Os 26 melhores plugins de segurança do WordPress para manter seu site seguro – Go WordPress

Procurando os melhores plugins de segurança do WordPress para proteger seu site?

Ter um incidente de segurança é o pior pesadelo de todo webmaster, então é natural procurar proteção contra os atores maliciosos por aí.

Bem, aqui temos boas e más notícias.

Aqui estão as boas notícias:

O software principal do WordPress é seguro. Além disso, muitos hosts do WordPress adicionam proteções extras para manter seu site seguro, como os firewalls e outras proteções de segurança do WordPress.com.

Mas ao mesmo tempo, os sites do WordPress não estão imunes a ataques. Como você configura e mantém seu site, junto com as extensões que você instala, pode abrir vulnerabilidades potenciais que atores maliciosos podem explorar, seja spam de comentários básico ou malware mais sofisticado.

Para ter mais tranquilidade, você pode querer um plugin de segurança dedicado do WordPress para proteger áreas específicas do seu site (como a página de login) ou para adicionar endurecimento e proteção geral.

Neste post, você encontrará os 26 melhores plugins de segurança do WordPress para uma variedade de casos de uso diferentes, incluindo proteção contra ataques de força bruta, verificação/proteção de malware, prevenção de spam, detecção de vulnerabilidades e muito mais.

Quer mais dicas? Receba notificações de novas publicações por e‑mail.

Neste artigo:

Quais problemas os plugins de segurança do WordPress podem prevenir?

Embora usar um ambiente de hospedagem seguro como o WordPress.com já possa prevenir muitos problemas, aqui estão algumas das áreas em que os plugins de segurança do WordPress podem adicionar proteção extra:

Prevenção de spam e bots
Ataques de força bruta e ataques DDoS
Verificação e remoção de malware
Violações do GDPR
Ataques à página de administração
Detectação de vulnerabilidades no núcleo do WordPress, plugins e temas
Coleta de e-mails e números de telefone

Abaixo, dividiremos os plugins em esses diferentes casos de uso para que você possa encontrar rapidamente os melhores plugins de segurança do WordPress para suas necessidades específicas.

Como o WordPress.com protege seu site WordPress?

Se você criou seu site WordPress com o WordPress.com, você já está se beneficiando de muitas proteções de segurança integradas, o que pode eliminar a necessidade de usar certos plugins de segurança do WordPress.

Aqui estão algumas das muitas proteções de segurança integradas que o WordPress.com oferece:

Proteção contra spam e bots via Jetpack, o que elimina a necessidade de usar plugins anti-spam separados.
Criptografia habilitada automaticamente via SSL, o que protege os dados enquanto eles passam entre você, os navegadores da web dos visitantes e seu site WordPress. Por exemplo, quando você faz login no seu site, esses dados serão criptografados para que possíveis atores maliciosos na sua rede não possam ver seu nome de usuário e senha.
Firewalls para bloquear ameaças proativamente antes que elas possam fazer algo malicioso.
Backups automáticos e recuperação para que, se algo acontecer com seu site, você ainda tenha uma cópia funcional.

O WordPress.com também possui uma equipe de segurança dedicada que monitora e testa regularmente a segurança dos sites do WordPress para detectar problemas potenciais antes que eles possam ser explorados. Além disso, o WordPress.com também possui um programa de recompensas por bugs via HackerOne, que recompensa outras pessoas por relatar vulnerabilidades.

Se você quiser saber mais, você pode consultar a documentação de segurança do WordPress.com.

Dito isso, se você estiver usando os planos WordPress.com Creator ou Entrepreneur, ainda existem muitos plugins de segurança que são compatíveis com o WordPress.com, que você pode encontrar no mercado de plugins do WordPress.com.

