de login adicionando o seguinte código ao arquivo functions.php do seu tema ou usando um plug-in de snippets de código como o WPCode (recomendado):

function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

Para obter mais detalhes, consulte nosso guia sobre como adicionar código personalizado no WordPress sem danificar seu site.

8. Exija que os usuários usem senhas fortes

Se você tiver um site WordPress com vários autores, esses usuários poderão editar suas contas de usuário e usar uma senha fraca. Essas senhas podem ser quebradas e dar a alguém acesso à área de administração do WordPress.

Para corrigir isso, você pode instalar e ativar o plug-in SolidWP. Em seguida, siga as etapas do nosso guia completo sobre como forçar senhas fortes nos usuários do WordPress.

9. Redefinir senha para todos os usuários

Está preocupado com a segurança da senha em seu site WordPress multiusuário? Você pode facilmente pedir a todos os seus usuários que redefinam suas senhas.

Primeiro, você precisa instalar e ativar o plug-in Emergency Password Reset. Após a ativação, vá para a página Usuários ” Redefinição de senha de emergência e clique no botão “Redefinir todas as senhas”.

Reset all passwords

Para obter instruções detalhadas, consulte nosso guia sobre como redefinir as senhas de todos os usuários no WordPress

10. Mantenha o WordPress atualizado

O WordPress lança frequentemente novas versões de software. Cada nova versão do núcleo do WordPress contém importantes correções de bugs, novos recursos e correções de segurança.

O uso de uma versão mais antiga do WordPress em seu site o deixa exposto a explorações conhecidas e possíveis vulnerabilidades. Para corrigir isso, você precisa se certificar de que está usando a versão mais recente do WordPress.

Para saber mais sobre esse tópico, consulte nosso guia sobre por que você deve sempre usar a versão mais recente do WordPress.

Da mesma forma, os plug-ins do WordPress também são atualizados com frequência para introduzir novos recursos ou corrigir problemas de segurança e outros. Certifique-se de que seus plug-ins do WordPress também estejam atualizados.

Observação: Você prefere deixar sua manutenção do WordPress para os profissionais? Nossos serviços de manutenção WPBeginner podem cuidar de tudo, desde atualizações até remoção de malware, para que você possa se concentrar apenas na administração do seu site.

11. Criar páginas personalizadas de login e registro

Muitos sites WordPress exigem que os usuários se registrem. Por exemplo, sites de associação, sites de gerenciamento de aprendizado e lojas on-line precisam que os usuários criem uma conta.

No entanto, esses usuários podem usar suas contas para fazer login na área de administração do WordPress. Isso não é um grande problema, pois eles só poderão fazer coisas permitidas por sua função de usuário e seus recursos.

No entanto, isso o impede de limitar adequadamente o acesso às páginas de login e registro, pois você precisa dessas páginas para que os usuários se inscrevam, gerenciem seus perfis e façam login.

A maneira fácil de corrigir isso é criar páginas personalizadas de login e registro para que os usuários possam se inscrever e fazer login diretamente no seu site.

Para obter instruções detalhadas passo a passo, consulte nosso guia sobre como criar páginas personalizadas de login e registro no WordPress.

12. Saiba mais sobre funções e permissões de usuário do WordPress

O WordPress vem com um sistema avançado de gerenciamento de usuários com diferentes funções e recursos de usuário. Ao adicionar um novo usuário ao seu site WordPress, você pode selecionar uma função de usuário para ele. Essa função de usuário define o que ele pode fazer no seu site WordPress.

A atribuição de funções de usuário incorretas pode dar às pessoas mais recursos do que elas precisam. Para evitar isso, você precisa entender quais recursos vêm com as diferentes funções de usuário no WordPress.

Para saber mais sobre esse tópico, consulte nosso guia para iniciantes sobre funções e permissões de usuário do WordPress.

13. Limitar o acesso ao painel do WordPress

Alguns sites do WordPress têm determinados usuários que precisam acessar o painel e outros que não precisam. No entanto, por padrão, todos eles podem acessar a área de administração.

Para corrigir isso, você precisa instalar e ativar o plug-in Remove Dashboard Access. Após a ativação, vá para a página Settings ” Dashboard Access e selecione quais funções de usuário terão acesso à área de administração do seu site.

Para obter instruções mais detalhadas, consulte nosso guia sobre como limitar o acesso ao painel de controle no WordPress.

14. Fazer logout de usuários ociosos

Idle user logout

O WordPress não faz o logout automático dos usuários até que eles façam o logout explicitamente ou fechem a janela do navegador. Isso pode ser uma preocupação para sites WordPress com informações confidenciais. É por isso que os sites e aplicativos de instituições financeiras fazem o logout automático dos usuários se eles não estiverem ativos.

Para corrigir isso, você pode instalar e ativar o plug-in Inactive Logout. Após a ativação, vá para a página Configurações ” Logout inativo e insira o tempo após o qual deseja que os usuários sejam desconectados automaticamente.

