Verificador de Segurança WordPress
Verifique qualquer site WordPress para problemas comuns de segurança: arquivos expostos, sinais de versão desatualizada, exposição da página de login, XML-RPC e enumeração de usuários.
Como Usar Verificador de Segurança WordPress
- 1Digite a URL do seu site WordPress.
- 2Nosso scanner verifica configurações incorretas comuns de segurança WordPress e endpoints expostos.
- 3Revise cada descoberta com seu nível de severidade e correção recomendada.
- 4Aplique as etapas de endurecimento recomendadas para reduzir sua superfície de ataque.
ZenovayAnalytics
Analytics sem nenhum banner de cookies.
- Acompanhamento de visitantes em tempo real
- Privacidade em primeiro lugar, sem banner de cookies
- Configurado em dois minutos
Ferramentas Relacionadas
Gerador de Senha
Gere senhas fortes e aleatórias com comprimento, caracteres e complexidade personalizáveis.Verificador de Força da Senha
Verifique o quão forte é sua senha. Obtenha um tempo estimado de quebra e sugestões de melhoria.Gerador HMAC
Gere assinaturas HMAC usando SHA-256, SHA-384 ou SHA-512 com a Web Crypto API.Criptografia/Descriptografia AES
Criptografe e descriptografe texto usando AES-GCM com derivação de chave PBKDF2. Executa totalmente no seu navegador.Perguntas Frequentes
O que este verificador de segurança WordPress testa?▾
Ele verifica 12 problemas comuns de segurança do WordPress: informações de versão expostas, readme.html e license.txt acessíveis, endpoint XML-RPC, proteção da página de login, enumeração de usuários via API REST, exposição do wp-cron, acesso ao script de instalação, backups de wp-config, HTTPS e cabeçalhos de segurança.
É seguro verificar meu próprio site WordPress?▾
Sim. Esta ferramenta faz apenas requisições HTTP padrão para páginas publicamente acessíveis — as mesmas requisições que qualquer navegador web ou crawler de mecanismo de busca faria. Nenhuma autenticação, tentativas de força bruta ou payloads de exploits são usados.
Por que XML-RPC é um risco de segurança?▾
XML-RPC é uma API de chamada de procedimento remoto legada no WordPress. Permite até 500 tentativas de login por requisição XML-RPC única (multicall), habilitando ataques de força bruta para contornar a limitação de taxa. Também é usado em ataques de amplificação de pingback DDoS. Desative-o a menos que precise especificamente.
O que é enumeração de usuários e por que é um risco?▾
A API REST do WordPress em /wp-json/wp/v2/users expõe nomes de usuário publicamente. Os atacantes podem recuperar todos os nomes de usuário admin e usá-los em ataques de força bruta direcionados ou de credential stuffing. Bloquear este endpoint remove um vetor de ataque.
Como oculto minha versão do WordPress?▾
Adicione `remove_action("wp_head", "wp_generator");` ao functions.php do seu tema. Também exclua readme.html e license.txt do diretório raiz do WordPress. Use um plugin de segurança como Wordfence, iThemes Security ou Solid Security para fortalecimento automatizado.
Por que minha página de login é sinalizada como um problema?▾
A página wp-login.php precisa existir para acesso de admin, mas é um alvo comum para ataques de força bruta. A recomendação é adicionar limitação de taxa (a maioria dos plugins de segurança faz isso), habilitar autenticação de dois fatores ou usar lista de permissões de IP para acesso ao wp-admin.
Esta ferramenta verifica plugins ou temas vulneráveis?▾
Não. A verificação de vulnerabilidade de plugins e temas requer acesso autenticado ao seu painel de administração do WordPress ou wp-cli. Use WPScan, Patchstack ou Wordfence para verificação de vulnerabilidades de plugins. Esta ferramenta foca em configurações incorretas de segurança visíveis publicamente.