<
Leandro Abreu logo arte amarelo
Criado por humano

Aprenda a configurar o All-In-One Security (AIOS), sem fazer besteira [Tutorial 2026]

Passo a passo atualizado para configurar um dos mais tradicionais plugins de segurança do WordPress.

Leandro Abreu assinatura ilustrativa - SEO, WordPress, Marketing, Google, ergonomia, cadeira ergonômica, home office

Conteúdo criado por Leandro Abreu

e atualizado em

Print AIOS WordPress

Antes, um breve anúncio:

Só isso! Aproveite a leitura!

O plugin All-In-One Security, ou apenas AIOS, continua sendo simples de configurar, salvo alguns cuidados. O plugin é bastante recheado de recursos, dos básicos aos avançados, e quando bem ajustado pode ser um poderoso aliado na proteção do seu site WordPress.

Este é um dos tutoriais mais antigos do meu blog, e também um dos mais famosos. Demorei um pouco para fazer a atualização deste post, até porque pouca coisa mudou nos últimos tempos.

De qualquer forma, aqui está a atualização de 2026: tutorial completo para você configurar o All-In-One Security (AIOS) da forma certa, sem risco de colocar o seu site WordPress em apuros.

Recomendo dividir a tela e já seguir fazendo as configurações no seu site, pois o tutorial é do tipo mão na massa, ok? Vamos começar!

Navegue ou siga a leitura!

1. Entenda o All-In-One Security (AIOS)

O All-In-One Security é um verdadeiro tudo em um que se destaca não só pelo grande número de funcionalidades, mas, principalmente, por oferecer quase todas elas de forma gratuita.

Outro destaque é a interface com uma abordagem gamefication que simplifica bastante a configuração. Para ser sincero, é um bocado conservadora, bem no jeitão WordPress.

No painel, temos o clássico medidor de força de segurança (que mais parece um medidor de combustível) cuja nota aumenta a medida que você configura o seu site corretamente e, consequentemente, o torna mais seguro.

Medidor de força de segurança do All-In-One Security (AIOS)

É importante esclarecer que o WordPress é um sistema relativamente seguro, mas precisamos fazer a nossa parte, pois ele é muito popular.

Saiba que os riscos não se restringem a sites que fazem transações financeiras ou armazenam dados sensíveis. Na realidade, o principal alvo de robôs maliciosos e hackers são os serviços de hospedagem.

Eles podem invadir os servidores para armazenar arquivos ilegais de forma oculta, criar páginas fraudulentas, driblar sistemas de rastreamento ou, simplesmente, roubar processamento para rodar aplicaçoẽs maliciosas ou minerar criptomoedas.

Isso significa que até quem acabou de criar um site corre risco de ser lesado. Por isso, recomendo instalar e configurar o All-In-One Security o quanto antes. Vamos lá?

2. Faça backup

Você sabe como fazer backups? Se sim, ótimo. Se não, dê uma conferida no artigo “Saiba como fazer backup do WordPress usando o Softaculous” antes de prosseguir — o link abrirá em uma nova guia para você retornar facilmente para cá.

Recomendo expressamente que você faça um backup completo do seu site antes de configurar o All-In-One Security. De maneira geral, as alterações que o plugin realiza são básicas, mas há ajustes delicados que merecem atenção.

Recursos de proteção de login, por exemplo, são capazes de bloquear o site quando mal configurados. Além disso, determinadas edições no banco de dados podem apresentar problemas em alguns serviços de hospedagem.

O objetivo deste tutorial é ajudar usuários a montarem uma estrutura de segurança básica no WordPress, mas para fazer isso é necessário realizar alterações em diversas camadas do site. Cautela, portanto, é essencial.

Já fez o backup? Não? Então faça logo e volte para cá!

3. Instale e ative o All-In-One Security (AIOS)

Sei que muitos já estão com o plugin instalado e ativado. Se é o seu caso, pode prosseguir para o próximo tópico.

Se ainda não fez isso, acesse “Plugins” no painel lateral do WordPress, clique em “Adicionar plugin” e busque por “All-In-One Security (AIOS)“. Na sequência, instale e ative o plugin.

Finalizada a ativação, você verá a opção “AIOS” no menu lateral. Repousando o mouse sobre ela, uma série de itens surgirá, todos eles relacionados às funções do plugin.