Para obter mais detalhes, consulte nosso artigo sobre como fazer logout automático de usuários inativos no WordPress.

Esperamos que este artigo tenha ajudado você a aprender algumas novas dicas e hacks para proteger sua área de administração do WordPress. Talvez você também queira ver nosso guia passo a passo definitivo de segurança do WordPress para iniciantes e nossas escolhas de especialistas dos melhores plug-ins de segurança do WordPress.

Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.

Divulgação: Nosso conteúdo é apoiado pelo leitor. Isso significa que, se você clicar em alguns de nossos links, poderemos receber uma comissão. Veja como o WPBeginner é financiado, por que isso é importante e como você pode nos apoiar. Aqui está nosso processo editorial.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

O kit de ferramentas definitivo WordPress

Obtenha acesso GRATUITO ao nosso kit de ferramentas - uma coleção de produtos e recursos relacionados ao WordPress que todo profissional deve ter!

Reader Interactions

134 ComentáriosDeixe uma resposta

  1. Syed Balkhi

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Moinuddin Waheed

    Must have tips and tricks for protection of WordPress admin dashboard.
    I have used two factor authentication for admin login and also the login limits for admin access.
    dashboard protection is of utmost importance as it can have serious repurcussions if dashboard gets compromised.
    I didn’t know that we can have these much steps to protect our dashboard.
    Thanks for the exhaustive lists of tips for dashboard protection.

    • WPBeginner Support

      Glad to hear you found our list helpful!

      Administrador

  3. Theo

    “This plugin has been closed as of November 23, 2020 and is not available for download. This closure is permanent.”

    I know that this is a 3 and a half years old article!

    It would be nice if someone could suggest an alternative! Thank you for your time!

    • WPBeginner Support

      We will certainly take a look at alternatives.

      Administrador

  4. Raksa Sav

    If I add someone as an administrator of WordPress, can they remove from administrator or stole my WordPress site?

  5. Muchsin

    I want to ask
    I have tried the tutorial directory privacy on this article and it runs smoothly but there is one problem that is when I try the search feature located in the navigation menu on my website as a user and always asked to fill in the username and password of that directory. Then how do I solve the problem?
    I use the newspaper theme from tagdiv.

  6. sherizon

    what is the best advice in starting up an eceommerce website can i use wordpress?

  7. Brenda Donovan

    Good hints and tips here. Does is matter where in the functions.php file one puts the block hints script? Just add it to the bottom?

  8. Joe

    Another really helpful means of protecting your WP site is to use a login that is NOT ADMIN and not your email address. Use a unique login name like WP@#% or something crazy like that.

  9. Dragos

    You should also change where you install the default folder of wp-admin.

  10. Abhinav S Thakur

    Can anyone fix this?
    How shall I force SSL only for admin and rest of the site should be http.
    Like wp beginner has non SSL site!
    Running wordpress, cPanel

  11. Pinkey

    Hi,

    I just started a content based website and unfortunately my site got hacked. Please advice us with suitable solutions (software/certificates etc) to avoid any future hacks being done.

    Thanks & best Regards,

    Pinkey

  12. Lucy Barret

    The tips that you added are so helpful. But for securing WordPress, you need to give more emphasis to the security of your login area. You need to pay more attention on strengthening your admin login area.

  13. John

    Any idea why deleting wp-login.php does not prevent brute force attacks? I thought it was a quick fix for a site that only requires my login, therefore only replace the file when needed?

    Help please!

  14. Craig

    Great advice apart from the removal of admin messages, if you’re lessening the user experience because of security then you’re not doing it right.

  15. Talha

    Thanks a lot. I have a website . I will set up there.

  16. Pat Fortino

    This plugin no longer exists: Stealth Login

    Can you recommend an alternative?

    Thanks

  17. Lori

    I’ve also been told to “remove links to the admin page from the site so that the hacking robots can’t just follow a link.” I’m not sure what this means, or how I would do it… Anyone know what this means and could point me to step-by-step directions to do so?

    (I don’t see links to an admin page anywhere on my website, nor do I remember there ever being any. The only way I access the admin page is by going to the /wp-admin address.)

  18. Emily Johns

    Great information!

    For non expert bloggers and coders, I suggest installing a WordPress plugin, to make things easier.
    From the ones you mentioned, I found “Wordfence Security” plugin a free solution to secure blogs and make them faster.
    Tested and happy with it!

  19. Barry Richardson

    I was under the impression that the original username (e.g. “admin”) of a WP site cannot be deleted, so even if we did add a new username, the original “admin” would still be available for a potential hacker to exploit.

    • WPBeginner Support

      If you create a new user account with the administrator role, then you can safely delete admin user.

      Administrador

  20. Sandeep Jinagal

    Hyy WPBeginner first of All u are Doing Best OF Best???
    And m want to Know m Want to Set my login Page Like urs. bcoz when m trying to open ur login page. it shows a popup for login. can u give me that tool.