Aqui estão alguns dos melhores plugins de segurança do WordPress que você pode considerar para obter ainda mais proteção…

26 melhores plugins de segurança do WordPress para todos os tipos de proteção

Para facilitar a busca dos plugins de segurança do WordPress certos para o seu site, dividimos os plugins em sete seções diferentes:

Proteção contra ataques de força bruta e ataques DDoS
Proteção contra spam
Verificação e remoção de malware
Proteção do WP Admin
Detectação de vulnerabilidades
Conformidade com o GDPR
Proteção de endereço de e-mail

Melhores plugins para proteção contra ataques de força bruta e ataques DDoS

Ataques de força bruta ocorrem quando um ator malicioso tenta adivinhar várias combinações de nome de usuário/senha, esperando encontrar uma que funcione. Ataques de negação de serviço distribuído (DDoS), por outro lado, ocorrem quando um ator malicioso simplesmente sobrecarrega seu site com tráfego na esperança de derrubá-lo.

Ambos os tipos de ataques funcionam enviando tráfego automatizado para o seu site. No entanto, para prevenir ataques de força bruta, você deve se concentrar em limitar o acesso à sua página de login, enquanto prevenir ataques DDoS requer uma abordagem mais abrangente.

Aqui estão alguns dos melhores plugins de segurança do WordPress para proteger contra esses tipos de ataques automatizados…

Limit Login Attempts Reloaded é uma ótima opção para proteger contra ataques de força bruta na sua página de login.

Ele permite que você bloqueie automaticamente um endereço de IP por um determinado período de tempo se um usuário/robô desse endereço de IP inserir muitos nomes de usuário/senhas incorretos. Você provavelmente já encontrou essa tecnologia antes, pois ela é usada praticamente por todos os sistemas bancários online.

Você pode personalizar quantas tentativas falhas acionam o bloqueio, bem como por quanto tempo você deseja bloquear o endereço de IP. Você também pode adicionar endereços de IP à lista de permissões ou à lista de bloqueios manualmente, conforme necessário.

A versão gratuita do plugin deve funcionar bem para a maioria dos sites. Também há uma versão premium que adiciona proteção baseada em nuvem e outros recursos em nuvem a partir de $8 por mês.

Proteção contra DDoS

Proteção contra DDoS é um plugin 100% gratuito que ajuda a proteger contra ataques DDoS bloqueando o acesso a pontos comuns de ataque, incluindo páginas XML-RPC e de feed RSS.

Ele usa o arquivo .htaccess para proteger essas páginas, o que significa que solicitações maliciosas serão bloqueadas no nível do servidor, em vez de atingir seu site WordPress.

Se você estiver usando o Cloudflare, o plugin também permite que você permita/bloqueie países específicos. Por exemplo, você pode permitir que visitantes dos EUA acessem suas páginas de feed, enquanto bloqueia visitantes dos países onde você está tendo problemas.

Advanced Google reCAPTCHA

Advanced Google reCAPTCHA permite que você proteja seus formulários de login (e outros formulários importantes do seu site, como o formulário de redefinição de senha) usando o serviço gratuito Google reCAPTCHA.

Isso pode ajudar a impedir ataques de força bruta, bem como reduzir o spam em geral.

Ao configurar o plugin, você pode escolher qual tipo de reCAPTCHA usar e em quais formulários ativar a proteção.

Limit Login Attempts é outro plugin gratuito que permite proteger seus formulários de login configurando regras para limitar o número de tentativas falhas permitidas.

Você pode personalizar tudo para atender às suas necessidades e também configurar registros e notificações por e-mail para receber alertas se alguém estiver tentando forçar a entrada no seu site WordPress.

O Limit Login Attempts é 100% gratuito.

Melhores plugins para prevenção de spam e bots

Comentários de spam não são apenas irritantes, mas também podem afetar negativamente o seu site se o spam contiver conteúdo malicioso (por exemplo, links para sites ruins) ou tentativas de injeção de código.

Para se proteger contra esse risco de segurança, você pode usar um plugin anti-spam do WordPress. Aqui estão alguns dos melhores…

Akismet

Akismet é um plugin anti-spam gratuito da Automattic, a mesma equipe por trás do WordPress.com.

Após uma configuração simples, o Akismet pode proteger os formulários de comentários do seu WordPress contra spam. Além dos comentários, muitos plugins de formulário do WordPress também se integram ao Akismet para que você possa se proteger contra envios de formulários de spam também.

O processo de configuração leva apenas alguns segundos e o Akismet começará a funcionar automaticamente. Todos os comentários de spam serão mantidos em uma área especial de Spam para que você possa revisá-los (se desejar) e, em seguida, excluí-los permanentemente com um único clique de um botão.

