Antes de nos aprofundarmos em alguns Plugins de segurança WordPress, vamos começar apresentando um exemplo. Imagine que você comprou uma casa nova. Esse novo investimento exige um grande pagamento adiantado que você provavelmente não está acostumado a fazer no seu dia a dia. E, é claro, você também precisa arcar com as taxas de inspeção do imóvel antes de comprá-lo. Depois disso, ainda terá pagar o financiamento e do seguro, todos eles saindo diretamente do seu bolso.

As pessoas costumam dizer que a compra de um imóvel é um dos melhores investimentos que você pode fazer, mas ele possui um custo muito alto. Para um investimento de valor tão grande (e de algo que pode render um retorno ainda maior no futuro), você não gostaria de ser capaz de protegê-lo com todas as forças?

É por isso que você adquire um seguro e considera instalar sistemas de alarmes ou câmeras de segurança. Diversos especialistas sugerem colocar pelo menos um sistema de segurança em sua porta, para afugentar aqueles que não querem correr riscos de serem pegos. Tudo isso tem o objetivo de proteger seu investimento inicial, juntamente com o potencial de ganhos que ele pode trazer no futuro.

E você deveria pensar da mesma forma quando se trata de seu site WordPress.

Começar um blog, um website de comércio eletrônico ou um site para um pequeno negócio exige um investimento inicial para serviços e produtos como hospedagem, temas, plugins e desenvolvimento. Isso sem contar outros tipos de auxílio que você deve contratar, como analista de atendimento ao cliente e vendedores.

O investimento inicial por si só é suficiente para proteger seu site no começo. Você estará certo de que não se esqueceu de proteger o dinheiro em potencial que poderá ganhar no futuro.

Por padrão, o núcleo do WordPress apresenta algumas medidas de segurança, mas nada comparado àquilo que um plugin de segurança de grande reputação pode fazer por você. Por exemplo, os principais plugins de segurança WordPress são capazes de entregar:

Sua Maior Prioridade Deve Ser a Proteção da Hospedagem

A segurança do seu site é tão importante quanto o back-end e a fundação sobre as quais ele é executado. Por isso, antes de procurar pelos plugins de segurança, é essencial que você escolha uma hospedagem WordPress que já apresente medidas de segurança em andamento, como a Kinsta. Muitos desses procedimentos de segurança são realizados no nível do servidor e podem ser mais eficientes sem prejudicar o desempenho do seu site. Isso sem falar que você não precisa gastar tempo com um monte de configurações de segurança nos plugins, os quais você sequer compreende as funcionalidades e propósitos.

Hospedagem segura do WordPress

Hospedagem segura do WordPress

Aqui estão alguns recursos de segurança que a Kinsta oferece em todos os planos de hospedagem gerenciada WordPress.

É importante notar que muitos plugins de segurança causam problemas de desempenho, devido às suas funcionalidades sempre ativas e verificações constantes.  É por isso que a Kinsta proíbe alguns (não todos) os plugins de segurança. A Kinsta também utiliza balanceamento de carga com a Google Cloud Platform, o que significa que alguns recursos de bloqueio de IP de alguns plugins de segurança não funcionam como o planejado.

Se você é um cliente Kinsta, recomendamos que utilize uma solução como Cloudflare ou Sucuri, em conjunto com a Kinsta, se precisar de proteção adicional ou auxílio para diminuir o tráfego de robôs ou proxy. Veja a postagem em nosso blog sobre como Sucuri ajuda a mitigar um ataque DDoS com facilidade.

Entretanto, nem todas as hospedagens oferecem a mesma proteção que a Kinsta e é nessa situação que os plugins de segurança WordPress podem ser muito vantajosos.

Os Melhores Plugins de Segurança WordPress

Se você estiver com pressa, clique em um dos links abaixo para testar os plugins de segurança e tomar sua própria decisão. Se você quiser ver nossa análise aprofundada, continue lendo!

