# LGPD no WordPress: Os 5 pilares de conformidade

A <strong>LGPD</strong> obriga todo site WordPress a ter base legal, consentimento e segurança para tratar dados pessoais. Segundo a <a href="https://www.gov.br/anpd/pt-br">ANPD (2024)</a>, a lei vale para qualquer tratamento feito no Brasil, sem isenção por porte. O risco real mora no formulário que grava IP sem amparo, não só no banner de cookie. Comece mapeando onde o site coleta dado pessoal.

A LGPD é a Lei Geral de Proteção de Dados (Lei 13.709), que regula como qualquer site trata dado pessoal de visitantes brasileiros. No WordPress, isso vai muito além de um banner de cookie: o core já grava IP em comentários, o formulário de contato guarda nome e e-mail, e o WooCommerce armazena endereço e CPF. Adequar o site à LGPD significa declarar uma base legal para cada coleta, dar ao titular controle sobre os dados e proteger o que foi guardado. Este guia destrincha os 5 pilares de conformidade da LGPD para quem opera no WordPress, com apoio dos <a href="https://full.services/seguranca-wordpress/">guias de segurança WordPress da FULL</a>.

---

## O que a LGPD exige de um site WordPress

A LGPD exige que todo tratamento de dado pessoal tenha uma das 10 bases legais do artigo 7 da Lei 13.709, sendo consentimento e legítimo interesse as mais comuns em sites. Segundo a <a href="https://www.gov.br/anpd/pt-br" rel="noopener" target="_blank">ANPD</a>, não existe isenção por porte: um blog pessoal e uma loja WooCommerce respondem pela mesma lei.

O site precisa saber qual dado coleta, por que coleta e por quanto tempo guarda. Nos tickets da FULL, a confusão começa aqui: o dono acha que LGPD é só cookie, quando o problema está no banco de dados. O primeiro passo da conformidade é o mapeamento: listar formulários, plugins de analytics, integrações de e-mail e o próprio comentário do WordPress, que grava IP por padrão. Sem esse inventário, qualquer banner vira teatro de conformidade.

<p class="wp-caption-text">Legenda: o mapeamento mostra que a maioria dos sites trata dado pessoal em três pontos antes mesmo de instalar qualquer plugin de cookie.</p>

## Os 5 pilares da LGPD aplicados ao WordPress

Os 5 pilares de conformidade da LGPD no WordPress são base legal, consentimento, direitos do titular, segurança e governança, e nenhum dos 5 se resolve sozinho com um plugin. A falha mais comum é tratar o pilar de consentimento como se cobrisse os outros quatro.

Cada pilar cobre uma exigência distinta da Lei 13.709. A tabela abaixo organiza os cinco pilares com a ação concreta no WordPress e a ferramenta típica para cada um, para servir de checklist de implementação.

<table id="pilares-lgpd-wordpress">
  <caption>Os 5 pilares da LGPD e a ação no WordPress</caption>
  <thead>
    <tr>
      <th scope="col">Pilar da LGPD</th>
      <th scope="col">Ação no WordPress</th>
      <th scope="col">Ferramenta típica</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row">Base legal</th>
      <td>Declarar amparo do artigo 7 por coleta na política de privacidade.</td>
      <td>Página de privacidade nativa do WordPress.</td>
    </tr>
    <tr>
      <th scope="row">Consentimento</th>
      <td>Banner com opção real de recusar antes de carregar cookie.</td>
      <td>Complianz ou WP Consent API.</td>
    </tr>
    <tr>
      <th scope="row">Direitos do titular</th>
      <td>Atender pedido de acesso, correção e exclusão de dados.</td>
      <td>Ferramenta de exportação nativa do core.</td>
    </tr>
    <tr>
      <th scope="row">Segurança</th>
      <td>Criptografar backup, ativar 2FA e firewall de aplicação.</td>
      <td>All in One Security, UpdraftPlus.</td>
    </tr>
    <tr>
      <th scope="row">Governança</th>
      <td>Registrar quem acessa o dado e por quanto tempo guarda.</td>
      <td>Log de atividade e política de retenção.</td>
    </tr>
  </tbody>
</table>

## Base legal e consentimento: Onde o WordPress falha

Coletar dado sem base legal declarada é a infração de LGPD mais frequente que aparece no suporte da FULL, e ela acontece antes do banner de cookie. Um formulário Contact Form 7 que grava IP e e-mail no log de spam, sem base legal declarada, já configura tratamento sem amparo no artigo 7 da Lei 13.709.