O Akismet é 100% gratuito para uso pessoal (por exemplo, seu blog pessoal). Para uso comercial, os planos começam em $8,33 por mês.

Observação – se você criou seu site com o WordPress.com, você já está se beneficiando da proteção contra spam do Akismet, então não há necessidade de instalar o plugin separadamente.

Jetpack

Jetpack oferece outra maneira de acessar a proteção anti-spam do Akismet, juntamente com várias outras funcionalidades úteis para melhorar a funcionalidade, desempenho e segurança do seu site.

Se você estiver interessado nas outras funcionalidades do Jetpack, você pode usar o plugin Jetpack em vez do Akismet. E novamente, assim como o Akismet, você já está se beneficiando das funcionalidades do Jetpack se estiver usando o WordPress.com, então não há necessidade de instalar o Jetpack separadamente.

CleanTalk

CleanTalk é um plugin anti-spam que protege automaticamente praticamente todos os formulários do seu site, incluindo comentários, formulários de contato, registros, pedidos do WooCommerce e muito mais.

Além de proteger contra envios de spam, ele também oferece um firewall de spam que pode bloquear a maioria dos bots de spam de carregar páginas em seu site. Ele faz isso verificando os endereços IP dos visitantes em relação ao banco de dados da CleanTalk, que contém mais de cinco milhões de IPs de bots de spam.

Se você estiver tendo problemas únicos, também pode criar manualmente sua própria lista de bloqueio.

O CleanTalk é um serviço premium. Você pode testá-lo gratuitamente por sete dias, mas precisará pagar depois disso. No entanto, os planos pagos são bastante acessíveis, começando em apenas $12 por ano ($1 por mês).

WP Armour

WP Armour é um plugin anti-spam que protege as páginas de comentários e registro nativas do WordPress. Além disso, ele também se integra à maioria dos plugins populares de formulário, bem como a outros plugins, incluindo bbPress (para prevenir spam em fóruns) e avaliações do WooCommerce.

A versão premium também adiciona ainda mais integrações, incluindo checkout do WooCommerce, BuddyPress (para comunidades sociais), MC4WP (para formulários de opt-in de e-mail) e muito mais.

A versão gratuita do plugin deve funcionar bem para a maioria dos sites. Se você deseja recursos premium, os planos pagos começam em $19,99.

Spam Destroyer

Como o nome sugere, Spam Destroyer tem como objetivo parar completamente o spam. Ele funciona com os comentários nativos do WordPress, bem como muitos outros plugins, incluindo o BuddyPress.

É muito simples de usar – basta ativar o plugin e ele começará a proteger o seu site.

Também é 100% gratuito para sempre – então ele apenas destrói o spam, e não o seu orçamento.

Anti Spam by Fullworks

Anti Spam by Fullworks ajuda a proteger os formulários de comentários do seu WordPress contra spam sem afetar a experiência do usuário de seus visitantes legítimos.

Você pode revisar os comentários de spam em uma guia especial de “Spam” e o plugin também excluirá automaticamente eles após um certo número de dias (que você pode personalizar). Ou você pode desativar a remoção automática e excluir apenas o spam manualmente.

Se você deseja ainda mais proteção contra spam, também há uma versão premium que pode proteger contra outros tipos de spam, incluindo registro de usuário, registro do WooCommerce, formulários de comentários, pingbacks e trackbacks, e muito mais.

Se você precisa da versão premium, ela começa em apenas $9,99 por ano.

Melhores plugins para prevenção de malware

O malware é um código malicioso que foi adicionado ao seu site. Em alguns casos, pessoas mal-intencionadas podem modificar arquivos legítimos para incluir código malicioso. Ou, elas também podem adicionar novos arquivos que contenham código malicioso.

Para prevenir malware, você pode usar plugins de malware do WordPress para verificar o seu site. Se o plugin encontrar malware, a maioria deles também pode ajudar a removê-lo.

MalCare

MalCare é um popular plugin de malware do WordPress que ajuda a proteger o seu site sem afetar o seu desempenho.

Em vez de verificar arquivos em seu servidor do WordPress em busca de malware, o MalCare copia os arquivos do seu site para seus próprios servidores e executa a verificação lá.