    1. Sucuri Security – Auditing, Malware Scanner and Security Hardening
    2. iThemes Security
    3. Wordfence Security
    4. WP fail2ban
    5. All In One WP Security & Firewall
    6. Jetpack
    7. SecuPress
    8. BulletProof Security
    9. VaultPress
    10. Google Authenticator – Two Factor Authentication
    11. Security Ninja
    12. Defender
    13. Astra Web Security
    14. Shield Security
    15. Hide my WP
    16. WebARX

A maioria dos plugins de segurança que valem a pena possuem um preço, mas alguns deles oferecem funções limitadas gratuitamente.

Falaremos sobre preços, mas é ainda mais importante entender o que cada plugin é capaz de fazer por você. No final das contas, trata-se de identificar a melhor forma de manter os caras maus longe do seu investimento – e, algumas vezes, isso significa investir um pouco mais de dinheiro.

1. Sucuri Security – Auditing, Malware Scanner and Security Hardening

plugin Sucuri Security disponibiliza versões gratuitas e pagas, sendo que a maioria dos websites deve ficar satisfeito apenas com o plugin grátis. Por exemplo, o firewall para o website exige um plano pago do Sucuri, mas nem todo desenvolvedor web precisa desse tipo de segurança.

Sucuri Security WordPress plugin

Sucuri Security WordPress plugin

Já nos recursos gratuitos, o plugin acompanha uma auditoria de atividades de segurança para visualizar como ele está protegendo seu site. Também apresenta monitoramento integrado de arquivos, monitoramento de lista de bloqueio, notificações de segurança e aumento de segurança. Os planos premium oferecem canais de serviço ao cliente e verificações mais frequentes. Se você quiser que uma verificação seja completada a cada 12 horas, por exemplo, você pagaria cerca de US$17 por mês.

Recursos Que Tornam o Sucuri Security Uma Ótima Escolha:

Leitura recomendada: Como Configurar o Firewall Sucuri (WAF) em seu Site WordPress

2. iThemes Security

plugin Themes Security (anteriormente conhecido como Better WP Security) é uma das formas mais completas de proteger seu website, com mais de 30 recursos para prevenir ataques de hackers e invasores indesejados. Ele possui um grande foco no reconhecimento de vulnerabilidades de plugins, softwares obsoletos e senhas fracas.

iThemes Security WordPress plugin

Plugin iThemes Security WordPress

Apesar de alguns recursos básicos de segurança estarem inclusos na versão gratuita, recomendamos que faça o upgrade para o iThemes Security Pro pelo valor de US$80 por ano. Essa melhoria oferece o sistema de suporte por ticket, um ano de atualizações do plugin e suporte para até dois websites. Se você quiser proteger mais sites, há a opção de fazer o upgrade para um plano mais caro.

Quanto aos recursos primários da versão Pro, o iTheme Security Pro oferece a obrigatoriedade de uma senha forte, bloqueio de acesso de usuários ruins, backups de bancos de dados e autenticação de dois fatores. Essas são apenas algumas formas de proteger seu site presentes neste plugin de segurança WordPress. Você pode ativar até 30 medidas de segurança para seu site, o que torna o iThemes Security Pro uma boa opção.

Recursos Que Tornam o iThemes Security Uma Ótima Escolha:

3. Wordfence Security

Wordfence Security é um dos mais populares plugins de segurança WordPress e há um bom motivo para isso. Esta verdadeira joia combina simplicidade e poderosas ferramentas de proteção, como recursos robustos de login seguro e acessórios de recuperação de incidentes de segurança. Uma das principais vantagens do Wordfence é o fato de que ele oferece insights sobre as tendências gerais de tráfego em seu site e tentativas de ataques.

Wordfence Security WordPress plugin

Plugin Wordfence Security WordPress

O Wordfence possui uma das mais incríveis soluções gratuitas, que inclui desde bloqueios de firewall à proteção contra ataques de força bruta. A versão premium custa a partir de US$99 por ano e cobre apenas um site. Os criadores do plugin o tornam mais barato para desenvolvedores, oferecendo grandes descontos quando há a aquisição de chaves para múltiplos sites. Por exemplo, ao adquirir 25 chaves, o valor cai para US$29 por ano para cada site. De forma geral, vale a pena considerar o Wordfence se você estiver trabalhando no desenvolvimento de diversos sites e deseja proteger todos eles.

