Garantir a Segurança no WordPress instalando um plugin pesado de 20MB é como comprar um caminhão para entregar uma pizza. Funciona, mas é caro, lento e ineficiente. A verdadeira proteção pode ser feita com apenas 5 linhas de código.
No Marketeer, somos obcecados por performance. Plugins de segurança (como Wordfence ou iThemes) são úteis, mas eles rodam em nível de aplicação (PHP). Isso significa que o ataque precisa atingir seu site, consumir memória RAM e processamento para só então ser bloqueado.
A blindagem via .htaccess acontece no nível do servidor (Apache ou LiteSpeed). O ataque é barrado na porta de entrada, antes mesmo do WordPress carregar. O resultado? Site mais seguro e TTFB (Time To First Byte) mais baixo.
Abaixo, separamos os 7 snippets essenciais que usamos em todos os nossos projetos.
Aviso Crítico Antes de Começar
O arquivo .htaccess é poderoso e impiedoso. Um caractere errado (um espaço que seja) e seu site sairá do ar com um “Erro 500”.
- Acesse seu servidor via FTP ou Gerenciador de Arquivos do cPanel.
- Faça o download do arquivo
.htaccessatual para o seu computador (Backup). - Só depois disso comece a editar. Se der erro, basta subir o arquivo original de volta.
1. Proteja o Coração do Site (wp-config.php)
O arquivo wp-config.php é, sem exageros, o arquivo mais importante da sua instalação. Ele contém o nome do seu banco de dados, o usuário e, principalmente, a senha de acesso a todas as suas informações. Se um hacker conseguir ler este arquivo pelo navegador, ele ganha controle total sobre o seu site instantaneamente. Este código cria uma regra de “negação total”, impedindo que qualquer pedido externo acesse esse arquivo específico.
Cole este código no topo do seu .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
2. Bloqueie a Listagem de Diretórios
Por padrão, se um servidor web não encontra um arquivo “index” (como index.php ou index.html) em uma pasta, ele mostra uma lista aberta com todos os arquivos que estão lá dentro. Isso é perigoso porque permite que invasores naveguem pelas pastas do seu tema ou plugins em busca de arquivos de backup esquecidos, imagens antigas ou falhas de estrutura. Este comando desativa essa visualização pública, forçando o servidor a mostrar um “Erro 403 (Proibido)” se alguém tentar bisbilhotar suas pastas.
Para esconder a estrutura de pastas:
Options All -Indexes
3. Mate o XML-RPC (O Alvo Favorito de Brute Force)
O protocolo XML-RPC é uma funcionalidade antiga que permitia comunicação remota com o WordPress (como postar via Outlook ou apps antigos). O problema é que hackers usam esse “canal aberto” para realizar ataques de força bruta massivos. Diferente da tela de login comum, pelo XML-RPC um atacante pode testar centenas de combinações de senha em uma única requisição, sem ser bloqueado facilmente. Se você não usa integrações externas complexas, desativar isso é obrigatório para economizar recursos do servidor e evitar invasões.
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
4. Impeça a Enumeração de Usuários
Uma falha clássica do WordPress permite que qualquer pessoa descubra seu nome de usuário (login) digitando ?author=1 no final do endereço do site. Se o site redirecionar para uma página com seu nome, o hacker já tem 50% das credenciais de acesso (o Login). Com o login em mãos, ele só precisa focar na senha. Este snippet intercepta qualquer tentativa de usar esse parâmetro na URL e bloqueia a requisição imediatamente, mantendo seu nome de usuário anônimo.
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} ^author_name=([^&]+) [NC]
RewriteRule .* - [F]
</IfModule>
5. Proteja o Próprio .htaccess
O arquivo .htaccess contém todas as suas regras de segurança, redirecionamentos e configurações de servidor. Se um invasor conseguir ler este arquivo, ele saberá exatamente quais proteções você tem implementadas e poderá estudar uma forma de contorná-las. Este bloco de código garante que o arquivo proteja a si mesmo: se alguém tentar acessá-lo pelo navegador (ex: seusite.com/.htaccess), o servidor negará o acesso automaticamente.
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
6. Bloqueie Injeção de Scripts PHP
A pasta /wp-content/uploads/ deve servir apenas para guardar imagens, PDFs e vídeos. No entanto, é o local favorito para hackers esconderem “Backdoors” (arquivos de vírus disfarçados). Se eles conseguem subir um arquivo chamado imagem.php e o servidor executa esse arquivo, o site é infectado. Este código atua como uma barreira final: ele diz ao servidor para nunca executar códigos de programação (PHP) dentro da pasta de uploads. Mesmo que o hacker consiga enviar o vírus, o vírus não funcionará.
<Directory "/var/www/seusite.com/public_html/wp-content/uploads/">
<Files "*.php">
Order Deny,Allow
Deny from All
</Files>
</Directory>
(Nota: Ajuste o caminho /var/www... conforme o caminho real da sua hospedagem ou coloque este bloco apenas dentro de um .htaccess secundário dentro da pasta uploads).
7. Security Headers (Cabeçalhos de Segurança)
Estes cabeçalhos são instruções de segurança que seu servidor envia para o navegador do visitante (Chrome, Edge, etc.).
X-Content-Type: Impede que o navegador tente “adivinhar” o tipo de arquivo, forçando-o a seguir as regras estritas do servidor (evita que um arquivo .jpg com código malicioso seja executado como script).
X-Frame-Options: Impede que outros sites coloquem o seu site dentro de uma janela invisível (iframe) para roubar cliques (Clickjacking).
X-XSS-Protection: Ativa filtros do navegador contra injeção de scripts maliciosos.
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
</IfModule>
Comparativo: Plugin de Segurança vs. .htaccess
Entenda a diferença de impacto na performance do seu servidor:
| Critério | Plugin de Segurança (Nível Aplicação) | .htaccess (Nível Servidor) |
| Consumo de Memória | Alto (Carrega PHP a cada visita) | Zero (Nativo do Apache/LiteSpeed) |
| Velocidade de Bloqueio | Lento (O WordPress precisa carregar) | Imediato (Antes de carregar o site) |
| Complexidade | Fácil (Interface visual) | Média (Edição de código) |
| Risco de Conflito | Alto (Pode brigar com outros plugins) | Baixo (Se bem configurado) |
| Custo | Versões PRO custam caro (dólar) | Grátis |
Conclusão
Reforçar a Segurança no WordPress não precisa ser sinônimo de lentidão. Ao implementar esses 7 snippets, você cria uma ‘casca grossa’ ao redor do seu WordPress sem gastar um centavo e sem pesar o carregamento das páginas.
Lembre-se: a melhor segurança é aquela que é invisível para o usuário, mas impenetrável para o invasor.
