A enumeração de usuários é a técnica de descobrir os logins válidos de um WordPress antes de atacar. Segundo o Cloudflare Radar (2026), 16,4% dos ataques de aplicação no Brasil exigem mitigação por WAF. O vetor mais comum vaza o login pela URL ?author=1 em milissegundos. Fechar esses quatro caminhos derruba a base de quase todo ataque de senha.
A enumeração de usuários é o passo de reconhecimento em que um atacante lista os nomes de login reais de um site WordPress para depois mirar senhas. O WordPress, por padrão, expõe esses logins em pelo menos quatro lugares: o arquivo de autor (?author=N), a REST API, a página de login e os feeds. Sem o login, um ataque de senha precisa adivinhar duas variáveis; com o login em mãos, sobra só uma. Por isso bloquear a enumeração de usuários é a base de qualquer plano de proteção, e é o primeiro item que a gente revisa no suporte da FULL. Este guia faz parte do nosso guias de segurança WordPress da FULL.
O que é enumeração de usuários no WordPress
A enumeração de usuários no WordPress é o processo de mapear, sem autenticação, quais dos nomes de login existem no site, e basta 1 requisição para começar. Em um WordPress recém-instalado, abrir seusite.com/?author=1 faz o servidor redirecionar à URL do autor e revelar o nicename do primeiro usuário em menos de 1 segundo, quase sempre o administrador.
Não há invasão aqui: o atacante só lê informação que o próprio WordPress pública. O problema é o que vem depois. Com o login confirmado, o invasor para de chutar nomes e concentra todo o poder de fogo em adivinhar a senha. Em campo, a maioria das tentativas de brute force que chegam ao suporte começou com uma enumeração de usuários silenciosa horas antes. É reconhecimento, não dano direto, mas é o que torna o dano viável.
Os 4 vetores de enumeração de usuários
São 4 os caminhos que tornam a enumeração de usuários trivial no WordPress padrão, e cada um exige um bloqueio diferente. O vetor mais barato é o author archive: varrer ?author=1 até ?author=20 enumera 20 contas em segundos. O segundo é a REST API, que serve a lista em JSON estruturado. Os outros dois são mensagens de erro do login e os autores expostos nos feeds RSS.
| Vetor | Como expõe o login | Bloqueio recomendado |
|---|---|---|
| Author archive | ?author=N redireciona e revela o nicename do autor | Regra no firewall ou All in One Security |
| REST API | /wp/v2/users lista contas em JSON | Restringir o endpoint a usuários logados |
| Erro de login | Mensagem confirma se o login existe | Mensagem de erro genérica |
| Feeds RSS | display_name do autor aparece no feed | display_name diferente do login |
Legenda: os quatro caminhos por onde o WordPress vaza logins, cada um com bloqueio próprio.
Por que a REST API agrava a enumeração de usuários
A REST API transformou a enumeração de usuários de tarefa manual em consulta de 1 linha. Desde o WordPress 4.7, em , o endpoint /wp/v2/users responde, sem login, com um JSON contendo id, name e slug de cada autor que já publicou, pronto para script.
Onde o ?author=N exige varrer número por número, a REST API entrega a lista inteira de uma vez. Pior: ela expõe o slug, que costuma ser idêntico ao login real. Plugins que manipulam contas herdam esse risco. A falha CVE-2024-1071 no UltimateMember (CVSS 9.8, corrigida na versão 2.8.3, registrada no NVD) é um lembrete de que endpoints de usuário mal protegidos viram porta de entrada. Por isso fechar a REST API de usuários é o segundo passo, logo após bloquear o author archive.
O risco real: Enumeração de usuários alimenta o brute force
A enumeração de usuários sozinha não derruba um site, mas reduz a 1 variável o que era um ataque de 2 incógnitas. No Brasil, segundo o Cloudflare Radar (janela de 2026-06-09), 16,4% dos ataques de camada de aplicação foram mitigados por WAF e 82,4% eram DDoS, sinal de que boa parte do tráfego hostil bate direto na aplicação, onde mora o login.
Um invasor que já conhece o admin confirmado por enumeração de usuários gasta toda a tentativa em senha, e não em adivinhar o nome. Historicamente, plugins de estatística como o WP Statistics acumularam falhas críticas (a CVE-2022-25148 atingiu CVSS 9.8, corrigida na 13.1.6 e catalogada no NVD), todas já corrigidas hoje, o que reforça que o risco atual mora na configuração exposta, não no histórico. Quem trata a enumeração de usuários como ruído subestima o reconhecimento.