Recursos Que Tornam o WordFence Security Uma Ótima Escolha:

4. WP fail2ban

WP fail2ban entrega apenas um recurso, mas que é de extrema importância: proteção contra ataques de força bruta. O plugin possui uma abordagem diferente, que pode ser vista por muitas pessoas como mais eficiente que a utilizada por alguns dos plugins de segurança listados acima. O WP fail2ban documenta todas as tentativas de login, independentemente de sua natureza ou sucesso, no syslog, através do LOG_AUTH. Você possui a opção de implementar um banimento mais leve ou mais pesado, diferente da abordagem tradicional em que somente uma opção está disponível.

WP fail2ban security plugin

Plugin WP fail2ban security

Não há muito o que falar no que se refere às configurações do plugin WP fail2ban. Na verdade, tudo o que você deve fazer é sua instalação e deixar que ele faça sua mágica. Além disso, o plugin de segurança de contra ataques de força bruta é completamente gratuito, portanto você não precisa se preocupar em gastar nenhum dinheiro. Este plugin realmente se destaca, já que seus usuários relatam consistentemente que ele funciona sem apresentar falhas.

Recursos Que Tornam o WP fail2ban Uma Ótima Escolha:

5. All In One WP Security & Firewall

Um dos plugins de segurança com o maior pacote gratuito de recursos, o All In One WP Security & Firewall possui uma interface de fácil utilização e um suporte ao cliente decente, sem a necessidade de qualquer plano premium. Este plugin de segurança é bastante visual, com gráficos e medidores que explicam aos iniciantes algumas métricas, como força da segurança e o que deve ser feito para tornar seu site mais seguro.

All In One WP Security & Firewall plugin

Plugin All In One WP Security & Firewall

Os recursos são distribuídos em três categorias: Básico, Intermediário e Avançado. Assim, você pode tirar proveito do plugin mesmo que seja um desenvolvedor de nível avançado. As principais formas de funcionamento desse plugin ocorrem através da proteção das contas de seus usuários, bloqueio de tentativas forçadas de login e melhorias na segurança durante o processo de registro de usuários. A proteção do banco de dados e dos arquivos também está incluída no plugin.

Recursos Que Tornam o All In One WP Security & Firewall Uma Ótima Escolha:

6. Jetpack

A maioria das pessoas que usa WordPress está familiarizada com o Jetpack, não só porque o plugin possui muitos recursos, mas também porque ele foi produzido pela equipe do WordPress.com. O Jetpack é recheado de módulos para fortalecer sua presença nas mídias sociais, aumentar a velocidade do site e protegê-lo de spams. Existem muitos recursos no Jetpack que valem a pena ser explorados.

Jetpack WordPress security plugin

Plugin Jetpack WordPress security

Algumas ferramentas de segurança também estão presentes no Jetpack, tornando-o um plugin muito atraente para aqueles que desejam economizar e ainda assim contar com uma solução confiável. Por exemplo, o módulo Protect é gratuito e impede que atividades suspeitas ocorram. Proteção contra ataques de força bruta e lista de permissões (whitelist) também são suportados na funcionalidade básica de segurança do Jetpack.

Dito isso, as versões pagas do Jetpack são ainda mais poderosas quando se trata de segurança. Por exemplo, o plano de US$99 por ano inclui verificação de malware, backups agendados do site e restauração se algo der errado. Indo mais além, o plano de US$299 por ano oferece verificações de malware sob demanda e backups em tempo real para garantir o máximo de proteção.

Recursos Que Tornam o Jetpack Uma Ótima Escolha:

7. SecuPress

SecuPress é uma nova opção de plugin de segurança no mercado (lançado originalmente com uma versão freemium em 2016), mas está crescendo rapidamente. Ele foi desenvolvido por Julio Potier, um dos fundadores originais da WP Media, que você deve conhecer como a responsável pelos desenvolvimentos do WP Rocket e do Imagify. O plugin possui tanto uma versão grátis quanto uma premium com muitos recursos adicionais.

