Anonimização de dados no WordPress quebra o vínculo entre o registro e a pessoa pela ferramenta nativa Erase Personal Data e a função wp_privacy_anonymize_data(). Segundo a LGPD (2018), dado anonimizado não é dado pessoal, salvo se revertido. O risco real não está na função, e sim nos backups e logs que retêm o IP. Anonimize banco, comentários e arquivos juntos.

A anonimização de dados no WordPress é o processo de quebrar o vínculo entre um registro e a pessoa identificável por trás dele, de forma irreversível. Na prática, você troca e-mail, IP e nome por valores genéricos no banco, nos comentários e nos logs, sem apagar o conteúdo que sustenta o site. A função nativa wp_privacy_anonymize_data() já faz parte do núcleo do WordPress desde a versão 4.9.6, então boa parte do trabalho não exige plugin pago. O que costuma falhar é o resíduo: o dado some da tela, mas continua vivo no backup. Este guia mostra a anonimização de dados ponta a ponta. Veja também o conteúdos de LGPD e privacidade no WordPress da FULL para o contexto regulatório completo.

Diagnóstico rápido: O que anonimizar no WordPress

A anonimização de dados no WordPress começa por mapear as 4 camadas onde o dado pessoal mora: o WordPress espalha e-mail, IP e nome em pelo menos quatro lugares distintos, e tratar só um deles deixa o titular rastreável no banco, nos logs ou no arquivo de backup mais recente.

A tabela wp_users guarda contas, wp_comments registra autor e IP de cada comentário, os metadados do WooCommerce armazenam endereço e telefone, e os logs de segurança gravam IP bruto a cada login. Ignorar qualquer uma dessas quatro camadas mantém o dado vivo no banco. A tabela abaixo resume o alvo da anonimização em cada camada.

A ferramenta nativa de anonimização de dados do WordPress

O WordPress traz anonimização de dados embutida desde a versão 4.9.6, lançada em maio de 2018 para atender ao GDPR europeu, na tela Tools → Erase Personal Data do painel administrativo. A função wp_privacy_anonymize_data() substitui cada valor sensível por um equivalente neutro definido no próprio núcleo do WordPress.

Na prática, o e-mail vira [email protected], a URL vira https://site.invalid, a data vira 0000-00-00 00:00:00 e o texto vira [deleted]. O IP passa por wp_privacy_anonymize_ip(), que zera o último octeto. Segundo a documentação oficial do WordPress, essa anonimização de dados é permanente e não pode ser revertida após a confirmação. O detalhe que pega o administrador desprevenido é que a própria doc avisa: a ferramenta não toca em backups nem arquivos.

Passo a passo: Anonimização de dados no WordPress

A anonimização de dados manual leva cerca de 15 minutos por solicitação e cobre as quatro camadas em sequência. Cada um dos 5 passos abaixo é um estágio do mesmo procedimento, não uma alternativa. Faça um backup antes, porque o Erase Personal Data é irreversível, e respeite a ordem: anonimize a produção primeiro e só depois expurgue o backup antigo.

Legenda: a tela nativa que dispara a anonimização por solicitação verificada do titular.

Passo 1: Mapeie onde o dado pessoal está

Abra Tools → Export Personal Data e gere o relatório de um usuário de teste. O arquivo lista exatamente quais tabelas e plugins guardam dado daquele titular, incluindo extensões que registram metadados próprios. Esse mapa evita anonimizar só wp_comments e esquecer os logs.

Passo 2: Dispare o erase personal data nativo

Em Tools → Erase Personal Data, informe o e-mail, clique em Send Request e confirme. Quando o status virar Confirmed, clique em Erase Personal Data. A função substitui e-mail, IP e URL pelos valores neutros do núcleo, sem apagar o comentário em si.

Passo 3: Limpe o banco com wp-optimize

Use o processo para otimizar o banco de dados do WordPress para remover revisões antigas, spam e transients que retêm rascunhos de dado pessoal. A limpeza recorrente reduz a superfície de exposição entre uma solicitação e outra.

