▶ Resposta rápida
Top 5 ações: 1) Senhas fortes únicas, 2) WP/plugins sempre atualizados, 3) SSL ativo, 4) Backup automático (JetBackup), 5) 2FA na Área do Cliente. Faça checklist mensal de 5 minutos.
◷ Leitura: 7 min↻ Atualizado em 04/05/2026✓ Por Equipe ZenHost
⚖
Responsabilidade Compartilhada: a ZenHost protege a infraestrutura (servidor, firewall, antimalware, backup automático). Manter senhas, atualizar WordPress/plugins e backup próprio de dados críticos é responsabilidade do cliente. Saiba mais →
Segurança em hospedagem é responsabilidade compartilhada: nós cuidamos da camada do servidor (firewall, antimalware, atualizações de SO, etc), mas você é responsável pelo seu site, plugins, senhas e usuários.
Esta checklist cobre 95% dos vetores de invasão em sites WordPress.
⚿ Senhas (item nº 1)
- ✅ Senha do cPanel: 12+ caracteres, mistura, única (como trocar)
- ✅ Senha do admin WordPress: idem
- ✅ Senha do FTP: idem (vinculada ao cPanel)
- ✅ Use gerenciador (Bitwarden / 1Password)
- ❌ Nunca compartilhe senha por WhatsApp, Slack ou e-mail (use cofre seguro)
- ❌ Nunca usuário "admin" no WordPress — escolha outro nome
↻ Atualizações (item nº 2)
- ✅ WordPress core: sempre atualizado (ative auto-update de segurança)
- ✅ Plugins: revisar 1x por semana
- ✅ Tema: igual
- ✅ Versão do PHP: usar 8.2+ (configurável no cPanel → Selecionar PHP)
- ❌ Não usar plugins/temas nulled (piratas) — vêm com backdoors
- ❌ Não usar plugins abandonados (sem update há 2+ anos)
⤓ Backups (item nº 3)
- ✅ JetBackup automático: já temos para você (como usar)
- ✅ Backup manual antes de mudanças grandes (como fazer)
- ✅ Backup adicional em nuvem (UpdraftPlus → Google Drive)
⚠ SSL / HTTPS (item nº 4)
- ✅ AutoSSL ativo (como ativar)
- ✅ Forçar redirecionamento http→https
- ✅ Verificar mensalmente se o cadeado aparece
⛨️ Plugins de segurança WordPress
Escolha UM (mais que isso causa conflito):
- Wordfence — firewall + scanner de malware (gratuito tem o essencial)
- Solid Security (ex-iThemes) — bom para iniciantes
- Sucuri — leve, foca em monitoramento
☻ Usuários WordPress
- ✅ Apague o usuário "admin" se existir, crie outro com permissão Administrator
- ✅ Cada pessoa que mexe no site deve ter conta própria (nunca compartilhe login)
- ✅ Revogue acesso de ex-funcionários / ex-fornecedores imediatamente
- ✅ Use papéis adequados: Editor pra quem só posta, Author pra colaborador, Subscriber pra cliente
⚿ 2FA (autenticação em 2 fatores)
Ativa em:
- Área do Cliente ZenHost: Painel → Conta → Segurança
- WordPress: plugin "WP 2FA" ou "Two Factor Authentication"
- cPanel: canto superior direito → Senha & Segurança → Configurar 2FA
ⓘ Dica: Use app autenticador (Google Authenticator, Authy, 1Password) — não SMS. SMS é vulnerável a SIM-swap.
⚠️ Sinais de que seu site foi invadido
- ❗ Site redireciona para outras páginas estranhas
- ❗ Aparecem páginas/posts que você não criou
- ❗ Google ou navegador acusa "site enganoso" ou "malware"
- ❗ Antivírus do visitante alerta ao acessar
- ❗ Caiu na blacklist do Google Search Console
- ❗ Site fica lento sem motivo aparente
- ❗ Aparecem usuários admin que você não criou
❗ Importante: Se desconfiar de invasão: NÃO entre em pânico, NÃO apague nada. Abra chamado no Suporte URGENTE — temos protocolo de incidente, varredura Imunify360 dedicada e restauração via JetBackup.
☑ Checklist mensal de 5 minutos
- WordPress, plugins, temas atualizados? (WP Toolkit)
- Cadeado verde aparece no navegador?
- Algum usuário admin estranho no WP?
- Site abre em < 3 segundos?
- JetBackup do dia anterior aparece (cPanel → JetBackup 5 → File Backups)?
5 itens, 5 minutos, evita 95% das dores de cabeça.
❑ Perguntas Frequentes
▶ Como saber se meu site foi invadido?
Sinais: redirecionamentos estranhos, páginas que você não criou, aviso "site enganoso" no Google, antivírus do visitante alertando, Search Console acusando malware.
▶ Qual o melhor plugin de segurança WordPress?
Wordfence (firewall + scanner) ou Solid Security (ex-iThemes). Use só UM — múltiplos causam conflito.
▶ Devo ativar 2FA mesmo no painel do cliente?
Sim. Use app autenticador (Google Authenticator, Authy) — não SMS. SMS é vulnerável a SIM-swap.
