Bloqueio geográfico filtra o acesso ao WordPress por país, cortando tráfego de origens sem público real. Segundo o Cloudflare Radar (2026), 82,4% dos ataques de aplicação no Brasil são DDoS mitigados na borda. A técnica reduz superfície de login e checkout, mas erra se o IP real ficar oculto atrás de CDN. Configure por plugin ou .htaccess e valide o IP antes.

O bloqueio geográfico é a prática de permitir ou negar requisições ao seu site com base no país de origem do endereço IP. No WordPress, ele serve para reduzir ataques de força bruta no login, fraudes de checkout e raspagem vinda de regiões onde você não tem clientes. Não é um substituto do firewall: é uma camada de redução de ruído que filtra antes de o WordPress gastar PHP. Quem opera segurança em escala sabe que cortar 90% do tráfego hostil na porta libera o servidor para o tráfego que importa. Este guia mostra como aplicar o bloqueio geográfico com plugin e com código, sem deixar visitante legítimo de fora. Para o panorama completo, consulte os guias de segurança WordPress da FULL.

Primeiros passos: Visão geral do bloqueio geográfico

O bloqueio geográfico no WordPress age em duas camadas distintas, e escolher a errada custa caro: a borda (Cloudflare, antes do PHP) corta o tráfego em milissegundos sem carregar o WordPress, enquanto o nível da aplicação (plugin como AIOS, depois do PHP) já consumiu recursos do servidor antes de decidir bloquear. A tabela abaixo mostra onde cada método atua e o impacto na decisão.

A regra prática: use a borda para volume e o plugin para granularidade por página. Quem só tem o WordPress e nenhuma CDN começa pelo plugin, que é o caminho deste tutorial.

Por que aplicar bloqueio geográfico no login do WordPress

Mais de 90% das tentativas de invasão em sites WordPress começam no formulário de login, e o bloqueio geográfico corta boa parte desse ruído antes de qualquer senha ser testada. Se a sua loja vende só para o Brasil, não há motivo para aceitar 300 tentativas de login por hora vindas de redes onde você não tem cliente.

A telemetria de ataques confirma o padrão: segundo o Cloudflare Radar, nos dados de 2026 para o Brasil, 82,4% dos ataques de camada de aplicação são DDoS e 16,4% passam por regra de WAF. A gente vê no suporte da FULL que restringir o wp-login.php por país derruba o volume de força bruta sem tocar na senha do administrador. O bloqueio geográfico não substitui a autenticação de dois fatores: ele reduz a superfície para que o firewall trabalhe com menos requisições.

Como configurar bloqueio geográfico no WordPress em 5 passos

Configurar o bloqueio geográfico no WordPress leva cerca de 15 minutos com o All in One Security (AIOS), o plugin gratuito incluído nos planos da FULL. O AIOS usa uma base GeoIP local para resolver o país do visitante e aplica a regra antes de o WordPress montar a página de login, sem custo de licença avulsa.

Antes de começar, confirme que o IP real do visitante chega ao servidor, porque sites atrás de proxy precisam restaurar o cabeçalho de origem. Veja o passo a passo oficial na documentação do All in One Security. Os cinco passos abaixo cobrem instalação, base GeoIP, seleção de países, escopo da regra e validação.

Passo 1: Instale e atualize a base GeoIP do AIOS

Instale o All in One Security pelo painel e acesse Firewall, aba Geo Blocking. O AIOS pede o download de uma base MaxMind GeoIP2 para resolver o país de cada IP; sem ela, a regra não tem como decidir. Mantenha a base atualizada: uma base GeoIP defasada mapeia faixas de IP que já mudaram de operadora, gerando falso bloqueio de visitante legítimo.

Passo 2: Defina o modo allowlist ou blocklist

Escolha entre bloquear países específicos (blocklist) ou permitir só o seu país (allowlist). Para uma loja 100% nacional, a allowlist do Brasil é mais segura: tudo fora da lista cai. Para um blog com leitores espalhados, a blocklist dos 5 a 10 países de maior ataque preserva o alcance. Comece pela blocklist se houver qualquer dúvida sobre o público.

Passo 3: Restrinja o escopo ao login e ao admin

Aplique o bloqueio geográfico só ao wp-login.php e à pasta wp-admin primeiro, não ao site inteiro. Assim você protege a porta de entrada sem arriscar derrubar conteúdo público para um leitor que viaja. Bloqueio de site inteiro fica para um segundo momento, depois de medir o impacto no tráfego real.

Passo 4: Trate o IP real atrás de Cloudflare

Se o site está atrás de Cloudflare, ative a restauração do IP de origem antes de qualquer regra de país. Sem o cabeçalho CF-Connecting-IP restaurado, o bloqueio geográfico avalia o IP do datacenter da Cloudflare, não o do visitante, e bloqueia ninguém ou bloqueia todo mundo. O AIOS detecta proxies comuns; confirme nos logs.