Eu instalei o plugin com interface em português, mas sempre há uma parte ou outra sem tradução.

O primeiro item do menu é o “Painel“, no qual se encontra o “medidor de combustível” que citei.

all in one wp securtiy & firewall Dashboard/Painel

No Painel, você tem um resumo de todas os recursos e configurações do plugin. Além do medidor de força (que aumenta a medida que você realiza as configurações solicitadas), você também tem este gráfico colorido que mostra a pontuação atribuída a cada ação realizada. Tudo apenas para ilustrar.

Além disso, há algumas outras informações básicas, como o status de configurações críticas (que são muito relevantes para segurança do site), além de registros de login, usuários conectados atualmente, endereços bloqueados e a opção para ativar o Modo manutenção no site.

Como meu plugin já está configurado, o medidor está marcando uma pontuação alta. Se você está configurando o AIOS pela primeira vez, sua pontuação no medidor de força de segurança deve estar baixa.

É hora, então, de melhorar esse número configurando, passo a passo, cada item do menu. Vamos lá!

4. Configurações

O próximo item do menu, após o Painel, é o Configurações.

Configurações gerais

Em Configurações gerais, você tem um painel para resolver eventuais problemas de compatibilidade ou erros. Com um único clique, você pode desativar todos os recursos de segurança do plugin, desabilitar todas as regras de Firewall ou mesmo resetar todas as configurações do plugin.

Isso só será necessário em caso de quebra de páginas, erros de login ou outros problemas que podem surgir em virtude das alterações realizadas pelo plugin.

Aproveito para deixar claro aqui que o ideal é manter apenas um plugin de segurança em seu site, pois ao usar mais uma ferramenta, elas podem entrar em conflito e causar problemas.

Painel configurações gerais no plugin AIOS

.htaccess Arquivo e wp-config.php Arquivo

Nas duas abas seguintes, .htaccess Arquivo e wp-config.php Arquivo, você pode fazer o download desses arquivos para backup. Eles são uma espécie de registro das configurações iniciais da instalação do WordPress que podem ser necessários para uma eventual recuperação. No backup realizado em sua hospedagem, porém, esses arquivos já são baixados.

Delete plugin settings

Na aba seguinte, Delete plugin settings, verifique se as duas opções listadas estão ativadas. Isso fará com que todos os dados residuais de plugins removidos sejam deletados da sua hospedagem, livrando você de bastante lixo.

Delete plugin settings - AIOS

WP version info

Logo ao lado, temos a aba WP version Info. Nela, você também deve deixar a opção ativada.

Gerador de informações de meta WP - AIOS

O que o plugin nos explica é que o WordPress, por padrão, gera meta dados que informam a versão instalada para os visitantes. Isso pode ajudar hackers ou robôs a identificarem instalações desatualizadas que podem conter brechas de segurança. Ativando essa opção, o AIOS remove esses dados de todas as páginas.

Aproveito para lembrar do quão importante é manter o seu WordPress atualizado. Configure-o para instalar atualizações automaticamente, caso ainda não tenha feito isso.

Depois de marcar, é só salvar (clique em Salvar configurações). O plugin nos informa que essa ação nos deu 5 pontos a somar no medidor de segurança do painel.

Importar / Exportar

Nesta seção, você pode exportar ou importar configurações já realizadas no plugin AIOS. Se você o utiliza em vários sites, isso economiza bastante tempo.

Basta exportar a configuração final (após concluída) e importar as configurações em outros sites.

Advanced settings

As configurações de detecção de endereço IP permitem que você especifique como os endereços IP dos visitantes são revelados ao PHP (e, portanto, ao WordPress e seus plugins).

Normalmente, isso é automático e há apenas uma opção. No entanto, em algumas configurações, como aquelas que usam proxies (incluindo balanceadores de carga e firewalls de segurança como o Cloudflare), pode ser necessário definir isso manualmente.

Como vê, é um recurso realmente avançado. Recomendo não mexer, a menos que saiba o que está fazendo.

Two factor authentication

Na última aba, há uma configuração para autenticação em dois fatores, mas acho este serviço especificamente um pouco burocrático no AIOS. Para ativar login em 2 etapas no WordPress, recomendo fazer pelo plugin Really Simple Security.

Ensino neste tutorial aqui: Como configurar login em duas etapas no WordPress com o Really Simple Security?

No item Configurações, faremos apenas isso.