  21. Kheti

    Thanks for this educative material. Very helpful. Thanks for the good work and support.

  22. ifaheem

    great article but needs to be updated. There are a few great plugins which do all of the above task by one plugin install!

    My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin :(

    After performing above steps (update them by some research), feeling secure a little.

    Don’t Install a plugin without reading Min. of 5 reviews. They tell you the truth (Go for a bad review and see what he/she says; they have suffered something bad!

  23. Prince Jain

    Thank you for such a great post. :)

    But please update that Stealth Login Plugin do not create customize URL for Login Window, instead it add up an authorization code below username and password at login window of Wordpress.
    Also can you please suggest a plugin to create custom URL for login window.

  24. Mitchell Miller

    Stealth Login was removed from WP Plugin repository.

    But changing wp-login.php link is the first step to protecting a WordPress site.

  25. laya rappaport

    What happens when you give your login details to someone to work on your website and they change the login details so you can no longer access your word press account?

    • James Campbell

      I’m not sure if there’s a way for you to retrieve your sites information necessarily, but if you’re able to, always create a new user and give other people access through that particular user. This allows you to restrict access to certain areas and you can also delete their access when it’s no longer needed. Giving up your access to your site let’s them block you out.

  26. user4574

    One other helpful item not mentioned is database permissions. The Wordpress db user generally doesn’t need to be granted all permissions. In the vast majority of cases it only needs ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.

    So if you’re doing it directly in mysql, it would be:
    GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO ”@’localhost’;

    If doing it in cPanel or whatnot, just tick the appropriate boxes when granting permissions to the db_user.

  27. Tanmoy Das

    Awesome tips for any newbie ! I want to always change the login URL but dont know how to do it. Thanks for those tips.

  28. Derick

    @Daniel: Hackers now have a tool that enumerates/lists all your usernames including the roles of these, so doing that would not trick the hacker at all.

  29. Thorir

    Just installed the Limit Login Attempts plugin on my WP sites. On one of it I almost instantly noticed a lock out, it was also the only install that was in root. All the others are in a subdirectory and several hours later none of them have registered a lock out.

    Perhaps this is a helpful factor, security wise?

  30. Mary

    Hello, I hope you are well!
    This was a great article but a little complicated for me.

    because I need the easy way right now, the wordpress firewall plugin looked good but

    my fear is losing my login page.
    I have spent a long time trying to work with FTP and have not been able to understand it.

    Will this be a good plugin for a scaredy cat?? Thanks Mary

  31. Ed van Dun

    And what about Bullet Proof Security? It covers some area’s mentioned above and quite a few more.

  32. Prodip

    All of the above tips helped me to make my blog with more secured.

  33. Dr. Sean Mullen

    This is great info but Please update! Thanks

  34. Guest

    I know this article is from way back in ’09, but can you do an updated one, since a lot of these plugins are no longer “officially” compatible with the latest WordPress (3.4.x-3.5)?

    • Editorial Staff

      Yes, it is in the works along with few other things. We are doing the best we can. Thanks for letting us know.

      Administrador

  35. whoiscarrus

    Just really getting into WP development and can’t say thank you enough! These are great for beggin’n folk like myself!

  36. Bigdrobek

    Great turitorial, but please can you update it?

    Few plug-ins is not exist, are old or are hidden by WordPress.org.

    – Stealth Login

    – Login Lockdown

    – Admin SSL

    I am interested in step 1)Create Custom Login Links – do you have tip for new plugin which do similar job?

  37. mattjwalk

    You could also add to the list, “use second factor authentication” instead of standard passwords. There is a new website authentication method https://www.shieldpass.com where you buy cheap access cards and then install the WordPress plugin. You then place your card onto the screen to see the dynamic login numbers instead of a static password. It is unique in also being able to encode transaction digits for mutual authentication which stops attackers man in the middle tactics, even one with access into your laptop or mobile.

  38. Jermaine

    The issue I have with No: 6 is dynamic ip address, you get locked out every time your ip address changes what the workaround?

  39. Daniel

    Hacker will think he is successful when he logs in with admin username and finds that the role has been set to ‘subscriber’. Isn’t this another form of added security. I don’t want to delete my admin because i put messages etc in forums and the blog and like my users to know that it’s from administration. as well as i use my regular username!

  40. Jonathan K. Cohen

    This article needs to be revisited. A number of the plugins suggested have not been maintained, and may be incompatible with the latest version of WP.

    These include #1, #3, and #5.

    • John

      For #1 ckeck this plugin called WPS Hide Login

    • Greg

      I completely agree with you. I’ve been using the Limit Login Attempts plugin for my WordPress for a while. Today this plugin is outdated. I’ve switched to WP Cerber:

Deixe uma resposta

Obrigado por deixar um comentário. Lembre-se de que todos os comentários são moderados de acordo com nossos política de comentários, e seu endereço de e-mail NÃO será publicado. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.