SecuPress WordPress security plugin

SecuPress WordPress security plugin

Se você procura um plugin de segurança com uma excelente interface de usuário e de fácil utilização, o SecuPress é a escolha certa. A versão gratuita apresenta a função de login que combate a força bruta, bloqueio de IPs e um firewall. Também inclui a proteção de suas chaves de segurança e bloqueio de visitas de robôs ruins (uma função que geralmente é paga em outros plugins de segurança).

Se você quiser ainda mais recursos, as versões premium são disponibilizadas a partir de US$59 por ano por site e incluem funcionalidades adicionais, como alertas e notificações, autenticação de dois fatores, bloqueio por GeoIP, verificação de malware PHP e relatórios em PDF.

Recursos Que Tornam o SecuPress Uma Ótima Escolha:

8. BulletProof Security

plugin BulletProof Security possui tanto uma versão gratuita quanto premium. A opção paga é disponibiliza com um pagamento único de US$69,95 e é desenvolvida ativamente, atualizada regularmente e contém mais recursos que a maioria dos demais plugins de segurança do mercado. A empresa oferece uma garantia de 30 dias para devolução do dinheiro em caso de insatisfação do cliente e você tem acesso a recursos para quarentenas, alertas por e-mail, proteção contra spam, restauração automática e muito mais.

BulletProof Security WordPress plugin

Plugin BulletProof Security WordPress

Sugiro que você experimente o plugin gratuito primeiro, já que ele oferece as seguintes ferramentas:

Esse não é o plugin de segurança WordPress com a interface mais amigável, mas dá conta do recado para desenvolvedores avançados que queiram tirar proveito de configurações e recursos únicos, como a proteção contra exploração de vulnerabilidades e o decodificador de Base64 on-line. Ele também possui um recurso de reparo automático do assistente de configuração que torna as coisas um pouco mais fáceis.

Recursos Que Tornam o BulletProof Security Uma Ótima Escolha:

9. VaultPress

Não devemos nos esquecer do VaultPress, uma vez que ele funciona de forma similar a plugins como iThemes Security e Sucuri Scanner. Você precisa pagar para receber qualquer tipo de proteção, mas os planos são disponibilizados a partir de US$39 por ano, o que o torna um dos plugins de segurança premium mais acessíveis do mercado. O site da empresa informa que esse plano é mais indicado para pequenos negócios e blogs, mas você também tem a opção de fazer o upgrade para um plano mais poderoso por US$99 por ano ou US$299 por ano.

VaultPress WordPress security plugin

VaultPress WordPress security plugin

Os backups diários e em tempo real são o trivial de suas operações, que dispõem de uma linda visão em forma de calendário, usada para especificar quando gostaria de realizar seus backups. Você também pode fazer a restauração completa de sites com um simples clique do mouse. Além disso, os arquivos restaurados são registrados no painel e diversos deles são armazenados, assim você pode escolher aquele que desejar no momento da restauração. A melhor parte do VaultPress no que diz respeito aos backups é que eles são incrementais. Esse é um excelente fator para o desempenho do site.

As ferramentas primárias de segurança monitoram atividades suspeitas em seu site, com abas de visualização do histórico e sinalização de quais ameaças foram tratadas ou ignoradas. Você também pode verificar as estatísticas e gerenciar todos os detalhes de segurança com a conveniência de um painel limpo.

Recursos Que Tornam o VaultPress Uma Ótima Escolha:

10. Google Authenticator – Autenticação de Dois Fatores

A maioria dos plugins que possuem recursos de segurança individuais não faz muito sentido para instalação. A razão para isso é que você normalmente pode usar um plugin como o iThemes Security Pro e obter esse recurso junto com dezenas de outros. No entanto, a autenticação de dois fatores é uma história diferente, já que parece que a maioria dos conjuntos de segurança não a inclui. Portanto, pode fazer sentido endurecer sua segurança de login com um plugin como este.