Neste tutorial, focamos no essencial, tudo bem? E não se preocupe. Os ajustes que faremos nos próximos passos são mais do que suficientes para proteger o seu site. Vamos em frente.

5. User Security (Segurança do Usuário)

Seguimos agora para User Security no menu de configurações do All In One Security. As configurações das abas dessa área são descritas a seguir.

User Accounts (Contas de usuários)

Na primeira aba, são listadas algumas recomendações de seguranças para os usuários administradores, que aparecem na Lista de contas de administrador. Caso alguma alterações seja solicitada, você precisará realizá-la e depois retornar ao plugin, ok?

Alterar nome de usuário admin

Se o nome do seu usuário for “admin”, ou seja, o nome de usuário padrão da instalação WordPress, você provavelmente estará com zero nesse quesito por razões óbvias — essa será a primeira opção que robôs e hackers usarão para tentar acessar o seu site.

Se for o seu caso, altere o nome acessando o link “Edit User”. Isso lhe renderá 15 pontos.

No meu caso, eu já havia escolhido um nome diferente, então o plugin não indica nenhuma ação, como você vê abaixo.

alterando nome do administrador all in one security

Segurança do nome de exibição

O Display Name é o nome do autor exibido nos artigos (quando seu tema conta com essa funcionalidade).

O All In One alertou que o meu nome de autor é idêntico ao meu login. Veja.

display name wp security

Se o primeiro termo que um hacker amador tentará usar para acessar o site é “admin”, o segundo certamente será o nome do autor.

Para alterá-lo, selecione o usuário listado para acessar o seu perfil.

No perfil do usuário, role a página e informe dados básicos, como nome e apelido (se desejar). Após preencher, clique na caixa de seleção “Mostrar nome publicamente como” e selecione uma opção que não seja igual ao seu login.

Se existirem outros usuários na mesma situação, faça o mesmo com eles.

mostrar nome publicamente wp security

Aproveite para preencher outras informações que achar relevante para o seu perfil, como redes sociais. Quando terminar, clique em “Atualizar perfil“.

Retorne à aba do WP-All-In-One, recarregue e você terá uma pontuação um pouco melhor.

Prevent user enumeration (Evitar numeração de usuários)

Por padrão, o WordPress numera os usuários registrados no site, o que deixa uma brecha para robôs e rackers descobrirem qual deles é o administrador principal (geralmente o usuário 1).

Se o seu site tem um único usuário, isso é irrelevante. Se há vários, é interessante desabilitar essa função.

Entenda, porém que o cancelamento da numeração só ocorre nos usuários que são criados após realizar essa configuração. Logo, para ficar seguro mesmo, o ideal é recriar todos os seus usuários e excluir o primeiro.

Por fim, você pode forçar novos usuários a usarem senhas fortes ativando a última opção (Enforce strong password).

Login lockout

Próxima aba é a Login lockout. De cara, caímos nas configurações de bloqueio de conta.

O que faremos aqui é definir como o WordPress deverá se comportar diante de tentativas de login mal sucedidas, como erros de login e senha.

Recomendado para você:  Como usar o e-mail corporativo da sua hospedagem dentro do Gmail?

Nas opções abaixo, recomendo marcar a primeira opção (que habilitará o bloqueio de login) e a segunda (que permite gerar um link de solicitação de desbloqueio automatizado).

Na sequência, configuramos:

  • o número máximo de tentativas de login antes do bloqueio do acesso;
  • período de tempo para fazer login novamente: intervalo permitido de tentativas;
  • minimum lockout time length (duração mínimo do bloqueio): o tempo de bloqueio após falha de login será triplicado a cada nova tentativa de login malsucedida;
  • maximum lockout time length (duração máximo do bloqueio).

Optei por 3, 5, 5 e 60 minutos, respectivamente, mas você pode configurar da forma que achar melhor.

opções de bloqueio de login wp security

Se desejar, na caixa de marcação Display Generic Error Message (Exibir mensagem de erro genérico), você pode habilitar uma mensagem de erro para ser exibida quando o login falhar.

Não recomendo marcar a opção seguinte, Instantly Lockout Invalid Usernames (Bloquear instantaneamente nome de usuário inválido), pois ao ativar esse recurso, o WP bloqueará o login instantaneamente quando um nome de login inserido for inválido. Muitas vezes nós mesmos cometemos erros de atenção ou digitação.

