# Como corrigir o bloqueio de spam de comentários no All in One Security O bloqueio de spam de comentários no AIOS falha quando a prevenção de spam fica desativada, o monitoramento de IP por comentário de spam não está ligado, ou outro plugin assume a moderação dos comentários antes do All in One Security agir. ## O que é bloqueio de spam de comentários no AIOS? O AIOS spam comentários é o conjunto de recursos de Spam Prevention do plugin All in One Security, acessado em WP Security -> Spam Prevention. Ele tem duas frentes: bloquear bots que enviam comentários a partir de outros domínios (sem referer válido para o seu site) e monitorar o IP de cada comentário marcado como spam para bloquear automaticamente endereços que ultrapassem um limite que você define. A doc oficial descreve que o AIOS registra o IP de todo comentário de spam e bloqueia de forma permanente os IPs acima do limite configurado. O problema aparece quando esse bloqueio simplesmente não acontece: o site continua acumulando comentários de spam na fila, nenhum IP é bloqueado, ou o oposto, comentários legítimos deixam de ser registrados. Como o AIOS depende de uma cadeia de configurações ligadas na ordem certa (recurso ativado, monitoramento de IP habilitado, limite definido e prioridade sobre outros plugins de comentário), basta um elo desligado para o spam voltar a passar. ## Como identificar - A fila em Comentários -> Pendentes continua enchendo de comentários de spam mesmo com o All in One Security ativo. - Na aba WP Security -> Spam Prevention -> Comment Spam IP Monitoring a lista de IPs bloqueados fica vazia, mesmo após dezenas de comentários de spam. - Comentários enviados por bots a partir de outros domínios continuam sendo gravados, sem serem barrados pelo bloqueio de comentários sem referer válido. - O contador de comentários de spam não avança e nenhum IP é adicionado automaticamente ao blocklist do firewall. - Comentários legítimos de visitantes reais somem ou caem direto no spam depois de configurar o monitoramento de IP com um limite baixo demais. **Antes de começar:** Antes de editar o .htaccess ou alternar plugins de antispam em produção, faça um backup do site (arquivos e banco de dados) ou teste primeiro em um ambiente de staging, para reverter caso o formulário de comentários pare de aceitar comentários legítimos. ## Como prevenir - Mantenha a prevenção de spam e o Comment Spam IP Monitoring do AIOS sempre ativos e revise o limite de comentários por IP a cada mudança grande de tráfego. - Use um único plugin como fonte da verdade para o spam de comentários, evitando que Akismet e AIOS disputem o mesmo comentário e quebrem o monitoramento de IP. - Adicione Cloudflare Turnstile ou Google reCAPTCHA ao formulário de comentários para barrar bots que trocam de IP a cada envio, complementando o bloqueio por endereço. - Revise periodicamente a lista de IPs bloqueados em Spam Prevention para liberar visitantes legítimos que tenham sido pegos por engano com um limite baixo. Erros relacionados - [Como corrigir o bloqueio de login que não funciona no All in One Security](https://full.services/wp-fixer/corrigir-bloqueio-login-aios/) - [Como corrigir as regras de firewall que não aplicam no All in One Security](https://full.services/wp-fixer/corrigir-firewall-regras-aios/) - [Como corrigir o 404 Lockout que bloqueia visitantes no All in One Security](https://full.services/wp-fixer/corrigir-404-lockout-aios/) ## Causa - A opção de prevenção de spam em WP Security -> Spam Prevention está com o bloqueio de comentários de bots desligado, então o AIOS não barra comentários enviados a partir de outros domínios sem referer válido para o site. - Na aba Comment Spam IP Monitoring o monitoramento de IP por comentário de spam não foi habilitado, ou o campo de limite de comentários de spam por IP ficou em branco, então nenhum endereço é bloqueado automaticamente. - Outro plugin de antispam (como Akismet) marca o comentário como spam e o move antes do AIOS contabilizar o IP, fazendo o monitoramento do All in One Security nunca registrar o endereço para bloquear. - A configuração de comentários do WordPress em Configurações -> Discussão está exigindo aprovação manual de tudo, então o spam fica acumulado como pendente e dá a impressão de que o AIOS parou de bloquear. - As regras do firewall do AIOS não foram gravadas no .htaccess porque o servidor usa Nginx ou o arquivo não tem permissão de escrita, deixando o bloqueio de comentários sem referer sem efeito no servidor. ## Como resolver 1. Ative a prevenção de spam de comentários: No painel, abra a área de prevenção de spam do AIOS e ligue o bloqueio de comentários de bots, que barra comentários enviados a partir de outros domínios sem um referer válido para o seu site. Salve as configurações ao final. ``` Painel WP -> WP Security -> Spam Prevention -> Comment Spam Marque a opção de bloquear comentarios de spambots enviados pelo formulário de comentarios Clique em Save Settings ``` 2. Habilite o Comment Spam IP Monitoring com um limite: Abra a aba de monitoramento de IP por comentário de spam, ative o recurso e defina o número máximo de comentários de