Passo 4: Mascare o IP nos logs de segurança

Nos plugins de firewall, ative o mascaramento de IP para que os logs gravem 192.168.0.0 em vez do endereço completo. Sem isso, o IP do titular sobrevive no log mesmo depois de você anonimizar o comentário associado.

Passo 5: Expurgue os backups antigos

Defina uma política de retenção curta e apague os backups gerados antes da anonimização. Esse é o passo que a maioria pula e o que mais aparece nos tickets da FULL: dado anonimizado em produção, intacto no arquivo de ontem.

Anonimizar ou pseudonimizar: A decisão que muda a LGPD

A anonimização de dados verdadeira é irreversível e tira o registro do escopo da Lei 13.709; a pseudonimização só troca o identificador por um código reversível, então o dado segue sendo pessoal sob a LGPD. Os 2 conceitos não são sinônimos.

O erro clássico que aparece no suporte é manter a tabela de correspondência no mesmo banco do site. Quando isso acontece, a anonimização de dados é tecnicamente reversível e o regulador trata o registro como dado pessoal de novo, com todas as obrigações de retenção e relatório que isso implica. Um exemplo prático: substituir o e-mail do cliente por um hash determinístico parece anonimização, mas se a função de hash e o salt ficam no mesmo servidor, qualquer um com acesso reconstrói o vínculo. Se você precisa reidentificar para auditoria, pseudonimize e guarde a chave fora do servidor; se não precisa, anonimize de vez. Para o enquadramento legal completo, consulte o glossário de LGPD no WordPress e o verbete de GDPR.

Anonimização de dados em escala: O que quebra em produção

A anonimização de dados síncrona no admin trava quando o volume cresce: em sites WooCommerce com mais de 10 mil pedidos, rodar wp_privacy_anonymize_data() pela tela estoura o max_execution_time padrão de 30 segundos do PHP antes de terminar o lote, deixando metade dos registros anonimizados e metade intactos.

Esse meio-termo é o pior cenário para uma auditoria. O caminho estável que a gente recomenda no suporte da FULL é disparar a anonimização de dados em lote via WP-CLI, com o WP-Cron desligado para o job, processando em blocos de 500 registros. Em servidores com menos de 2 GB de RAM, limite a concorrência a um único worker para não competir com o tráfego real do site. A função nativa é confiável; o gargalo é sempre o ambiente, não o código.

Legenda: o lote via WP-CLI evita o timeout do PHP que derruba a anonimização pela tela do admin.

Onde a plataforma FULL entra na anonimização de dados

A anonimização de dados em conformidade exige orquestrar 3 coisas que normalmente vivem separadas: o plugin que limpa o banco, a rotina de backup que respeita a retenção e a política de privacidade publicada no site. A FULL conecta mais de 150 mil sites WordPress e trata privacidade e segurança como a mesma disciplina.

Como CNA reconhecida pela CISA, a FULL atribui IDs de CVE no ecossistema WordPress desde 2022. No plano PRO, por R$849,90 por mês para até dez sites, o que sai a cerca de R$85 por site, você ativa WP-Optimize, All in One Security e UpdraftPlus pelo mesmo painel, sem licenciar cada plugin separado. Isso fecha o ciclo da anonimização de dados que mais falha sozinho: limpar produção e esquecer o arquivo. Conheça os planos em FULL.services/planos e centralize a rotina num lugar só.

Próximos passos para anonimizar com segurança

A anonimização de dados deixa de ser um susto de auditoria quando vira rotina: mapear as quatro camadas, usar a ferramenta nativa para o que ela cobre, automatizar a limpeza do banco e tratar o backup como parte do processo, não como exceção. O ponto de virada é parar de pensar em anonimização como um botão e passar a tratá-la como política, com retenção definida e responsável claro. Antes de tudo, formalize a base legal: um site sem política de privacidade publicada no WordPress não tem como justificar nem a coleta nem a anonimização. Vale também checar se o seu site usa cookies que coletam dado pessoal, porque cookie de rastreio é outra camada de titular identificável. Para continuar aprendendo, o FULL Academy reúne os tutoriais de privacidade e segurança em um só lugar.

Perguntas frequentes sobre anonimização de dados no WordPress