A última opção é para você ser notificado por e-mail sempre que alguém for bloqueado no login. Se não marcar, será apenas notificado dentro do WordPress.

É interessante ser notificado quando alguém tenta acessar o seu site sem sucesso. Entretanto, a maior parte das tentativas de acesso forçadas são realizadas por robôs. Sendo assim, é um pouco desnecessário e irritante ficar recebendo esses alertas, especialmente se você não abre seu site para membros ou gerencia mais de um WordPress.

Um pouco mais abaixo, você pode citar usuários para bloquear instantaneamente (se for necessário) ou desabilitar o bloqueio de login para endereços IP específicos (lista branca ou white list).

Para finalizar, clique em “Save Settings” (Salvar configurações).

Force Logout (Forçar saída)

Nossa próxima parada é o Force Logout (Forçar saída). Marque essa opção para deslogar automaticamente o WP depois de um tempo pré-definido (lembre-se que isso também vale para você). Se colocar 60 minutos, por exemplo, a cada hora precisará relogar.

Essa opção é mais interessante caso você use diferentes dispositivos para acessar o painel do seu site. Deslogando automaticamente, você não corre o risco de deixar o seu site aberto no computador de outra pessoa, por exemplo.

Atenção: Na última vez que habilitei esta função, ocorreu um erro me impedindo de acessar o site (provavelmente algum conflito com outro plugin). Se não tem acesso ao painel do site pela hospedagem, recomendo não utilizá-la.

Relatórios de acesso

As duas próximas abas, Usuários conectados e Aprovação manual são apenas relatórios de controle de acesso. Na primeira, você confere os usuários logados atualmente no site e, na segunda, é onde você encontra a lista com login’s pendentes para aprovar manualmente.

Salt

“Salts” são frases secretas que são combinadas com senhas de usuários quando essas senhas são armazenadas, com o resultado final de que elas se tornam muito mais difíceis de serem quebradas por um invasor, mesmo que ele consiga roubar o banco de dados do seu site.

É mais uma camada de proteção, então recomendo ativar.

Atenção: ao ativar essa função, pode ser necessário logar novamente.

HTTP authentication

O recurso de autenticação HTTP permite adicionar um nome de usuário e senha para login no seu site por meio do cabeçalho WWW-Authenticate. Habilite esse recurso apenas para o front-end do seu site se você não quiser que ele seja público.

Acho que não é caso da maioria de nós. Pulamos.

HIBP

HIBP (Have I Been Pwned?) é um site que permite às pessoas verificarem se seu e-mail ou senha foram expostos em alguma violação de dados.

Marcando a primeira opção, o AIOS impedirá que senhas antigas (ao atualizar) sejam listadas neste site. Marcando a segunda opção, você impede que as senhas antigas também sejam listadas ao resetar.

Recomendo ativar ambas.

Additional settings

O WordPress 5.6 introduziu um novo recurso chamado “Senhas de aplicativos”. Isso permite que você crie um token no painel do WordPress que pode ser usado no cabeçalho de autorização.

Essa função do All-In-One permite desativar senhas de aplicativos, pois elas podem deixar seu site vulnerável a engenharia social e golpes de phishing. Pode ativar!

6. Database Security (Segurança do DB)

O próximo item do menu do All-in-One é o Database Security (Segurança do DB).

As configurações por aqui são um pouco mais delicadas. Se você não for um usuário avançado, recomendo se limitar aos ajustes que apresentarei a seguir.

Segurança do BD - AIOS

Observe que logo de cara o plugin recomenda a realização de um backup. Já fizemos isso no início do tutorial — você fez, não é? —, mas se quiser fazer outro para garantir as alterações já feitas até aqui, fique à vontade.

DB Prefix (Prefixo do BD)

Na primeira aba, mudaremos o prefixo do banco de dados do WordPress, que, por padrão, é nomeado como “wpfp_”. Como dito, as opções padrão da instalação do WP são o primeiro caminho trilhado por invasores.

Marque a caixa indicada para que o plugin gere um novo nome aleatório ou digite um nome de sua preferência no campo abaixo. Para fazer a alteração, clique em “Change DB Prefix (Alterar prefixo do banco de dados)“.

Os detalhes do procedimento serão listados abaixo (não se preocupe com isso). Quando surgir em azul “DB prefix change tasks have been completed (As tarefas de mudança de prefixo de banco de dados foram concluídas)”, saiba que a alteração foi concluída com sucesso.

