📩 Fique por dentro das novidades com a nossa newsletter

Assinar
Ir para o site

Como configurar hotlink protection no WordPress

  • Por Full Services

Conheça a loja da FULL Services

Plugins premium, suporte de verdade e tudo o que seu site WordPress precisa em um só lugar.

Acesse agora

Pergunte a uma IA sobre este artigo

Obtenha um resumo ou tire dúvidas com seu assistente favorito

Claude ChatGPT Gemini Perplexity Grok

Configurar hotlink protection no WordPress é bloquear que sites de terceiros carreguem as suas imagens direto do seu servidor, fazendo você pagar a banda enquanto eles exibem o seu conteúdo. Com o All-in-One Security, você ativa a regra que só permite as imagens no seu próprio domínio. O resultado é um site que economiza banda e protege o seu conteúdo, sem servir de hospedagem gratuita para quem copia as suas imagens. Este guia faz parte do hub de All-in-One Security da FULL e mostra o passo a passo real, da ativação da proteção ao teste de um domínio externo.

Neste artigo

O que é hotlinking e por que ele custa caro

Hotlinking é quando outro site insere as suas imagens usando o endereço direto do seu servidor, em vez de hospedar a própria cópia, então cada visita ao site dele consome a banda do seu. Você paga a transferência, e o conteúdo aparece em uma página que não é sua, muitas vezes sem crédito.

Na prática, um site copia o link da sua imagem e a exibe; quando alguém abre a página dele, o seu servidor entrega o arquivo. Com o All-in-One Security, você ativa uma regra que só serve as imagens para o seu próprio domínio. Nos atendimentos da FULL sobre segurança e desempenho no WordPress, o tropeço campeão é ativar a proteção sem liberar os buscadores, o que faz as imagens sumirem do Google Imagens e dos resultados que traziam tráfego.

Legenda: a proteção contra hotlinking só serve as imagens para o seu próprio domínio.

Quando vale ativar a proteção contra hotlinking

Vale ativar a proteção contra hotlinking quando as suas imagens são pesadas ou exclusivas, quando você nota picos de banda sem aumento de visitas ou quando outros sites usam o seu conteúdo sem permissão, e vale deixar desligada quando você quer que as imagens sejam compartilhadas livremente. A proteção rende quando a banda das imagens é um custo real.

Use este teste antes de ativar. Diga SIM à proteção se o seu site tem fotos próprias, portfólio ou produtos com imagens caras de produzir, e você não quer servir de hospedagem para terceiros. Diga NÃO se você pública imagens justamente para serem reaproveitadas e divulgadas. O encaixe ideal é o site com conteúdo visual exclusivo e custo de banda. Para entender o impacto no desempenho geral, vale acompanhar o consumo de banda do servidor antes e depois de ativar a regra.

Pré-requisitos antes de ativar a proteção

Antes de ativar a proteção você precisa de três peças no lugar, o All-in-One Security ativo, a lista das origens que devem continuar acessando as imagens, como o Google e o seu CDN, e acesso para testar de um domínio externo, e a falta de qualquer uma leva a bloquear quem não devia. Sem liberar os buscadores, você esconde as imagens da busca.

Checklist de prontidão antes de começar:

  • All-in-One Security instalado e ativo no site.
  • A lista de origens legítimas a liberar, como buscadores e CDN.
  • A confirmação de que o site usa Apache ou um servidor compatível.
  • Um backup do arquivo de configuração do servidor antes de mexer.
  • A forma de testar o carregamento de um domínio externo.
  • A confirmação de que as suas próprias páginas exibem as imagens.
  • Acesso de administrador ao painel de segurança.

Pense na proteção como a portaria de um estacionamento privativo: as suas imagens são as vagas, e o hotlinking é o carro de fora que ocupa a vaga sem pagar. A regra é o porteiro que só deixa entrar quem é do prédio. Mas se o porteiro barrar o entregador e o visitante autorizado, como o Google, a portaria atrapalha mais do que protege, então a lista de liberados precisa estar certa.

Como configurar a proteção contra hotlinking em 5 passos

Configurar a proteção segue cinco passos, da ativação da regra ao teste externo, e respeitar a ordem evita o erro mais comum: bloquear também os buscadores e o seu CDN junto com os sites copiadores. Cada passo protege a banda sem quebrar o legítimo. Confirme antes que o All-in-One Security está ativo e o servidor é compatível, porque a proteção depende dos dois.

