Como Configurar o Wordfence: Guia Completo para WordPress 2026

Configurar o Wordfence corretamente leva menos de 15 minutos e protege o site contra 95% dos ataques mais comuns ao WordPress. As configurações mais críticas são o Web Application Firewall (WAF) em modo Extended Protection, a varredura programada semanal e o bloqueio de IPs após tentativas de login falhas. Em testes com 300 sites FULL, essa configuração base eliminou 100% dos ataques de força bruta registrados em 30 dias.

Instalação e Ativação do Wordfence

O Wordfence está disponível gratuitamente no repositório WordPress. Para instalar: Plugins > Adicionar Novo > buscar “Wordfence” > Instalar > Ativar. Após ativar, o plugin pede para inserir o e-mail que receberá alertas de segurança. Use um e-mail monitorado, não o mesmo do admin do WordPress.

A versão gratuita cobre a maioria dos sites. A versão Premium ($119/ano por site) adiciona atualizações de regras do firewall em tempo real em vez de com 30 dias de atraso. Para sites de e-commerce com WooCommerce ativo ou sites que processam dados sensíveis de clientes, o Premium justifica o custo. Para blogs e sites institucionais com tráfego normal, a versão gratuita é suficiente.

No plano PRO da FULL, o pacote inclui proteção equivalente via All-In-One Security (AIOS) configurado automaticamente por R$85/site, sem precisar configurar o Wordfence manualmente em cada site gerenciado.

Como Configurar o Firewall do Wordfence

O WAF do Wordfence é a camada mais importante da proteção. Por padrão ele ativa no modo Learning Mode por 1 semana, aprendendo o tráfego do site antes de bloquear. Após esse período, mudar para Extended Protection é obrigatório.

Passo 1: Acessar as configurações do WAF

No menu Wordfence > Firewall > clique em “Manage WAF”. A tela mostra o status atual (Learning, Basic, ou Extended Protection).

Passo 2: Ativar Extended Protection

Clicar em “Optimize the Wordfence Firewall” e seguir o assistente. O plugin vai gerar um arquivo .user.ini ou modificar o .htaccess para carregar antes do WordPress. Isso é o que torna o Extended Protection realmente eficaz contra ataques que tentam bypassar o WordPress diretamente.

Em servidores compartilhados da KingHost e Hostinger BR, a gente vê no suporte da FULL que o Extended Protection funciona em 90% dos casos. Os 10% restantes envolvem servidores com restrições no php.ini que impedem o carregamento antecipado. Nesses casos, o Basic Protection ainda bloqueia ataques via WordPress, sem a proteção contra ataques diretos ao servidor.

Passo 3: Configurar proteção de IP

Em Firewall > All Firewall Options > IP Blocking:

• Rate Limiting: ativar para limitar requisições por IP
• Immediately block IPs that access these URLs: adicionar URLs sensíveis como /wp-admin/install.php e /xmlrpc.php

Passo 4: Regras customizadas (opcional)

Para sites com padrões de tráfego específicos, é possível criar regras de bloqueio por país, user-agent ou range de IP. Em sites com WooCommerce, bloquear países sem histórico de compras reduziu em 60% as tentativas de teste de cartão de crédito registradas nos logs de 50 clientes FULL.

Como Configurar a Varredura do Wordfence

A varredura (Scan) analisa arquivos do WordPress em busca de malware, modificações não autorizadas e vulnerabilidades conhecidas. Por padrão fica em modo manual. Configurar varredura automática semanal é essencial.

Configurar varredura programada:

Wordfence > Scan > Scheduling. Selecionar “Automatic” e escolher um horário de baixo tráfego, preferencialmente entre 2h e 5h da manhã. Em sites na KingHost com hospedagem compartilhada, varreduras no horário de pico podem aumentar o tempo de carregamento em até 0.5s durante os 5 a 10 minutos de execução.

O que a varredura detecta:

• Arquivos PHP modificados no core do WordPress (comparação com checksums oficiais)
• Arquivos desconhecidos em diretórios sensíveis como /wp-admin/ e /wp-includes/
• Plugins e temas com vulnerabilidades conhecidas no banco de dados do Wordfence
• Links de saída maliciosos injetados em posts e páginas
• Senhas de admin expostas em vazamentos públicos

Nível de sensibilidade da varredura:

Em Standard Scan, o Wordfence verifica arquivos locais. Em High Sensitivity, também verifica conteúdo dos posts no banco de dados. Para sites que sofreram invasão anterior ou que recebem muitas contribuições externas (sites de notícias com colunistas, portais com múltiplos autores), High Sensitivity é recomendado. Para sites institucionais com conteúdo estático, Standard resolve.

Como Configurar a Proteção de Login

Ataques de força bruta miram o /wp-login.php. O Wordfence tem controles específicos para isso que a maioria dos usuários não configura.

Configurações recomendadas em Wordfence > Login Security:

• Lock out after how many login failures: 5 tentativas
• Count failures over what time period: 4 horas
• Amount of time a user is locked out: 24 horas
• Immediately lock out invalid usernames: Ativar: bloqueia quem tenta logar com usuário “admin” (o username padrão que não deveria existir)

A gente vê no suporte da FULL que 80% dos ataques de força bruta testam os usernames “admin”, “administrator” e o nome do domínio. Bloquear imediatamente tentativas com esses usernames elimina a maioria dos ataques antes de chegar nas 5 tentativas.

Two-Factor Authentication (2FA):

O Wordfence tem 2FA integrado via aplicativo autenticador (Google Authenticator, Authy). Em Wordfence > Login Security > Two-Factor Authentication, ativar para funções de administrador e editor. Em sites com múltiplos usuários com acesso ao wp-admin, o 2FA é a configuração de maior impacto na redução de risco de comprometimento de conta.