Após fazer isso, recomendo dar uma conferida no seu site (acesse o domínio em outra aba para não sair do All-In-One). Como esse procedimento é um pouco “invasivo”, digamos assim, falhas não são impossíveis.

Nunca tive problemas fazendo isso em hospedagens Hostgator ou Hostinger, mas não posso responder por outros serviços. Se seu site apresentou alguma falha após o procedimento, tente consertar nesse mesmo local retornado o prefixo para o nome padrão: wpfp_.

No último caso: restaure o seu backup!

DB Backup (Backup do BD)

O backup do banco de dados foi desabilitado no All-In-One. Os desenvolvedores optaram por remover essa função e indicam o plugin UpdraftPlus em substituição, pois ele utiliza mecanismos mais modernos e robustos para essa tarefa.

Sendo assim, não há nada a fazer nessa área e é provável que ela desapareça do menu no futuro — se bem que já faz um bom tempo que está assim, o que pode sugerir que algum tipo de integração ou recurso novo está sendo desenvolvido.

Lembre-se, porém, que o ideal é realizar backups periódicos por meio do seu serviço de hospedagem. Os plugins geralmente apresentam uma série de limitações nas versões gratuitas, principalmente no processo de restauração de arquivos, que é quando você mais precisa.

7. File Security (Segurança de arquivos)

Próximo item: File Security (Segurança de arquivos).

File Permissions (Permissões de arquivos)

Na primeira aba, o plugin verificará se as permissões de acesso para cada tipo de arquivo do WordPress são coerentes, dadas as suas funções. 

Se você é iniciante, saiba que o WordPress tem um sistema hierarquia para controle de usuários. Isso permite que produtores de conteúdo, por exemplo, não façam alterações no banco de dados ou outra área que não lhe diz respeito.

Quando instalado, o WordPress já define uma configuração segura para essas permissões, mas elas podem ser alteradas por plugins ou manualmente, por engano.

Se houver algum alerta, como no meu caso (imagem abaixo), providencie os ajustes solicitados. Clicando em “Set recommended permissions” (Conjunto recomendado de permissões), o plugin corrigirá o problema.

set recommended permissions wp security

File Protection

Na aba seguinte, File Protection, várias ações são recomendadas para proteger os arquivos do seu site WordPress.

Delete default WP files (Impedir o acesso a arquivos padrão do WP)

Marcamos essa opção para ocultar algumas informações relevantes sobre sua instalação do WordPress, que ficam disponíveis nos dados do seu site.

Evitar hotlinking

Aqui, você tem a opção de impedir estes arquivos — que nada tem a ver com os links de afiliado da Hotmart, ok?

Os hotlinks, nesse caso, são imagens do seu WordPress exibidas em outros sites, como uma espécie de embed. A questão é que isso pode consumir processamento do seu servidor.

Especialmente se você usa hospedagem compartilhada, nem pense duas vezes: marque e salve tranquilamente!

Desativar edição de arquivo PHP

Aqui, você pode desabilitar a edição do código PHP por meio do painel do WordPress. Se você não pretende fazer alterações no código do seu site, o ideal é marcar essa opção e salvar (Save Settings ou Salvar configurações).

Host System Logs (Logs do sistema hospedeiro)

Na aba Host System Logs (Logs do sistema hospedeiro), você pode verificar registros de erro da sua hospedagem.

É algo apenas informativo, requer algum conhecimento técnico para compreender e só será útil no caso de falhas muito graves no site. Podemos ignorar essa parte.

Proteção de cópia

Ao ativar essa função, você impedirá que os usuários marquem e copiem textos do seu site.

É interessante no que diz respeito à proteção de conteúdos protegidos, mas compromete a experiência do usuário, pois muita gente gosta de marcar termos para pesquisar no Google, por exemplo.

Fica a seu critério.

Quadros

Ao ativar essa função, você impede que outros sites exibam conteúdos do seu por meio de frames ou iframes, o que pode roubar processamento da sua hospedagem ou fazer seu conteúdo aparecer em locais indesejados. Sendo assim, ative!

8. Firewall

Chegamos agora no Firewall do All-In-One WP Security.

