# Como corrigir o conflito de backup entre o AIOS e o UpdraftPlus no WordPress

O conflito de backup do AIOS UpdraftPlus acontece quando o firewall, a prevenção de força bruta por cookie ou o scanner de alterações do All in One Security bloqueiam as requisições e os arquivos que o UpdraftPlus precisa para concluir o backup.

## O que é conflito de backup AIOS UpdraftPlus?

O conflito de backup AIOS UpdraftPlus surge quando o All In One Security (AIOS) e o UpdraftPlus disputam o mesmo terreno: arquivos, requisições agendadas e regras de servidor. O AIOS adiciona regras no .htaccess, protege o login com prevenção de força bruta por cookie e monitora alterações de arquivos. O UpdraftPlus, por sua vez, dispara o wp-cron, grava arquivos compactados em wp-content/updraft e usa admin-ajax para processar o backup em lotes. Quando uma trava do AIOS atinge esse fluxo, o backup falha, trava no meio ou nunca é agendado.

Na prática, o sintoma não é um erro fatal do WordPress, e sim um backup incompleto ou silenciosamente bloqueado. A prevenção de força bruta por cookie do AIOS, conforme a documentação oficial, deposita um cookie secreto e redireciona quem não o tem para outra URL ou IP. Quando uma rotina de fundo do UpdraftPlus chama um endpoint protegido sem esse cookie, ela é redirecionada e o backup quebra. Some-se a isso o scanner de alterações de arquivo, que reage ao volume de arquivos que o UpdraftPlus cria a cada execução, e o conflito fica completo.

## Como identificar

- O UpdraftPlus para no meio com a mensagem 'The backup apparently succeeded and is now complete' nunca aparecendo, ou exibe 'Warning: Your free disk space is very low' / 'The backup directory is not writable'.
- O log do UpdraftPlus mostra 'An error occurred when fetching the backup file' ou 'Error: HTTP error code returned' ao tentar baixar ou processar pedaços do backup.
- O backup agendado simplesmente não roda no horário previsto e a tela do UpdraftPlus indica 'Nothing currently scheduled' mesmo com agendamento configurado.
- O All In One Security envia o aviso 'File change detected' (alterações de arquivo detectadas) logo após cada execução de backup, listando dezenas de arquivos novos em wp-content/updraft.
- Ao tentar disparar o backup manualmente, a janela de progresso fica parada em 'Created database dump' ou 'Backup of files' e não avança, exigindo recarregar a página.

**Antes de começar:** Antes de editar o .htaccess ou desligar proteções do AIOS, faça um backup completo do site (arquivos e banco) e, de preferência, teste primeiro em staging. Mexer no .htaccess errado pode derrubar o site inteiro, e desativar o firewall expõe o login durante o ajuste; reative as proteções assim que o backup voltar a funcionar.

## Como prevenir

- Sempre que ativar uma nova proteção do AIOS, rode um backup manual no UpdraftPlus logo em seguida para flagrar o conflito antes que ele atinja o agendamento automático.
- Mantenha o IP do servidor (loopback do wp-cron) na whitelist do AIOS de forma permanente, para que rotinas de fundo legítimas não sejam tratadas como ataque.
- Configure o File Change Detection do AIOS para ignorar wp-content/updraft desde o início, evitando alertas em massa e disputa de recursos a cada backup.
- Documente quais funções do AIOS estão ativas e revise-as após cada atualização do plugin, já que mudanças nas regras de firewall podem reintroduzir o bloqueio.
- Considere disparar o backup por WP-CLI ou por um cron real do servidor em vez do wp-cron via HTTP, removendo a requisição web que o AIOS costuma barrar.