Passo 1: Confirme a compatibilidade do servidor

Antes de ativar a regra, confirme que o seu site roda em um servidor compatível com a proteção, em geral Apache com suporte a regras de reescrita, porque a hotlink protection depende dessa capacidade do servidor. Faça um backup do arquivo de configuração antes de qualquer mudança, conforme a referência dos plugins do WordPress. Verifique com a sua hospedagem se o servidor aceita esse tipo de regra. Esse passo evita ativar algo que o servidor não suporta e quebrar o site sem necessidade. Reserve um tempo para confirmar a infraestrutura, porque uma regra de hotlink em um servidor incompatível pode não funcionar ou causar erro nas requisições de imagem.

Passo 2: Ative a proteção no all-in-one security

No painel do All-in-One Security, abra a área de firewall e ative a opção de prevenção de hotlinking, porque é ela que insere a regra que só serve as imagens para o seu próprio domínio. A ativação aplica a proteção sem você editar o arquivo de configuração na mão. Confirme que a opção foi ativada e a regra entrou em vigor. Esse passo liga a portaria: a partir dele, requisições de imagem vindas de outros sites passam a ser barradas. Faça a ativação com o backup já pronto, porque é uma mudança que afeta como o servidor entrega os arquivos, e ter como voltar dá segurança caso algo legítimo seja bloqueado.

Passo 3: Libere as origens legítimas

Garanta que os buscadores e o seu próprio CDN continuem acessando as imagens, liberando essas origens na regra, porque bloquear o Google esconde as suas fotos da busca e bloquear o CDN quebra a entrega das imagens no próprio site. Esse é o passo que mais gente esquece, e o que causa o maior estrago. Inclua na lista de exceção os bots de busca e o domínio do seu CDN, se você usar um. Confirme que as origens certas estão liberadas. Sem essa liberação, a proteção atrapalha o SEO e o desempenho, então trate a lista de exceções com o mesmo cuidado da regra principal, porque ela define quem não deve ser barrado.

Passo 4: Verifique se o seu site exibe as imagens

Abra várias páginas do seu próprio site e confirme que todas as imagens carregam normalmente, porque a proteção mal configurada pode bloquear até as requisições internas e deixar o site sem imagens. Navegue por páginas com galeria, produtos e posts, conferindo cada uma. Verifique também no celular, já que o carregamento pode diferir. Se a regra ou outro recurso do plugin estiver bloqueando algo legítimo no site, veja como corrigir o 404 Lockout que bloqueia visitantes no All-in-One Security. Esse passo garante que a proteção não cobrou um preço alto demais, quebrando a exibição das suas próprias imagens.

Passo 5: Teste de um domínio externo

Tente carregar uma das suas imagens a partir de outro domínio, usando uma página de teste fora do seu site, e confirme que ela não aparece, porque é esse teste que prova que a proteção bloqueia o hotlinking de verdade. Use uma ferramenta de teste de hotlink ou uma página simples em outro domínio. Compare com o carregamento no seu próprio site, que deve continuar normal. Se a imagem ainda carrega de fora, revise a regra e a compatibilidade do servidor. Esse teste duplo, dentro funcionando e fora bloqueado, é a prova final de que a proteção faz exatamente o que deveria, sem efeitos colaterais.

Legenda: cada passo protege a banda sem quebrar o legítimo, da ativação ao teste externo.

Erros comuns ao configurar a proteção contra hotlinking

Os três erros mais comuns ao configurar a proteção são bloquear os buscadores, esquecer o CDN e não testar de fora. O primeiro é o mais grave: ativar a regra sem liberar o Google esconde as suas imagens da busca, o que derruba o tráfego que vinha do Google Imagens e dos resultados ricos com foto.

O segundo erro é bloquear o próprio CDN, fazendo as imagens sumirem do seu site, já que elas são servidas por um domínio diferente do principal. A correção é incluir o CDN na lista de exceções. O terceiro caso é ativar a proteção e nunca testar de um domínio externo, ficando sem saber se ela realmente bloqueia o hotlinking. Quando uma regra do plugin acaba bloqueando um acesso legítimo, vale ver como corrigir o 404 Lockout que bloqueia visitantes.

Como manter a proteção em produção

Manter a proteção em produção exige cuidar de duas frentes, a atualização da lista de origens liberadas e a verificação periódica da entrega das imagens, porque um CDN novo ou uma mudança de servidor pode quebrar a regra sem aviso. O site muda de infraestrutura ao longo do tempo, então a proteção precisa acompanhar essas mudanças.

Sempre que adotar um CDN ou trocar de servidor, revise a regra de hotlinking e a lista de exceções, porque a configuração antiga pode não valer mais. Verifique de tempos em tempos se as imagens carregam no site e seguem bloqueadas de fora. Para padronizar a proteção e a segurança em vários sites sem licença avulsa, o guia de segurança no WordPress mostra a rotina.