Basicamente, a função de um firewall é gerenciar o tráfego de um site. Como uma espécie de “segurança de eventos”, ele adota regras de entrada e saída para avaliar os usuários e banir acessos suspeitos.

Nas últimas atualizações do All-In-One geralmente surge uma mensagem do plugin no topo da página para instalar o Firewall e definir as regras de forma automática (até porque essa seção é mais técnica).

Basta clicar e estará tudo pronto!

De qualquer forma, vou passar em cada aba e deixar claro as opções que costumo marca em cada uma. Confere aí!

PHP rules (PHP firewall settings)

Não vou entrar em detalhes aqui (até porque não sei muita coisa), mas QUASE todas as opções dessa aba são importantes para proteger o seu site e devem ser ativadas.

As únicas exceções são a Completely Block Access To XMLRPC, no primeiro bloco (que pode interferir no funcionamento de outros plugins do seu site) e a Disable WordPress RSS and ATOM feeds, no segundo bloco (que impede usuários e ferramentas de usarem os feed RSS de conteúdo, o que também por atrapalhar seu site).

Recomendo ativar todas as opções em Security enhacements, Feed control, Comment protection, URL security, String filtering e nG firewall rules.

Em WP REST API, prefiro deixar desmarcada a primeira opção Disallow unauthorized REST requests para evitar conflitos com outros plugins.

Em Configurações de robôs de internet, o Firewall apresenta um recurso capaz de bloquear falsos Googlebots, ou seja, rastreadores não oficiais que podem roubar informações do seu site.

Recomendado para você:  Os 5 tipos de hospedagem de sites: guia completo para escolher a melhor

A questão é que outras plataformas da internet também enviam bots para fazer análises, especialmente as ferramentas de SEO, e existe o risco de elas também serem bloqueadas. Sendo assim, prefiro não ativar esse serviço, mas a escolha é sua.

Tenha em mente que ativar essa função não prejudicará seu desempenho no Google, mas existe a possibilidade dela prejudicar as análises do seu site em plataformas de SEO, como Semrush ou Ahrefs.

.htaccess rules

Na próxima aba, recomendo marcar todas as opções e salvar.

Devo confessar que não sei exatamente como todas essas funções agem no site. Entretanto, os desenvolvedores do plugin as recomendam e já fiz essa configuração pelo All-In-One Security em vários projetos sem nenhum problema.

6G firewall rules

A aba 6G Blacklist Firewall Rules foi migrada para NG firewall rules, mas ainda não foi removida dessa seção. Já configuramos isso.

Internet Bots (Robôs da internet)

Esta aba também foi movida para a primeira seção, como você notou.

Block & allow lists

Nesta área, você tem a possibilidade de bloquear acessos por IP ou desativar o firewall para endereços específicos. Caso isso seja relevante para você, é aqui que poderá configurar isso.

Advanced settings

Na última aba, você tem a opção de fazer o Downgrade do Firewall, revertendo as configurações feitas pelo plugin. Isso só é necessário se você estiver usando ou deseja usar outro plugin de Firewall, e evitar conflitos.

9. Brute Force (Força bruta)

No próximo item do plugin, Brute Force (Força bruta), protegeremos o site de tentativas de acesso por “força bruta” (softwares que testam diversas combinações de login e senha em sequência para tentar acessar o site).

Atenção: as configurações de força bruta só podem ser realizadas por um único plugin para evitar conflitos. Se você estiver usando outro, como o Loginizer, desative-o ou ignore essa etapa do All-In-One.

Rename Login Page (Renomeação da página de login)

A primeira opção disponível nessa área é mudar o endereço do login. Por padrão, a página de login do WP é “domínio/wp-admin”. Aqui, você tem a oportunidade de criar um endereço personalizado.

Marque a primeira opção para mudar a URL de login e digite a nova URL (após o domínio) no campo abaixo. Escolha algo que não seja muito óbvio.

Observe que, ao fazer isso, você pode ser deslogado. Se isso acontecer, será preciso acessar o login pelo novo endereço e entrar novamente.

rename login page wp security

Vamos pular a segunda aba, pois suas funções são mais avançadas. Seguimos, então, para a próxima.