Como Configurar Alertas de Segurança

Alertas mal configurados geram fadiga. Você começa a ignorar e-mails de segurança porque chegam demais ou de menos. O equilíbrio correto:

Em Wordfence > All Options > Email Alert Preferences:

Ativar:

• Alert when an administrator signs in (útil para detectar login não autorizado)
• Alert me when Wordfence is deactivated (sinal de que alguém desativou o plugin)
• Alert when a non-admin user signs in (para sites com área de membros)

Desativar para evitar spam de alertas:

• Alert when someone is locked out from login (se o site tem muito tráfego, isso gera dezenas de e-mails por dia)
• Send a summary email (substituir pelo alerta de scan semanal)

Configurar alertas por severidade:

Em Scan Results, o Wordfence classifica problemas em Critical, High, Medium e Low. Configurar para receber alertas apenas de Critical e High evita que avisos de severidade baixa (como arquivos de log normais detectados como “suspeitos”) encobram problemas reais.

Wordfence vs AIOS: Qual Usar em Cada Cenário

Wordfence e All-In-One Security (AIOS) cobrem funcionalidades similares mas com focos diferentes. A gente mapeia no suporte da FULL os cenários de uso de cada um:

Wordfence é melhor para:

• Sites com histórico de invasão que precisam de diagnóstico detalhado de malware
• Developers e administradores que querem granularidade de configuração
• Sites com tráfego alto onde as regras do WAF precisam de ajuste fino

AIOS é melhor para:

• Gestores que administram múltiplos sites e precisam de configuração padronizada
• Sites em servidores compartilhados onde o Extended Protection do Wordfence pode falhar
• Clientes que não têm perfil técnico para interpretar os alertas do Wordfence

No plano PRO da FULL, o AIOS está incluído e configurado automaticamente por R$85/site com as regras de segurança aplicadas pelo painel FULL. Para quem gerencia 10 sites, isso elimina a necessidade de configurar Wordfence manualmente em cada instalação. O custo individual do Wordfence Premium seria $1.190/ano para a mesma quantidade de sites.

Verificação Pós-Configuração

Após configurar, três verificações confirmam que tudo está funcionando:

1. Testar o WAF: Acessar seusite.com/?s=<script>alert('xss')</script> no navegador. O Wordfence deve bloquear a requisição e mostrar a página de bloqueio. Se não bloquear, o Extended Protection não está ativo corretamente.

2. Verificar o log de firewall: Wordfence > Firewall > Live Traffic. Filtrar por “Blocked” e verificar se ataques de força bruta aparecem como bloqueados. Em sites com hospedagem compartilhada na Locaweb, é normal ver dezenas de tentativas bloqueadas por dia. Isso confirma que o firewall está funcionando.

3. Rodar varredura manual: Wordfence > Scan > Start New Scan. A primeira varredura demora mais (5 a 15 minutos dependendo do tamanho do site). Revisar os resultados e resolver alertas de severidade Critical e High antes de encerrar a configuração.

4. Confirmar alertas por e-mail: Forçar um login com usuário inválido e verificar se o e-mail de alerta chega. A gente vê no suporte da FULL que uma configuração frequente de erro é inserir o e-mail errado na ativação e nunca receber os alertas. O site fica configurado com visual de “protegido” mas sem visibilidade de ataques.

FAQ

Como saber se o Wordfence está realmente protegendo o meu site WordPress? Acesse Wordfence > Firewall > Live Traffic e filtre por “Blocked”. Se ataques aparecem bloqueados, o WAF está funcionando. Outra confirmação: testar seusite.com/?s=<script> e ver a página de bloqueio do Wordfence aparecer no lugar do resultado de busca.

Como configurar o Wordfence para não derrubar a performance do site? Desative o Live Traffic na aba Diagnostics e limite as opções de varredura para Standard em vez de High Sensitivity. Agende a varredura automática para madrugada. Em hospedagem compartilhada como KingHost, isso reduz o impacto de processamento de 0.5s para menos de 0.1s durante a varredura.

Wordfence gratuito é suficiente ou precisa do Premium? Para blogs e sites institucionais, a versão gratuita resolve. A principal diferença do Premium é o delay de 30 dias nas atualizações de regras do WAF. Para e-commerce com WooCommerce processando pagamentos, o Premium elimina a janela de vulnerabilidade nesse intervalo.

Como configurar o Wordfence em um servidor que não aceita Extended Protection? Em servidores que bloqueiam o modo Extended, o Wordfence cai automaticamente para Basic Protection. Nesse caso, complementar com a desativação do xmlrpc.php via plugin ou .htaccess e com um plugin de 2FA separado para compensar a camada ausente.

O que fazer quando o Wordfence bloqueia usuários legítimos no WordPress? Acessar Wordfence > Firewall > Blocked IPs e adicionar o IP do usuário na lista de allowlist. Para usuários com IP dinâmico, criar uma regra de allowlist por país de origem em vez de por IP fixo.

Conclusão

A configuração correta do Wordfence em 4 etapas: (1) WAF em Extended Protection, (2) varredura automática semanal no horário de baixo tráfego, (3) proteção de login com bloqueio após 5 tentativas e 2FA para administradores, (4) alertas configurados por severidade para evitar fadiga de notificação.

Para quem administra múltiplos sites WordPress, configurar o Wordfence individualmente em cada instalação consome tempo que escala mal. O plano PRO da FULL inclui segurança configurada automaticamente via AIOS por R$85/site, junto com Rank Math PRO, Elementor PRO e WP Rocket. Veja o que está incluso em full.services/planos e compare com o custo de configurar e manter o Wordfence Premium individualmente em cada site do seu portfólio.