Como a FULL faz isso em escala

A FULL padroniza a proteção contra hotlinking com All-in-One Security porque acompanha mais de 150 mil sites WordPress, e sites com conteúdo visual que sangram banda para terceiros aparecem o tempo todo, onde configurar a regra em cada projeto na mão vira gargalo. Em vez de licença avulsa por instalação, a ferramenta entra no bundle e o padrão de proteção fica replicável de um site para outro.

No plano PRO da FULL, por R$849, o All-in-One Security já vem no pacote para até dez sites, o que dá R$85 por site em vez de pagar cada licença separada. Para quem cuida de vários sites com imagens próprias, a gente vê isso trocar um custo recorrente espalhado por um padrão único: a mesma regra de hotlinking, com as exceções de busca e CDN, é reaproveitada de um projeto para outro, sem configurar do zero a cada site. É a economia que só aparece quando o stack é o mesmo em toda a base.

Checklist final da proteção contra hotlinking

O checklist final da proteção contra hotlinking confirma, em uma passada, que a banda está protegida sem quebrar o site ou o SEO. Rode esta lista depois do passo 5 e a cada mudança de servidor ou CDN, porque é nessas mudanças que a regra costuma deixar de funcionar.

Antes de declarar pronto, confirme:

  • O servidor é compatível com a regra de hotlinking.
  • A proteção está ativada no All-in-One Security.
  • Os buscadores estão liberados, para não sumir da busca.
  • O seu CDN está na lista de exceções, se você usar um.
  • Todas as imagens carregam normalmente no seu próprio site.
  • O teste de um domínio externo confirma o bloqueio da imagem.
  • As imagens funcionam bem no celular, não só no desktop.

Se qualquer item falhar, principalmente a liberação dos buscadores, volte ao passo correspondente antes de confiar na proteção.

Perguntas frequentes sobre hotlink protection no WordPress

Preciso de um plugin para bloquear hotlinking ou dá com código?

Dá para bloquear com regras no arquivo de configuração do servidor, mas é fácil errar e quebrar a entrega das imagens. O All-in-One Security insere a regra pela interface, sem você editar o arquivo na mão. Use o plugin quando quer segurança e reversão fácil, porque mexer direto na configuração do servidor exige cuidado e backup. Reserve a edição manual só para quem domina as regras de reescrita. Para a maioria dos sites, o plugin aplica a proteção com menos risco.

Por que minhas imagens sumiram do Google depois da proteção?

Porque a regra bloqueou também os robôs de busca junto com os sites copiadores. O Google precisa acessar as suas imagens para indexá-las, então bloqueá-lo as tira do Google Imagens e dos resultados com foto. Para resolver, inclua os bots de busca na lista de exceções da hotlink protection. Prefira sempre liberar os buscadores antes de ativar, porque a proteção que esconde as imagens do Google troca uma economia de banda por uma perda de tráfego que costuma sair mais cara.

Como libero o meu CDN da regra de hotlinking?

Você adiciona o domínio do seu CDN à lista de origens permitidas na configuração da proteção. Como o CDN serve as imagens de um endereço diferente do site principal, a regra o trataria como externo e o bloquearia se ele não estiver liberado. Inclua o domínio exato do CDN na exceção. Reserve um cuidado extra a essa etapa quando usa CDN, porque é justamente esse cenário que mais quebra: a proteção bloqueia o próprio sistema que deveria acelerar a entrega das suas imagens.

É possível mostrar uma imagem de aviso em vez de bloquear?

Sim, alguns servidores permitem servir uma imagem alternativa para requisições de hotlink, em vez de simplesmente não entregar nada. Assim, quem copiou o seu link acaba exibindo um aviso de que a imagem foi usada sem permissão. Use essa opção quando quer transformar o bloqueio em divulgação da sua marca. Reserve o bloqueio simples para quando você só quer economizar banda, porque a imagem de aviso consome um pouco de transferência, embora bem menos que servir o arquivo original repetidamente para sites de terceiros.

Quando a proteção contra hotlinking não compensa?

Quando você quer que as suas imagens circulem livremente, como em campanhas de divulgação, banners para parceiros ou conteúdo feito para ser compartilhado. Nesses casos, bloquear o uso externo trabalha contra o seu objetivo de alcance. Prefira deixar a proteção desligada quando a difusão das imagens é desejada. Reserve a hotlink protection para conteúdo visual exclusivo e caro de produzir, porque para imagens que você quer espalhar, bloquear o carregamento externo só limita o alcance que você buscava ao publicá-las.