O consentimento, quando é a base escolhida, precisa ser livre e informado: um banner que só tem o botão "aceitar" não vale como consentimento sob a LGPD. Na maioria dos cenários que a gente analisa, o plugin de analytics carrega o cookie de rastreamento antes do clique, o que torna a coleta ilegal mesmo que o visitante nunca aceite. A correção combina um plugin de consentimento como o Complianz com a <a href="https://full.services/como-adicionar-uma-politica-de-privacidade-wordpress/">política de privacidade do WordPress</a> descrevendo cada finalidade. Antes disso, vale <a href="https://full.services/como-saber-se-seu-site-wordpress-usa-cookies/">verificar se o site usa cookies</a> que você nem sabia que estavam ativos.

## Segurança do dado: O pilar que a LGPD mais cobra

O artigo 46 da LGPD obriga o controlador a adotar medidas de segurança técnicas, e um vazamento por falha conhecida tende a pesar mais na dosimetria da multa da ANPD. Um backup do banco WordPress sem criptografia, somado a acesso por FTP sem 2FA, vira vazamento que obriga notificação à autoridade.

Aqui entra o histórico real de CVEs: o Contact Form 7, presente em milhões de sites, teve a CVE-2020-35489 com CVSS 10.0 que permitia upload arbitrário de arquivo nas versões anteriores à 5.3.2, segundo o registro do <a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35489" rel="noopener" target="_blank">NVD (NIST)</a>. O WPForms carregou a CVE-2022-3574 com CVSS 9.8 até a versão 1.7.7, também no <a href="https://nvd.nist.gov/vuln/detail/CVE-2022-3574" rel="noopener" target="_blank">NVD</a>. Ambas já foram corrigidas, o que é sinal de manutenção ativa, não de risco atual. O perigo real é rodar a versão antiga. Manter plugins atualizados e fazer <a href="https://full.services/como-fazer-hardening-de-seguranca-no-wordpress/">hardening de segurança</a> é parte da conformidade, não um extra.

## Como a FULL ajuda na conformidade da LGPD

Manter o pilar de segurança da LGPD em dia exige patch, backup criptografado e firewall ativos ao mesmo tempo, e fazer isso plugin por plugin sai caro. O plano PRO da FULL custa R$849 por ano e inclui o bundle de segurança gerenciada com All in One Security e UpdraftPlus.

Dividido entre os 10 sites do plano, isso dá cerca de R$85 por site com backup e atualização monitorada. A FULL é a única empresa brasileira credenciada como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022, ou seja, quem cuida da segurança aqui literalmente cataloga vulnerabilidade oficial. Isso não substitui o trabalho jurídico de base legal, mas resolve o pilar técnico que mais gera notificação à ANPD. Conheça o <a href="https://full.services/plugin-de-seguranca-wordpress-os-5-melhores-em-2026/">plugin de segurança da FULL</a> e os planos em <a href="https://full.services/planos">FULL.services/planos</a>.

## Direitos do titular e governança contínua

Atender o direito de exclusão do titular é exigência direta da LGPD, e o WordPress já traz a ferramenta nativa para isso desde a versão 4.9.6, de maio de 2018. Em Ferramentas, as opções de exportar e apagar dados pessoais respondem aos pedidos previstos na Lei 13.709.

A governança fecha o ciclo: definir por quanto tempo o site guarda cada dado, quem da equipe acessa o painel e como uma sessão é encerrada. Manter <a href="https://full.services/backup-wordpress-automatico/">backup automático</a> criptografado e ativar <a href="https://full.services/two-factor-authentication-wordpress/">autenticação em dois fatores</a> no login protege tanto o dado quanto a evidência de conformidade. Na maioria dos casos que a gente vê no suporte, o que falta não é ferramenta, é a política escrita que diz o que cada ferramenta faz.