Plugin Google Authenticator WordPress

Plugin Google Authenticator WordPress

O plugin Google Authenticator adiciona uma segunda camada de segurança ao seu módulo de login, o que é bastante importante, já que a maioria das tentativas de invasão ocorre com o login. Além de sua senha regular, este plugin envia uma notificação por push para o seu telefone ou alguma outra forma de autenticação, como usar um código QR ou fazer uma pergunta de segurança.

Desta forma, o seu login torna-se muito menos penetrável, uma vez que a segunda camada é provavelmente algo que só você conhece ou tem na sua pessoa (como o seu telefone).

Esse plugin de segurança do WordPress não exige pagamento e a interface é fácil de entender. Além de escolher o tipo de autenticação, outro recurso interessante permite que você especifique qual tipo de função de usuário deve passar pela autenticação. Assim, você pode permitir que os administradores entrem mais facilmente, mas você pode pedir que os autores ou outros usuários passem pelo processo de dois fatores.

O único problema é que a autenticação de dois fatores dificulta o login no back-end com um dispositivo móvel.

Lutando com tempo de inatividade e problemas no WordPress? Kinsta é a solução de hospedagem projetada para economizar seu tempo! Confira nossos recursos

Recursos Que Tornam o Google Authenticator Uma Ótima Escolha:

11. Security Ninja

Security Ninja existe há mais de sete anos. Começando como um dos primeiros plugins de segurança vendidos no CodeCanyon (com quatro add-ons disponíveis), ele foi transferido para um modelo freemium em 2016. Os add-ons foram abandonados em favor de ter apenas duas versões – gratuitas e premium. O módulo principal (que é o único disponível gratuitamente) realiza mais de 50 testes de segurança, desde a verificação de arquivos e permissões do MySQL até várias configurações do PHP.

Plugin Security Ninja WordPress

Plugin Security Ninja WordPress

O Security Ninja também faz uma verificação de força bruta de todas as senhas de usuários para eliminar contas com senhas fracas, como “12345” ou “senha”. Isso ajuda a educar os usuários sobre segurança. Ele inclui um módulo de correção automática, mas para aqueles que querem entender o que está acontecendo, há uma explicação detalhada de cada teste, incluindo o código, para corrigir manualmente o problema de segurança. Se você não gosta de plugins mexendo com seu site, o Security Ninja oferece uma boa alternativa à abordagem usual “basta clicar aqui para consertar”. Outros módulos na versão paga, começam em US$ 29 por ano por site.

Recursos Que Tornam o Security Ninja Uma Ótima Escolha:

12. Defender

Defender é uma estrutura de segurança WordPress facilitada. A versão gratuita e Pro começa com uma lista das técnicas de proteção mais eficazes para atualizar instantaneamente sua segurança do WordPress.

O plugin de segurança do WordPress Defender

O plugin de segurança do WordPress Defender

Você pode executar verificações gratuitas que verificam o código suspeito do WordPress. A ferramenta de verificação Defender compara sua instalação do WordPress com o diretório, informa as alterações e permite restaurar o arquivo original com um clique. Eles também oferecem uma versão pro que inclui backups na nuvem com armazenamento remoto de 10 GB, registros de auditoria para monitorar alterações, verificações de segurança automatizadas e monitoramento de listas negras. Seus especialistas até ajudarão você a limpar um site invadido.

Recursos Que Tornam o Defender Uma Ótima Escolha:

13. Astra Web Security

Astra Web Security é um “conjunto de segurança” para o seu site WordPress. Com o Astra, você não precisa se preocupar com malwares, SQLi, XSS, spam de comentários, força bruta e mais de 100 ameaças, o que significa que você pode se livrar de outros plugins de segurança e deixar que o Astra cuide de tudo. O painel super intuitivo do Astra não vem com cem botões que fazem você se sentir como um piloto em um cockpit!

Astra Web Security para WordPress

Astra Web Security para WordPress

Muitas marcas de prestígio como a Gillette, African Union, Ford e a Oman Airways utilizam a solução de segurança Astra. Seu preço começa a partir de US$ 9/mês, eles oferecem 20% de desconto se o plano for cobrado anualmente. No geral, o Astra pode ser um bom investimento se você pretende gastar dinheiro com a segurança do seu site.