Captcha settings

O objetivo aqui é habilitar o captcha do All-In-One ou o reCAPTCHA do Google em vários formulários e logins do WordPress. O serviço do Google não é infalível, mas é muito mais aprimorado que o nativo do All-In-One, por isso, vamos seguir com ele.

google recaptcha wp security

Marcando e salvando a primeira opção, pré-ativamos o recurso reCAPTCHA em todos os formulários. Observe, porém, que essa função está atrelada ao reCAPTCHA v2 do Google, versão que requer dois códigos de utilização: o site key e o secret key.

Para gerá-los, acesse https://google.com/recaptcha e clique em v3 admin console — certifique-se de estar logado com um e-mail Google, preferencialmente o utilizado no seu Analytics para evitar configurações adicionais.

reCAPTCHA home

Preencha os dados solicitados e prossiga. Você chegará na página com os códigos que precisa. Bastará, então, copiar e colar nos campos indicados do plugin.

chaves reCAPTCHA v2

Se não quiser usar isso agora, desmarque a primeira opção e marque todas as outras. Fazendo isso, será ativado o captcha padrão do plugin — ele apresenta uma continha de matemática no login.

Atenção: se não for usar o reCAPTCHA do Google, deixe a primeira opção desmarcada! Ao ativá-la sem inserir os códigos do Google, ocorre um erro no login que impede o acesso.

Se seu login for bloqueado, entre no WordPress usando o seu serviço de hospedagem (ou use alguma ferramenta, como o Softaculous). Dentro do painel, retorne ao All In One para desmarcar a opção e, em seguida, limpe o cache do site com algum plugin de otimização.

Login Whitelist (Lista branca de login)

Também vamos pular a aba Login Whitelist (Lista branca de login). Esse recurso serve para limitar o acesso à página de login aos IPs cadastrados em uma lista.

É uma excelente forma de proteger o seu site, mas que pode gerar alguma inconveniência. Pense que você precisará pedir o endereço IP de todos os usuários que solicitarem o acesso ao seu site, como desenvolvedores, redatores ou webdesigners.

Considero isso dispensável. No entanto, se achar relevante para o seu site, não se esqueça de adicionar o seu IP na lista (Your Current IP Adress) para não ser banido do seu próprio site, além do IP de outros dispositivos que for utilizar para editá-lo.

404 Detection (Detecção 404)

404 Detection (detecção 404) é um recurso para monitorar os acessos a endereços não encontrados (que retornam o erro 404) e bloquear IPs que erram URLs muitas vezes.

A questão é que nós mesmos costumamos cair em páginas 404 ao digitar com pressa ou acessar, por engano, páginas apagadas, por exemplo. Eu prefiro deixar desmarcado.

Honeypot (Pote de mel)

Nessa aba, habilitaremos essa função na página de login e registro de usuário. O Honeypot adiciona campos invisíveis nos formulários que servem como armadilha para robôs. Basta marcar tudo e salvar.

10. SPAM Prevention (Prevenção SPAM)

Próximo item: SPAM Prevention (Prevenção SPAM).

Comment SPAM (SPAM de comentário)

Nesta primeira aba, você tem a possibilidade de habilitar a detecção de comentários gerados por robôs e definir o que fazer com eles (marcar como spam ou deletar direto, por exemplo). Selecione as duas primeiras opções e salve.

Na última opção, você pode definir um número de dias para os comentários spam serem movidos para a lixeira. Você pode querer ativar isso para ter a oportunidade de revisar, mas já adianto que, em geral, os comentários spam detectados são mesmo spam. Sendo assim, melhor descartar imediatamente.

Comment SPAM IP Monitoring (Monitoramento de IP SPAM de comentário)

Esta função habilita um recurso para bloquear IPs que enviam spam, mas tenho um pouco de receito em relação ao que o plugin pode reconhecer como spam.

Como é algo básico na escala de segurança do All-In-One, prefiro deixar desmarcado para evitar problemas no futuro.

11. Scanner (Verificador)

O próximo item é o Scanner (Verificador).

As opções aqui lembram às de um antivírus. Logo de cara, você pode pedir para o plugin realizar uma escaneamento para verificar modificações suspeitas nos arquivos do site.

Rolando até File Change Detection Settings (Configuração de detecção de alterações de arquivo), o que você deve fazer é definir um intervalo entre as verificações de segurança automáticas.

O plugin traz o intervalo de 4 semanas por padrão, mas eu coloco duas. Há quem diga para colocar uma. Fica a seu critério.

configurar intervalo de verificação no all in one securiy

Os campos seguintes você pode definir diretórios para o scaner ignorar, mas acho que a maioria de vocês não precisa se importar com isso.