Se o MalCare detectar algum problema, ele pode tentar corrigir o problema com um clique. Você também pode adicionar arquivos à lista de permissões para evitar falsos positivos.

Além da verificação de malware, o MalCare também oferece algumas funcionalidades gerais de fortalecimento de segurança do WordPress, como um firewall e proteção de login.

O MalCare permite que você verifique o seu site em busca de malware gratuitamente. No entanto, para realmente remover qualquer malware que ele encontrar, você precisará da versão paga. Os planos pagos começam em $99 por ano.

Sucuri Security

Sucuri Security é um plugin gratuito que ajuda a detectar problemas de malware que são visíveis na parte frontal do seu site. Além disso, ele também verifica seu site em relação a listas de bloqueio comuns em que seu site pode ter sido sinalizado se contiver malware, como o Google Safe Browsing.

A versão gratuita do plugin não verifica todos os arquivos em seu servidor. Em vez disso, ele apenas analisa a parte visível do seu site para detectar malware visível.

Se você deseja uma verificação completa de segurança de todos os arquivos do seu site, você pode fazer upgrade para o plano premium a partir de $200 por ano. O plano premium também oferece remoções de malware ilimitadas e correções de invasões realizadas pelos especialistas da Sucuri, além de um firewall de aplicativo da web (WAF) para bloquear ameaças proativamente.

Malcure Malware Scanner

Não confunda com MalCare, Malcure é outro plugin de malware do WordPress que irá verificar todos os arquivos em seu servidor para detectar ameaças maliciosas. Isso inclui arquivos principais do WordPress, plugins, seu banco de dados e muito mais.

Se você fizer o upgrade para a versão premium, o plugin também oferece uma opção de reparo ou limpeza de arquivos infectados com apenas um clique. Você também pode adicionar manualmente arquivos à lista de segurança, o que ajuda a evitar falsos positivos.

Se você quiser a versão premium, ela começa em $247 por ano.

Defender Security

Defender Security é um plugin de segurança completo do WordPress que pode ajudar com malware, além de outras áreas-chave de segurança, como proteção de login, firewalls e endurecimento básico da segurança.

A verificação de malware atua como um tipo de verificador de integridade de arquivos, verificando os arquivos do seu site e detectando alterações ou arquivos suspeitos que não deveriam estar lá.

Se o Defender Security detectar um arquivo, você pode excluí-lo com apenas alguns cliques. Ou, se for um arquivo legítimo, você pode adicioná-lo à lista de segurança para evitar falsos positivos no futuro.

A versão gratuita do Defender Security permite que você execute manualmente verificações de malware. Se você quiser verificações agendadas e outras funcionalidades avançadas, você pode fazer o upgrade para a versão Pro por $7.50 por mês.

NinjaScanner

NinjaScanner é um plugin gratuito de malware do WordPress que permite que você verifique seu servidor em busca de arquivos maliciosos.

Em primeiro lugar, ele inclui um verificador de integridade de arquivos que permite que você verifique os arquivos principais do WordPress (bem como arquivos de plugins ou temas) em relação às versões originais dos arquivos. Se houver alterações, o plugin irá alertá-lo, pois isso pode indicar malware.

Além disso, ele também pode detectar assinaturas de malware e o plugin pode comparar seu banco de dados em busca de alterações entre as verificações, para que você possa detectar qualquer atividade maliciosa.

No entanto, ao contrário de alguns dos outros plugins de malware, o NinjaScanner não oferece remoção de malware com apenas um clique – você precisará remover manualmente qualquer malware que ele encontrar. No entanto, ele inclui um recurso de sandbox para arquivos em quarentena e você pode restaurar o arquivo original quando se trata de verificações de integridade de arquivos.

A versão gratuita inclui todas as funcionalidades para verificação manual. Você também pode fazer o upgrade para a versão premium para verificação agendada, começando em apenas $19.50 por ano.

BulletProof Security

BulletProof Security é outro plugin de segurança completo do WordPress que pode proteger contra malware, além de implementar outras proteções e endurecimento geral da segurança do WordPress.