Recursos Que Tornam o Astra Web Security Uma Ótima Escolha:

14. Shield Security

O papel número um da Shield Security é assumir sua crescente carga de segurança no site. Estamos com pouco tempo, por isso precisamos de defesas mais inteligentes e um plugin de segurança que saiba como responder a ameaças sem incomodar você com emails. Adequado para iniciantes e avançados, Shield começa a digitalizar e proteger seu site a partir do momento em que você o ativa. Todas as opções são totalmente documentadas, para que você possa se aprofundar na segurança do seu site como quiser.

Plugin Shield Security do WordPress

Plugin Shield Security do WordPress

O núcleo do Shield Security é gratuito para sempre. Profissionais e empresas que precisam de proteção mais profunda e suporte prático 24 horas por dia, podem obter o Shield Pro por apenas US$ 12/site. A missão por trás do Shield Security é “nenhum site deixado para trás” – em que o objetivo é tornar a segurança do nível Pro acessível para todos os sites, não apenas para os poucos ricos. O Pro traz mais varreduras, que são executadas com mais frequência, políticas de senhas de usuários, trilhas de auditoria maiores, suporte ao WooCommerce, monitoramento de tráfego e recursos que tornam as políticas de segurança mais fáceis para seus usuários.

Recursos Que Tornam o Shield Security Uma Ótima Escolha:

15. Hide My WP

Hide My WP é um plugin de segurança popular para o WordPress que esconde o fato de você estar usando o WordPress como seu CMS para atacantes, spammers e também detectores de temas como o Wappalyzer ou o BuiltWith.

Hide My WP

Plugin Hide My WP

Este plugin de segurança incorpora o detector de intrusão (IDS) de arte sólida para bloquear ataques de segurança em tempo real, como injeção de SQL, XSS e outros. Hide My WP é um plugin premium de segurança WordPress que você pode obter por US$ 24. Nota: Alguns recursos deste plugin podem não funcionar com o Kinsta.

Recursos Que Tornam o Hide My WP Uma Ótima Escolha:

16. WebARX

WebARX é uma plataforma de segurança de website premium que suporta todas as aplicações PHP. WebARX é mais conhecido por seu avançado firewall de endpoint, que permite que você controle completamente o tráfego entre seus sites através de seu painel de controle baseado em nuvem. Na verdade, WebARX tem um firewall de aplicação web gerenciado que protege o seu site de vulnerabilidades de plugin, ataques de bot, e de tráfego falso.

WebARX WordPress plugin

WebARX WordPress plugin

Este plugin permite que você crie suas próprias regras de firewall, endureça sua instalação do WordPress, crie backups, monitore o tempo de atividade e problemas de segurança, receba alertas, exporte relatórios e muito mais. Também é muito fácil de configurar.

Recursos Que Tornam o WebARX Uma Ótima Escolha:

Qual Plugin de Segurança WordPress é o Melhor para Você?

Agora que falamos sobre os melhores plugins de segurança WordPress, veja nossas principais recomendações abaixo. Elas facilitarão que você escolha um ou dois plugins sem precisar testar cada um deles. Lembre-se: dependendo do que sua hospedagem WordPress já oferece, os plugins de segurança podem não ser necessários.

Essas sugestões podem ajudar em situações em que você precise escolher um plugin de segurança ao invés do outro.

É claro que não conseguimos cobrir todos os plugins que existem no mercado. Esses são simplesmente os que recomendamos, baseados em nossa experiência com os usuários. Se há um plugin de segurança que você acredita que deveria ser incluído nesta lista, deixe um comentário abaixo.

Se você está administrando um site de comércio eletrônico, não deixe de ler nosso guia sobre Prevenção de Fraudes no Comércio Eletrônico.


Se você gostou deste artigo, então você vai adorar a plataforma de hospedagem WordPress da Kinsta. Turbine seu site e obtenha suporte 24/7 de nossa experiente equipe de WordPress. Nossa infraestrutura baseada no Google Cloud se concentra em escalabilidade automática, desempenho e segurança. Deixe-nos mostrar-lhe a diferença Kinsta! Confira nossos planos