No fim, você pode marcar a opção de receber uma notificação por e-mail sempre que alguma alteração for detectada nos arquivos do host. Deixando em aberto, as notificações e os dados serão exibidos apenas no painel do plugin, no WordPress.

Não esqueça de salvar.

A guia seguinte, Malware Scan (Examinar malware), traz apenas uma sugestão de plugin pago, o que não nos interessa agora.

12. Tools (Ferramentas)

De maneira geral, essa seção nada mais é do um apanhado com as funções do plugin que não tem uma área certa para ficar. O “resto”, digamos assim.

Atualmente, são 4 abas:

  • Ferramenta de senha: aqui você pode testar a qualidade das suas senhas com uma ferramenta que estima quanto tempo um robô levaria para quebrá-la num ataque de força bruta;
  • Pesquisa WHOIS: WHOIS é um protocolo de consulta da internet que permite verificar a propriedade de sites (para descobrir ações suspeitas), e aqui você tem um atalho para a consulta;
  • Regras .htaccess personalizadas: aqui, você pode definir regras personalizadas de firewall, se precisar, mas é um recurso avançado que só deve ser feito por quem tem conhecimento;
  • Bloqueio de visitantes: nada mais do que o famoso “modo manutenção”, onde você pode ativar e definir uma mensagem para os visitantes que chegarem.

13. Two Factor Auth

Como diz o nome, isso é um recurso de autenticação em dois fatores que gera códigos de verificação inéditos constantemente, semelhante ao que encontramos em diversos aplicativos de celular.

Tenho um pouco de receio com esses recursos por medo de ficar preso do lado de fora do site — o que costuma acontecer com frequência com usuários desavisados.

Como nunca testei, não tenho o que dizer por aqui. O plugin que uso para isso, e digo que é sim confiável (se você configurar do jeito certo) é o Really Simple Security.

O link do tutorial novamente: Como configurar login em duas etapas no WordPress com o Really Simple Security?

14. Premium Upgrade

Citando esta seção para deixar o tutorial completo mesmo. A versão paga do AIOS conta com alguns recursos extras, como detecção automática de malware, relatórios de segurança mais completos, funções para multisite e muito mais.

Vale a pena? Sinceramente, acho que não. Se o seu projeto requer um nível de segurança maior, acho que o caminho ideal é contratar alguma empresa ou profissional especializado com boa reputação por aqui, no Brasil. Um plugin sozinho não vai te salvar de todos os problemas.

Para projetos simples, como sites institucionais, blogs pessoais e portfólios, os recursos gratuitos e seu bom senso (usar boas senhas, manter tudo atualizado e instalar só aplicações confiáveis) é mais do que suficiente para dormir tranquilo.

É isso ai. Terminamos de configurar o All In One WP Security! Vamos voltar ao Dashboard para conferir a nossa pontuação?

Medidor de força de segurança do All-In-One Security (AIOS)

Por aqui, o meu site está com 390 pontos, o que indica que ele está seguro (embora pudesse estar mais).

Poderia realizar outros ajustes para aumentar a força de segurança, mas, como destaquei em vários tópicos, algumas funções demandam conhecimento técnico e outras podem comprometer o funcionamento de elementos importantes do site.

Não vale a pena arriscar o pleno funcionamento do site ou a experiência dos visitantes por uns pontinhos a mais. Tal como no Yoast SEO e em outros plugins, é bom não ficar obcecado com essas pontuações.

Como você deve ter percebido, há muita tentativa e erro por aqui, e recomendo que faça o mesmo.

Sempre que mudar algo no seu WordPress, dê um pulinho no seu site e limpe o cache para conferir se está tudo bem. Se algo estranho ocorrer, desfaça o último ajuste e tente algo diferente. É assim que descobrimos o que funciona e o que não dá certo, mesmo sem repertório técnico.

Este tutorial acaba aqui. Volte sempre que precisar configurar o All-In-One Security (AIOS).

Os anúncios te incomodam?

Entendo que os anúncios pioram a experiência, mas eles são importantes para a receita do blog. Se isso incomoda você, considere usar um bloqueador.

Artigo anterior

Próximo artigo

Inscrever-se
Notificar de
guest
0 Comentários
mais antigos
mais recentes Mais votado
Feedbacks embutidos
Ver todos os comentários