<aside aria-label="Metodologia dos Testes">
<h2 id="metodologia-dos-testes">Metodologia da análise</h2>
<p>As referências de risco deste guia vêm do cruzamento entre o texto da Lei 13.709 publicado no <a href="https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm" rel="noopener" target="_blank">Planalto</a>, as orientações da ANPD e o histórico de CVEs reais de plugins, consultado no NVD (NIST) entre <time datetime="2026-01">janeiro</time> e <time datetime="2026-05">maio de 2026</time>. Os padrões de erro mais comuns vêm dos tickets de suporte da FULL sobre a base de 150 mil sites WordPress gerenciados. Os CVEs citados (CVE-2020-35489, CVE-2022-3574) já estão corrigidos nas versões atuais dos plugins; foram usados para ilustrar o mecanismo da falha, nunca como risco presente em instalações atualizadas. Nenhum percentual de conformidade foi estimado sem fonte.</p>
</aside>

<h2 id="faq">Perguntas frequentes sobre LGPD no WordPress</h2>

<details>
<summary>O que a LGPD exige de um site WordPress comum na prática?</summary>
<p>A LGPD exige base legal, consentimento quando aplicável, segurança do dado e atendimento aos direitos do titular. Na prática, um site WordPress precisa declarar por que coleta cada dado na política de privacidade, dar opção real de recusar cookies e proteger o banco com backup criptografado. Segundo a ANPD, não há isenção por porte de empresa.</p>
</details>

<details>
<summary>Por que só instalar um plugin de cookie não deixa o site em conformidade com a LGPD?</summary>
<p>Porque o banner de cookie cobre apenas o pilar de consentimento, e a LGPD tem cinco. O formulário de contato que grava IP, o backup sem criptografia e a falta de política de retenção continuam fora da lei mesmo com o Complianz instalado. O plugin de cookie gere o consentimento, mas não declara base legal nem protege o dado já armazenado no banco.</p>
</details>

<details>
<summary>Qual a diferença entre consentimento e base legal na LGPD?</summary>
<p>Base legal é qualquer uma das 10 hipóteses do artigo 7 da Lei 13.709 que autoriza o tratamento; consentimento é só uma delas. Um e-commerce pode tratar o endereço do cliente por execução de contrato, sem pedir consentimento. Já um cookie de marketing exige consentimento livre e informado. Confundir os dois leva o site a pedir consentimento onde não precisa e a coletar sem base onde precisa.</p>
</details>

<details>
<summary>É possível adequar um site WordPress à LGPD sem contratar um advogado?</summary>
<p>É possível resolver o pilar técnico sem advogado: mapear coletas, instalar banner de consentimento, criptografar backup e ativar 2FA são tarefas de configuração no WordPress. Porém a definição de base legal e a redação da política de privacidade têm risco jurídico real. O caminho seguro é tratar a parte técnica internamente e revisar a base legal com apoio jurídico antes de publicar.</p>
</details>

<details>
<summary>Quanto pode custar a multa da ANPD por descumprir a LGPD?</summary>
<p>A multa da ANPD por infração à LGPD chega a 2% do faturamento da empresa no Brasil, limitada a R$50 milhões por infração, conforme o artigo 52 da Lei 13.709. Para um pequeno negócio o valor é proporcional, mas o dano de reputação e a obrigação de notificar os titulares costumam pesar mais. Manter o pilar de segurança em dia reduz tanto a multa quanto a chance do incidente.</p>
</details>

## Próximos passos para a conformidade da LGPD

Adequar o WordPress à LGPD é um processo de cinco pilares que começa no mapeamento e termina na governança contínua, não em um único plugin. A ordem que funciona na maioria dos casos é: inventariar onde o site coleta dado, declarar a base legal na política de privacidade, instalar consentimento real, blindar o dado com backup criptografado e 2FA, e registrar quem acessa o quê. Para verificar se algum plugin do seu site tem falha conhecida, rode um <a href="https://security.full.services">FULL Scan</a> gratuito e consulte o <a href="https://security.full.services/vulnerabilidades-no-wordpress">repositório de vulnerabilidades</a>. Para continuar aprendendo, o <a href="https://full.services/guias/guia-de-seguranca-para-wordpress">guia de segurança para WordPress</a> e o <a href="https://full.services/academy/">FULL Academy</a> reúnem os tutoriais de proteção de dados em um só lugar.