Em termos de malware, ele vem com seu próprio scanner de malware MScan que pode detectar arquivos maliciosos em seu site. Ele também inclui outras verificações, como monitoramento de integridade de arquivos e verificação diferencial de banco de dados.

Se o BulletProof Security detectar um problema, você pode removê-lo com apenas alguns cliques.

O BulletProof Security inclui seu scanner de malware em sua versão gratuita. No entanto, também há uma versão paga que adiciona mais proteções por $89.95 com atualizações vitalícias para sites ilimitados.

Melhores plugins para proteger o WP Admin do seu site

Embora os plugins de proteção contra força bruta acima já façam um bom trabalho na proteção do WP Admin, existem outros plugins que você pode considerar para obter ainda mais proteção.

SiteGuard WP Plugin

SiteGuard WP Plugin oferece várias maneiras de proteger o WP Admin de atores maliciosos:

Alterar a URL da página de login.
Adicionar um filtro de endereço de IP ao WP Admin (somente endereços de IP na lista de segurança podem acessar a página).
Adicionar um CAPTCHA.
Bloquear a página de login após um certo número de tentativas falhas.
Receber um alerta por e-mail sempre que alguém fizer login no seu site.

Basicamente, ele oferece as técnicas de proteção do WP Admin mais populares em um único plugin.

Como o nome sugere, Change wp-admin login permite que você altere a URL da página de login do WP Admin para o que você quiser, o que permite proteger a área do WP Admin de atores maliciosos e bots.

Além de alterar a URL de login, você também pode redirecionar os usuários que tentarem acessar a área do WP Admin sem estar logados.

Melhores plugins para detectar e proteger contra vulnerabilidades em seu site

Além de encontrar plugins para verificar seu site em busca de malware, você também pode encontrar plugins que detectarão possíveis vulnerabilidades em seu site.

Esses plugins de detecção de vulnerabilidades podem ajudá-lo a detectar possíveis backdoors em seu site antes que atores maliciosos possam explorá-los.

Jetpack Protect

Jetpack Protect é um plugin de segurança gratuito que verifica seu site em busca de vulnerabilidades e alerta sobre quaisquer problemas, alimentado pelo scanner de segurança WPScan.

Isso permite que você detecte possíveis vulnerabilidades antes que atores maliciosos tenham a chance de explorá-las.

Ele detectará novas vulnerabilidades no software principal do WordPress, bem como em quaisquer temas e plugins instalados em seu site.

O plugin Jetpack Protect é gratuito para uso. No entanto, clientes empresariais podem considerar usar o WPScan diretamente para obter ainda mais funcionalidades.

WPVulnerability

WPVulnerability é outro plugin gratuito que permite que você verifique o núcleo do WordPress, temas e plugins em busca de vulnerabilidades, para que você possa corrigi-las antes que atores maliciosos as explorem.

Para detectar problemas, ele usa a API gratuita e de código aberto do WordPress Vulnerability Database.

Safe SVG

Safe SVG é um plugin gratuito que corrige um tipo específico de vulnerabilidade – vulnerabilidades SVG/XML.

Muitos usuários do WordPress desejam fazer upload de arquivos SVG, mas o WordPress os bloqueia por padrão porque representam um risco de segurança.

O Safe SVG permite que você habilite o upload de SVGs enquanto também higieniza adequadamente esses uploads para protegê-los contra vulnerabilidades.

Embora a conformidade com o GDPR possa não ser a primeira coisa em que você pensa quando se trata de plugins de segurança do WordPress, cumprir as leis de privacidade é uma parte importante da segurança do seu site contra desafios legais.

Aqui estão algumas das principais opções…

Cookie Notice & Compliance for GDPR / CCPA possui dois conjuntos de recursos disponíveis no plugin:

Uma ferramenta básica para configurar um aviso de consentimento de cookies em seu site.
Uma plataforma de gerenciamento de consentimento (CMP) que lida com todos os aspectos de conformidade, incluindo armazenamento de registros de consentimento, bloqueio automático de scripts e muito mais.

Se você deseja garantir total conformidade e ter os registros para comprovar, você vai querer o CMP. É gratuito para 1.000 visitas por mês e 30 dias de armazenamento de consentimento. Para uso e armazenamento ilimitados, os planos começam em $14,95 por mês.