spam permitidos por IP antes do bloqueio automático. Um limite entre 3 e 5 evita bloquear visitantes reais por engano. ``` Painel WP -> WP Security -> Spam Prevention -> Comment Spam IP Monitoring Ative o monitoramento de IP por comentario de spam Defina o limite (ex.: 3) no campo de comentarios de spam por IP e salve ``` 3. Evite que outro plugin assuma o spam antes do AIOS: Se o Akismet ou outro antispam estiver ativo, ele pode mover o comentário antes do AIOS contar o IP. Defina quem é a fonte da verdade: ou use só o AIOS para o monitoramento de IP, ou mantenha o Akismet apenas para classificação e confie no firewall do AIOS para o bloqueio. ``` Painel WP -> Plugins -> verifique se Akismet e AIOS estão ambos ativos no fluxo de comentarios Desative temporariamente o Akismet e poste um comentario de teste de outro IP para confirmar que o AIOS registra o endereco ``` 4. Confirme que o firewall gravou as regras no servidor: O bloqueio de comentários sem referer do AIOS depende de uma regra no .htaccess. Verifique se o arquivo existe, tem permissão de escrita e recebeu as regras do plugin. Em servidores Nginx, esse bloqueio por .htaccess não se aplica e o controle precisa vir do monitoramento de IP. ``` Painel WP -> WP Security -> Firewall -> confirme que as regras basicas estão aplicadas Via FTP, abra o .htaccess na raiz e confirme o bloco delimitado por # BEGIN All In One WP Security Garanta permissão 644 no .htaccess para o plugin conseguir escrever as regras ``` 5. Adicione uma camada de CAPTCHA no formulário de comentários: Para spam que vem de IPs sempre novos, o bloqueio por IP não basta. Ative o Cloudflare Turnstile ou o Google reCAPTCHA do AIOS no formulário de comentários para barrar bots na origem, antes mesmo de o comentário ser enviado. ``` Painel WP -> WP Security -> Brute Force -> aba de CAPTCHA (Cloudflare Turnstile ou Google reCAPTCHA) Insira as chaves do provedor e marque o formulário de comentarios como protegido Salve e teste enviando um comentario em uma aba anonima ``` ## Código ```apache # Complementa o AIOS: bloqueia POST no comment form sem referer do proprio dominio # Coloque dentro do .htaccess da raiz, fora dos blocos do plugin. RewriteEngine On RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .wp-comments-post.php* RewriteCond %{HTTP_REFERER} !^https?://(www.)?seudominio.com.br [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule .* - [F,L] ``` ## Perguntas frequentes ### Por que o AIOS continua deixando passar spam de comentários Quase sempre porque a prevenção de spam ou o monitoramento de IP estão desligados em WP Security -> Spam Prevention, ou porque o campo de limite de comentários de spam por IP ficou em branco. Ative os dois recursos e defina um limite para o bloqueio automático passar a funcionar. ### Onde fica a configuração de prevenção de spam no All in One Security No painel, em WP Security -> Spam Prevention. Lá ficam o bloqueio de comentários de spambots e a aba Comment Spam IP Monitoring, onde você habilita o monitoramento e define quantos comentários de spam um IP pode enviar antes de ser bloqueado. ### Como o AIOS bloqueia um IP que envia spam de comentários Segundo a documentação oficial, o AIOS registra o IP de cada comentário marcado como spam e bloqueia de forma permanente os endereços que ultrapassam o limite que você configurou. O bloqueio entra no blocklist do firewall e impede novos envios daquele IP. ### O Akismet pode atrapalhar o monitoramento de spam do AIOS Sim. Se o Akismet move o comentário para spam antes do AIOS contabilizar o IP, o monitoramento do All in One Security pode nunca registrar o endereço para bloquear. Escolha um plugin como fonte da verdade do monitoramento de IP para evitar o conflito. ### O bloqueio de comentários sem referer do AIOS funciona em Nginx Esse bloqueio depende de uma regra no .htaccess, que o Nginx não lê. Em servidores Nginx, confie no Comment Spam IP Monitoring e no CAPTCHA do formulário de comentários, que não dependem do .htaccess para barrar o spam. ### Qual limite de comentários de spam por IP devo usar no AIOS Um limite entre 3 e 5 costuma equilibrar bem. Valores muito baixos podem bloquear visitantes reais que comentam de uma rede compartilhada, enquanto valores altos demais deixam o spam passar por mais tempo antes do bloqueio automático. ### Preciso da versão paga do AIOS para bloquear spam de comentários Não. A documentação indica que a proteção principal contra spam de comentários, incluindo o monitoramento de IP e o bloqueio automático, faz parte dos recursos gratuitos. A versão Premium adiciona camadas extras como varredura de malware, mas não é obrigatória para esse bloqueio. ### Por que comentários legítimos pararam de aparecer depois de configurar o AIOS Em geral o limite de comentários de spam por IP ficou baixo demais e bloqueou um endereço usado por visitantes reais, ou a discussão do WordPress está exigindo aprovação manual de tudo. Revise o limite em Spam Prevention e a configuração em Configurações -> Discussão. **Fonte:** [All in One Security (AIOS) — Spam Prevention](https://teamupdraft.com/all-in-one-security/wordpress-spam-blocker/)