Erros relacionados

- [Como proteger contra ataques de forca bruta no login](https://full.services/wp-fixer/proteger-forca-bruta-login-wordpress/)
- [Como corrigir permissões de arquivos e pastas (644/755)](https://full.services/wp-fixer/corrigir-permissoes-arquivos-wordpress/)
- [Como desativar o XML-RPC com segurança](https://full.services/wp-fixer/desativar-xmlrpc-wordpress/)

## Causa

- A prevenção de força bruta por cookie do AIOS está ativa: ela redireciona qualquer requisição sem o cookie secreto para outra URL, e as chamadas internas do UpdraftPlus ao admin-ajax e ao wp-login disparadas por wp-cron chegam sem esse cookie, sendo barradas antes de concluir o backup (comportamento descrito na documentação oficial do AIOS).
- O scanner de alterações de arquivo (File Change Detection) do AIOS reage ao volume de arquivos zip e de banco que o UpdraftPlus grava em wp-content/updraft a cada execução, gerando alertas em massa e, em servidores limitados, competindo por recursos durante o backup.
- As regras de firewall .htaccess do AIOS que negam acesso a determinados arquivos e bloqueiam listagem de diretório atingem a pasta wp-content/updraft, impedindo o UpdraftPlus de ler ou regravar os pedaços do backup que ele cria.
- A opção do AIOS de bloquear acesso ao arquivo debug.log e de impedir execução em diretórios sensíveis derruba as requisições de fundo que o UpdraftPlus usa para retomar um backup interrompido em lotes (resumption via admin-ajax).
- O AIOS limita a taxa de requisições de login e de 404 (404 detection / lockout) e marca o IP do próprio servidor, usado pelo wp-cron loopback, como abusivo, travando o disparo automático do backup agendado.

## Como resolver

1. Confirme que o AIOS é a causa desativando-o temporariamente: Antes de mexer em regras, desative o All In One Security e rode um backup manual no UpdraftPlus. Se o backup concluir, o conflito está confirmado no AIOS e você parte para liberar apenas o que o UpdraftPlus precisa.

```
Painel WP -> Plugins -> Plugins Instalados
Desative 'All-In-One Security (AIOS)' e rode UpdraftPlus -> Fazer backup agora
Reative o AIOS após o teste para seguir com os ajustes finos
```

2. Adicione o IP do servidor à whitelist do firewall do AIOS: O wp-cron do UpdraftPlus chama o site a partir do próprio servidor (loopback). Libere esse IP na lista de permissões do AIOS para que as requisições de backup não sejam tratadas como tráfego suspeito.

```
Painel WP -> WP Security -> Firewall -> Whitelist (Lista de Permissões)
Adicione o IP do servidor (descubra em WP Security -> Dashboard ou peça à hospedagem)
Salve as configurações e teste um backup manual
```

3. Ajuste a prevenção de força bruta por cookie: Essa proteção redireciona requisições sem o cookie secreto e quebra as chamadas internas do UpdraftPlus. Desative-a temporariamente para validar e, se confirmar, mantenha o login renomeado em vez dela ou libere os endpoints de fundo.

```
Painel WP -> WP Security -> Brute Force -> Cookie Based Brute Force Prevention
Desative 'Enable Brute Force Attack Prevention' e rode o backup
Se resolver, prefira 'Rename Login Page' como alternativa de proteção
```

4. Exclua a pasta de backup do scanner de alterações de arquivo: O File Change Detection do AIOS dispara alertas a cada zip que o UpdraftPlus cria. Aumente o intervalo do scan ou ignore a pasta wp-content/updraft para parar os falsos positivos e a disputa por recursos.

```
Painel WP -> WP Security -> Scanner -> File Change Detection
No campo de arquivos/pastas a ignorar, adicione: wp-content/updraft
Aumente o intervalo de verificação (ex.: de diário para semanal)
```

5. Garanta acesso à pasta wp-content/updraft no .htaccess: Se as regras .htaccess do AIOS negarem leitura ou listagem na pasta de backup, o UpdraftPlus não recompõe os pedaços. Adicione uma exceção explícita liberando a pasta para o próprio site, sempre via FTP e com backup do .htaccess antes.

```
Acesse o site por FTP ou Gerenciador de Arquivos e baixe uma cópia do .htaccess da raiz
Confira se há um bloco do AIOS negando acesso à pasta de uploads/updraft
Adicione a exceção do passo de código abaixo e salve, mantendo o backup do arquivo original
```

6. Reative tudo e valide um backup completo agendado: Com as exceções no lugar, reative o AIOS por inteiro e force um backup, depois confirme que o agendamento automático roda no horário. Acompanhe o log do UpdraftPlus para garantir que nenhuma etapa volta a ser bloqueada.

```
Painel WP -> UpdraftPlus -> Configurações -> defina o agendamento e salve
Rode 'Fazer backup agora' e acompanhe UpdraftPlus -> Última mensagem de log
Aguarde o próximo ciclo agendado e confirme o backup completo na aba 'Backups existentes'
```