CookieYes

CookieYes usa uma abordagem semelhante ao plugin anterior.

Em um nível básico, ele oferece uma maneira fácil de configurar um aviso de consentimento de cookies gratuito. No entanto, você também tem a opção de conectá-lo ao aplicativo da web CookieYes para acessar uma plataforma completa de gerenciamento de consentimento, incluindo varredura de cookies, armazenamento de consentimento e muito mais.

O aplicativo CMP é gratuito para 25.000 visualizações de página mensais. Depois disso, os planos pagos começam em $10 por mês para 100.000 visualizações de página.

Complianz

Complianz é outro plugin freemium que inclui tanto um aviso básico de cookies quanto uma plataforma de gerenciamento de consentimento mais robusta para garantir total conformidade legal.

Existe uma versão gratuita e depois você pode fazer upgrade para a versão paga por $49 para acessar todos os recursos.

Melhores plugins para proteger seus endereços de e-mail ou ocultar outros dados

Se você deseja facilitar o contato das pessoas com você, pode querer incluir seu endereço de e-mail diretamente em seu site. Embora isso seja conveniente para seus visitantes humanos, pode resultar em muito spam de e-mail.

Uma solução seria usar um formulário de contato em vez de compartilhar seu endereço de e-mail direto. Ou, você pode usar um desses plugins de proteção de e-mail para evitar que atores maliciosos vejam seu endereço de e-mail real.

Email Encoder

Email Encoder é um plugin gratuito que protege endereços de e-mail, números de telefone ou qualquer outro conteúdo.

Ele protegerá automaticamente endereços de e-mail e números de telefone assim que você ativar o plugin, mas também permite que você proteja manualmente outros tipos de conteúdo usando um shortcode.

O plugin é 100% gratuito.

Email Address Encoder

Email Address Encoder é um plugin freemium que permite proteger seus endereços de e-mail, números de telefone e outros conteúdos usando diferentes métodos de codificação (sem JavaScript necessário).

O plugin funciona automaticamente para endereços de e-mail, mas você também pode codificar manualmente outros conteúdos usando seu shortcode.

Se você deseja uma proteção mais avançada, também há uma versão premium de $19 que adiciona novos métodos de proteção, incluindo técnicas de JavaScript e CSS.

Bônus: Algumas outras dicas de segurança do WordPress (além dos plugins)

Embora os melhores plugins de segurança do WordPress possam adicionar camadas extras de proteção ao seu site, existem outras áreas da segurança do WordPress em que os plugins não podem ajudar.

Principalmente, é essencial usar uma senha forte e única para sua conta do WordPress, para que seja difícil para atores maliciosos obterem acesso às suas credenciais da conta.

Uma das melhores maneiras de fazer isso é usar um gerenciador de senhas para gerar uma senha única para sua conta. Aqui estão algumas das melhores opções:

Se você permite que outros usuários se registrem em seu site, pode garantir que eles estejam usando senhas fortes com um plugin como Password Policy Manager.

Também recomendamos fazer logout de sua conta do WordPress quando terminar de trabalhar em seu site, especialmente se estiver usando um computador compartilhado.

Melhore a segurança do seu site WordPress hoje

O software principal do WordPress é seguro. Quando você combina isso com criar seu site em uma base sólida como o WordPress.com, você já estará protegido contra a maioria das ameaças.

Dito isso, os plugins de segurança do WordPress podem estender essa base sólida com proteções adicionais em áreas específicas, como proteção contra ataques de força bruta, combate ao spam, detecção de possíveis vulnerabilidades e muito mais.

Você certamente não precisa instalar todos os plugins desta lista. Mas adicionar alguns dos melhores plugins de segurança do WordPress ao seu site pode lhe dar tranquilidade adicional.

Se você estiver usando o plano WordPress.com Creator, todos os plugins de segurança acima são totalmente compatíveis com o ecossistema do WordPress.com, para que você possa instalá-los hoje.

Se você ainda não está no plano Negócios, faça upgrade do seu plano hoje para poder instalar esses plugins de segurança do WordPress, além de todos os outros plugins úteis do WordPress disponíveis.