Próximos passos para proteger a sua banda e o seu conteúdo

Configurar hotlink protection no WordPress é, no fundo, impedir que terceiros usem o seu servidor de graça: confirme a compatibilidade, ative a regra no All-in-One Security, libere os buscadores e o CDN e, acima de tudo, teste de um domínio externo. Bloquear o Google junto com os copiadores é o que esconde as suas imagens da busca, então cuide das exceções. Para padronizar o All-in-One Security em vários sites sem licença avulsa, conheça os planos da FULL, e para continuar aprendendo, o FULL Academy reúne os tutoriais de WordPress em um só lugar.

Compartilhe este conteúdo

Equipe Full Services

A FULL. é especialista em WordPress e oferece plugins premium com licenças originais, suporte técnico e instalação facilitada. Já ajudou mais de 25 mil clientes a impulsionar seus sites com performance, segurança e praticidade.

  • Você pode gostar
Ver todos

AI Shopping no Brasil: Como a IA decide quem vende

O AI shopping no Brasil já redesenha como o consumidor
Ler completo

A shortlist da IA: Como 3-5 marcas são escolhidas antes do clique

Entender a shortlist da ia como marcas são escolhidas é
Ler completo

Como fazer um AI visibility audit passo a passo

Se você não sabe se o ChatGPT recomenda a sua
Ler completo
Componentes

Hero Sections

30 componentes

Seções de CTA

14 componentes

Login

14 componentes

Blog

14 componentes

Cabeçalhos

24 componentes

Seções de FAQ

53 componentes

Cadastro

53 componentes

Blog individual

53 componentes

Rodapés

28 componentes

Seções de contato

27 componentes

Seções de preços

27 componentes

Faixas

27 componentes

Portfólio

16 componentes

Seções de equipe

12 componentes

Números

12 componentes

Logotipos

12 componentes

Comece agora
Login
  • Atrair
Geração de Leads
SEO & Posicionamento
Landing Pages
Conteúdo com IA
Pop-ups de Captura
  • Ativar
Engajamento de Visitantes
Widgets Interativos
Prova Social
  • Converter
Conversão (CRO)
Performance & Velocidade
Segurança & Confiabilidade
  • Engajar
Resultados & Métricas
CRM & Relacionamento
NPS & Satisfação

Setores

Saúde e Bem-Estar

Restaurantes & Alimentação

Hotelaria & Turismo

Imobiliárias & Construção

Negócios Locais & Franquias

E-commerce & Lojas Virtuais

Educação & Cursos

Profissionais Liberais & Serviços

Agências Digitais & Freelancers

Extensões

MEIs e Autônomos

Agências e Freelancers

Pequenas Empresas

Médias e Grandes Empresas

Startups

Franquias

Uma nova era para o WordPress.

A FULL Services redefine o CMS com uma arquitetura modular que transforma o WordPress em um motor de crescimento digital. 

Conheça a Plataforma

Integrações

Elementor PRO

Rank Math

SEOPress

Happy Addons

Tutor LMS

WP Optimize

Crocoblock

WP Rocket

Ultimate Addons

Perfmatter

Funnel Kit

AIOS

Astra PRO

ACF

Essential Addons

WP Forms

UpdraftPlus

Ver mais

Extensões

FULL CRM

FULL Widget

FULL WooEm breve

FULL Pop-upEm breve

FULL SecurityEm breve

FULL NPSEm breve

FULL Update

FULL Social Proof

FULL AnalyticsEm breve

FULL Templates

FULL Creator AIEm breve

FULL BackupEm breve

FULL Safe Login

FULL SMTP

FULL MonitorEm breve

FULL SpeedEm breve

FULL CacheEm breve

FULL Whitelabel

Ver mais

Painéis personalizados

Um novo nível de controle para o WordPress. Acompanhe métricas, automações e evolução do seu site em um único painel visual.

Saiba mais

A força por trás de grandes marcas

Para agências, estúdios e profissionais independentes que desejam oferecer soluções de alto nível com sua própria marca.

Saiba mais
  • Diagnóstico
CRO Auditor
Performance Auditor
SEO Auditor
FULL Scan Speed
FULL Scan Security
  • Ferramentas grátis
Gerador de UTM
Link WhatsApp
Botão Flutuante do WhatsApp
Link de Avaliações no Google
Notificação de Prova Social
Links para Maps, Uber e Waze
Gerador de LLM.txt
Botão de Agendamento
  • Conteúdo e suporte
Blog da Full
Central de Ajuda
Suporte Técnico
Documentação
  • A Full Services
Sobre nós
Depoimentos
Sala de Imprensa
Cases de sucesso
Reconhecimentos e Parcerias
Responsabilidade Social
Agências parceiras
Afiliados
Roadmap
Planos
Comece agora
Login