Passo 5: Valide com uma VPN e monitore os logs

Teste a regra conectando por uma VPN no país bloqueado e confirme que recebe a página de bloqueio. Depois acompanhe os logs de eventos do AIOS por 48 horas para flagrar falso positivo. Se um cliente reclamar de bloqueio indevido, o log mostra o IP e o país resolvido, e você ajusta a base GeoIP ou a lista.

Bloqueio geográfico por .htaccess sem plugin

O bloqueio geográfico via .htaccess roda no Apache antes do PHP carregar, o que economiza cerca de 100% do processamento do WordPress para requisições negadas. O método exige o módulo mod_geoip ou mod_maxminddb ativo no servidor, mais uma base GeoIP local para resolver o país.

A regra compara o país resolvido (GEOIP_COUNTRY_CODE) e devolve 403 antes que o WordPress sequer inicialize. É mais rápido que o plugin, porém menos amigável: cada mudança de país pede edição manual do arquivo, e um erro de sintaxe derruba o site inteiro com 500. Domine o arquivo antes de mexer, com os controles avançados do .htaccess no WordPress. Para quem prefere bloquear por endereço específico em vez de país, o caminho é bloquear IP no WordPress diretamente. A gente recomenda o .htaccess só para quem tem acesso ao servidor e backup recente.

Dados de CVE e o ângulo de uma CNA brasileira

Quem escreve sobre vulnerabilidade aqui literalmente cataloga CVE: a FULL é a única empresa brasileira reconhecida como CNA (CVE Numbering Authority) sob a CISA desde maio de 2022, autorizada a atribuir IDs CVE oficiais. Isso muda como lemos o histórico de um plugin de segurança.

O All in One Security acumulou 44 CVEs ao longo dos anos, sendo 3 críticas, todas já corrigidas, como a CVE-2016-10887 (CVSS 9.8, faixa afetada inferior à 4.0.9). Plugin com muitos CVEs todos corrigidos é sinal de auditoria ativa, não de fragilidade. O Wordfence segue o mesmo padrão: 34 CVEs históricas, nenhuma sem patch hoje, como a CVE-2019-9669 (CVSS 6.1, corrigida na 7.2.3). Risco atual é o que importa, não o total histórico. Confira o seu ambiente em como verificar vulnerabilidades no WordPress.

Quando o bloqueio geográfico falha silenciosamente

O bloqueio geográfico falha em pelo menos 2 cenários previsíveis, e ambos passam despercebidos por dias. O primeiro é o cache na borda: All in One Security com bloqueio por país ativo combinado a caching de página sem variação por GeoIP serve a página de bloqueio em cache para um visitante legítimo, porque o cache guardou a resposta negada.

O segundo é o IP oculto: bloqueio geográfico via .htaccess com base GeoIP desatualizada, num WordPress atrás de Cloudflare, aplica a regra ao IP do datacenter da Cloudflare e não ao do visitante real, bloqueando ninguém. Em ambos, o administrador não vê erro: o site responde 200 ou 403 sem alerta. A correção é restaurar o IP de origem antes da regra e excluir as rotas de login do cache. Determinado IP de VPN também escapa, porque atribui o país errado.

Ative o bloqueio geográfico sem custo extra no plano FULL

O All in One Security com bloqueio geográfico já vem incluído nos planos da FULL, sem licença avulsa. No plano PRO, são R$849 para até 10 sites, o que dá cerca de R$85 por site com todos os 17 plugins do bundle ativados em um clique, incluindo o firewall que sustenta a regra de país.

A gente vê no suporte da FULL que ativar o AIOS junto da autenticação de dois fatores e do scanner cobre a maior parte dos vetores de ataque de login. Compare os planos em FULL.services/planos e veja o que cada faixa inclui. Para um diagnóstico imediato sem instalar nada, rode o FULL Scan e descubra se algum plugin do seu site está vulnerável agora.

Perguntas frequentes sobre bloqueio geográfico no WordPress

Próximos passos para blindar o login do seu WordPress

O bloqueio geográfico entrega o melhor retorno quando combinado com o resto da camada de segurança, nunca sozinho. Comece pela allowlist ou blocklist no All in One Security restrita ao login, valide o IP real se houver Cloudflare na frente e só então avalie estender ao site inteiro. Depois, fortaleça a porta com proteção contra força bruta no login e prepare o servidor contra ataques DDoS no WordPress. Quem quer aprofundar pode revisar a configuração base em All in One Security para segurança do WordPress. Para continuar aprendendo, o Guia de Segurança para WordPress reúne os tutoriais, checklists e reviews de segurança em um só lugar.

Legenda: a aba Geo Blocking do AIOS é onde a regra de país é aplicada ao login antes do WordPress montar a página.