Como bloquear a enumeração de usuários em camadas
Bloquear a enumeração de usuários no WordPress exige fechar os 4 vetores, não 1 só, e o ganho aparece em menos de 5 minutos de configuração. A rotina que a gente recomenda no suporte da FULL combina firewall e plugin de segurança em 2 camadas, porque cada vetor responde a uma defesa diferente.
Feche o author archive e a REST API
O primeiro bloqueio neutraliza ?author=N e o endpoint de usuários. O All in One Security, incluído no plano PRO da FULL, traz a opção “Prevent User Enumeration” que intercepta ambos os caminhos em um clique. Quem prefere regra manual pode negar a query author no firewall de borda. Veja também como restringir a REST API do WordPress a usuários autenticados, fechando o JSON de contas.
Padronize erros e nomes de exibição
O segundo bloqueio corta os vazamentos sutis. Configure a mensagem de login para ser genérica, de modo que ela não confirme se o usuário existe, e garanta que o display_name (o nome público) seja diferente do user_login. Combine isso com limitar tentativas de login e defesa contra força bruta para que, mesmo com um login vazado, o ataque de senha morra na primeira dezena de tentativas.
A camada de proteção da FULL contra enumeração de usuários
Bloquear a enumeração de usuários nos 150 mil sites WordPress que a plataforma FULL monitora é o ponto onde a escala importa. Quem escreve este guia tem autoridade direta sobre o assunto: a FULL é a única empresa brasileira reconhecida como CNA (CVE Numbering Authority) sob a CISA desde , autorizada a atribuir IDs CVE oficiais.
Nesses 150 mil sites, o All in One Security já entra com a prevenção de enumeração de usuários ativa por padrão. O plano PRO custa R$849,90 e inclui esse e mais 16 plugins premium; dividido pelos 10 sites do plano, dá R$85 por site, contra a soma das licenças avulsas. Conheça os planos da FULL. Para um diagnóstico imediato, rode o FULL Scan e veja se algum plugin está exposto, ou consulte o repositório de vulnerabilidades.
Perguntas frequentes sobre enumeração de usuários
É possível bloquear a enumeração de usuários sem editar código manualmente?
Sim. O All in One Security traz a opção “Prevent User Enumeration” que fecha o author archive e a REST API em um clique, sem tocar no functions.php nem no .htaccess. É a rota recomendada para quem não quer editar código. A regra manual no firewall continua disponível como alternativa para quem administra muitos sites e prefere padronizar a defesa fora do WordPress.
Por que o WordPress expõe os logins por padrão na URL de autor?
O WordPress expõe o autor porque o arquivo ?author=N nasceu como recurso de blog em 2005, anterior aos ataques automatizados. O redirecionamento revela o nicename como efeito colateral de design legado, não um bug. A recomendação prática é tratar isso como configuração padrão insegura: ative a prevenção de enumeração no All in One Security ou no firewall, porque o core não vai corrigir esse comportamento por compatibilidade.
Qual a diferença entre vazar o login e vazar o nome de exibição?
O user_login é o nome usado para autenticar; o display_name é o rótulo público que aparece nos posts. O perigo real está em vazar o user_login, porque ele é metade do par de credenciais. Quando os dois são iguais, a enumeração de usuários entrega o login direto. Manter o display_name diferente do user_login é uma defesa barata que quebra essa equivalência.
Como confirmar que a enumeração de usuários foi realmente bloqueada?
Abra `seusite.com/?author=1` e `seusite.com/wp-json/wp/v2/users` em uma aba anônima. Se o primeiro não redirecionar para a URL do autor e o segundo retornar erro 401 ou lista vazia, o bloqueio funcionou. O FULL Scan automatiza essa verificação em todos os sites do painel de uma vez, o que evita testar URL por URL manualmente em ambientes com dezenas de instalações.
A enumeração de usuários afeta sites pequenos ou só portais grandes?
Afeta todos, e os pequenos costumam sofrer mais. Bots varrem a internet sem escolher alvo: um blog com um único autor admin é tão enumerável quanto um portal. A maioria dos sites comprometidos que chegam ao suporte da FULL é de pequeno porte, justamente por não ter a camada de bloqueio ativa. A enumeração de usuários é automatizada e não discrimina tamanho.
Próximos passos para fechar a superfície de ataque
Tratar a enumeração de usuários como o ponto zero da segurança muda a ordem das prioridades: antes de senha forte ou 2FA, vem esconder quem são os logins. Feche os quatro vetores, valide com uma aba anônima e mantenha a camada ativa em todos os sites. Para continuar aprendendo, o guia de segurança para WordPress reúne os tutoriais de hardening em sequência, e o FULL Academy organiza tudo em um só lugar.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