## Código

```apache
# .htaccess da raiz do WordPress
# Libera a pasta de backup do UpdraftPlus de regras restritivas do AIOS.
# Coloque ANTES do bloco "# BEGIN All In One WP Security".
<IfModule mod_authz_core.c>
    # Apache 2.4+
    <Files "*.zip">
        Require all granted
    </Files>
</IfModule>
<IfModule !mod_authz_core.c>
    # Apache 2.2
    <Files "*.zip">
        Order allow,deny
        Allow from all
    </Files>
</IfModule>

# Permite a listagem/leitura da pasta de backups do UpdraftPlus
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{REQUEST_URI} ^/wp-content/updraft/ [NC]
    RewriteRule .* - [L]
</IfModule>
```

## Perguntas frequentes

### Por que o UpdraftPlus para de funcionar depois que instalo o All In One Security

Porque o AIOS adiciona camadas que atravessam o fluxo do backup: firewall no .htaccess, prevenção de força bruta por cookie e scanner de alterações de arquivo. Uma dessas travas bloqueia as requisições de fundo ou o acesso à pasta wp-content/updraft, fazendo o UpdraftPlus parar no meio ou nem agendar.

### A prevenção de força bruta por cookie do AIOS quebra o backup

Pode quebrar. Segundo a documentação do AIOS, essa proteção deposita um cookie secreto e redireciona quem não o tem para outra URL ou IP. As chamadas internas do UpdraftPlus disparadas pelo wp-cron chegam sem esse cookie e são redirecionadas, interrompendo o backup. Desative-a para testar ou use o login renomeado no lugar.

### Como libero o UpdraftPlus no firewall do AIOS sem desligar a segurança

Adicione o IP do servidor (o loopback usado pelo wp-cron) à whitelist do AIOS e crie uma exceção no scanner para a pasta wp-content/updraft. Assim você mantém o firewall e o monitoramento ativos para visitantes, mas libera o tráfego legítimo do backup.

### Preciso desativar o All In One Security toda vez que for fazer backup

Não. Desativar o AIOS serve apenas para confirmar que ele é a causa. A solução definitiva é liberar o IP do servidor na whitelist, ajustar a proteção de login e excluir a pasta de backup do scanner, deixando as duas proteções convivendo sem desligar nada de forma permanente.

### O scanner de alterações de arquivo do AIOS atrapalha o UpdraftPlus

Sim, de forma indireta. O File Change Detection reage aos vários arquivos zip e de banco que o UpdraftPlus grava a cada execução, gerando alertas em massa e competindo por recursos em servidores limitados. Configurar o scanner para ignorar wp-content/updraft resolve esse atrito.

### O backup agendado não roda mais, mas o manual funciona. Por quê

O backup agendado depende do wp-cron, que chama o site a partir do próprio servidor. Se o AIOS marcar esse IP de loopback como suspeito por limites de requisição ou 404, o disparo automático é bloqueado. Coloque o IP do servidor na whitelist ou use um cron real do servidor para o agendamento voltar.

### Editar o .htaccess para liberar a pasta de backup é seguro

É seguro se você fizer com cuidado: baixe uma cópia do .htaccess antes, adicione apenas a exceção da pasta wp-content/updraft e teste em staging quando possível. Um erro de sintaxe no .htaccess pode derrubar o site inteiro, então mantenha sempre o arquivo original guardado para reverter.

### Posso usar WP-CLI para evitar o conflito entre AIOS e UpdraftPlus

Sim. Disparar o backup por WP-CLI ou por um cron real do servidor remove a requisição HTTP que o wp-cron faz e que o AIOS costuma barrar. Isso contorna a maior parte das travas de firewall e de força bruta, já que o processo roda direto no servidor, sem passar pela camada web protegida.

**Fonte:** [All In One Security (AIOS) — How to use cookie-based brute force login attack prevention](https://teamupdraft.com/documentation/all-in-one-security/faqs/how-to-use-cookie-based-brute-force-login-attack-prevention-feature/)