A LGPD obriga todo site WordPress a ter base legal, consentimento e segurança para tratar dados pessoais. Segundo a ANPD (2024), a lei vale para qualquer tratamento feito no Brasil, sem isenção por porte. O risco real mora no formulário que grava IP sem amparo, não só no banner de cookie. Comece mapeando onde o site coleta dado pessoal.
A LGPD é a Lei Geral de Proteção de Dados (Lei 13.709), que regula como qualquer site trata dado pessoal de visitantes brasileiros. No WordPress, isso vai muito além de um banner de cookie: o core já grava IP em comentários, o formulário de contato guarda nome e e-mail, e o WooCommerce armazena endereço e CPF. Adequar o site à LGPD significa declarar uma base legal para cada coleta, dar ao titular controle sobre os dados e proteger o que foi guardado. Este guia destrincha os 5 pilares de conformidade da LGPD para quem opera no WordPress, com apoio dos guias de segurança WordPress da FULL.
O que a LGPD exige de um site WordPress
A LGPD exige que todo tratamento de dado pessoal tenha uma das 10 bases legais do artigo 7 da Lei 13.709, sendo consentimento e legítimo interesse as mais comuns em sites. Segundo a ANPD, não existe isenção por porte: um blog pessoal e uma loja WooCommerce respondem pela mesma lei.
O site precisa saber qual dado coleta, por que coleta e por quanto tempo guarda. Nos tickets da FULL, a confusão começa aqui: o dono acha que LGPD é só cookie, quando o problema está no banco de dados. O primeiro passo da conformidade é o mapeamento: listar formulários, plugins de analytics, integrações de e-mail e o próprio comentário do WordPress, que grava IP por padrão. Sem esse inventário, qualquer banner vira teatro de conformidade.
Legenda: o mapeamento mostra que a maioria dos sites trata dado pessoal em três pontos antes mesmo de instalar qualquer plugin de cookie.
Os 5 pilares da LGPD aplicados ao WordPress
Os 5 pilares de conformidade da LGPD no WordPress são base legal, consentimento, direitos do titular, segurança e governança, e nenhum dos 5 se resolve sozinho com um plugin. A falha mais comum é tratar o pilar de consentimento como se cobrisse os outros quatro.
Cada pilar cobre uma exigência distinta da Lei 13.709. A tabela abaixo organiza os cinco pilares com a ação concreta no WordPress e a ferramenta típica para cada um, para servir de checklist de implementação.
| Pilar da LGPD | Ação no WordPress | Ferramenta típica |
|---|---|---|
| Base legal | Declarar amparo do artigo 7 por coleta na política de privacidade. | Página de privacidade nativa do WordPress. |
| Consentimento | Banner com opção real de recusar antes de carregar cookie. | Complianz ou WP Consent API. |
| Direitos do titular | Atender pedido de acesso, correção e exclusão de dados. | Ferramenta de exportação nativa do core. |
| Segurança | Criptografar backup, ativar 2FA e firewall de aplicação. | All in One Security, UpdraftPlus. |
| Governança | Registrar quem acessa o dado e por quanto tempo guarda. | Log de atividade e política de retenção. |
Base legal e consentimento: Onde o WordPress falha
Coletar dado sem base legal declarada é a infração de LGPD mais frequente que aparece no suporte da FULL, e ela acontece antes do banner de cookie. Um formulário Contact Form 7 que grava IP e e-mail no log de spam, sem base legal declarada, já configura tratamento sem amparo no artigo 7 da Lei 13.709.
O consentimento, quando é a base escolhida, precisa ser livre e informado: um banner que só tem o botão “aceitar” não vale como consentimento sob a LGPD. Na maioria dos cenários que a gente analisa, o plugin de analytics carrega o cookie de rastreamento antes do clique, o que torna a coleta ilegal mesmo que o visitante nunca aceite. A correção combina um plugin de consentimento como o Complianz com a política de privacidade do WordPress descrevendo cada finalidade. Antes disso, vale verificar se o site usa cookies que você nem sabia que estavam ativos.
Segurança do dado: O pilar que a LGPD mais cobra
O artigo 46 da LGPD obriga o controlador a adotar medidas de segurança técnicas, e um vazamento por falha conhecida tende a pesar mais na dosimetria da multa da ANPD. Um backup do banco WordPress sem criptografia, somado a acesso por FTP sem 2FA, vira vazamento que obriga notificação à autoridade.
Aqui entra o histórico real de CVEs: o Contact Form 7, presente em milhões de sites, teve a CVE-2020-35489 com CVSS 10.0 que permitia upload arbitrário de arquivo nas versões anteriores à 5.3.2, segundo o registro do NVD (NIST). O WPForms carregou a CVE-2022-3574 com CVSS 9.8 até a versão 1.7.7, também no NVD. Ambas já foram corrigidas, o que é sinal de manutenção ativa, não de risco atual. O perigo real é rodar a versão antiga. Manter plugins atualizados e fazer hardening de segurança é parte da conformidade, não um extra.
Como a FULL ajuda na conformidade da LGPD
Manter o pilar de segurança da LGPD em dia exige patch, backup criptografado e firewall ativos ao mesmo tempo, e fazer isso plugin por plugin sai caro. O plano PRO da FULL custa R$849 por ano e inclui o bundle de segurança gerenciada com All in One Security e UpdraftPlus.
Dividido entre os 10 sites do plano, isso dá cerca de R$85 por site com backup e atualização monitorada. A FULL é a única empresa brasileira credenciada como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022, ou seja, quem cuida da segurança aqui literalmente cataloga vulnerabilidade oficial. Isso não substitui o trabalho jurídico de base legal, mas resolve o pilar técnico que mais gera notificação à ANPD. Conheça o plugin de segurança da FULL e os planos em FULL.services/planos.
Direitos do titular e governança contínua
Atender o direito de exclusão do titular é exigência direta da LGPD, e o WordPress já traz a ferramenta nativa para isso desde a versão 4.9.6, de maio de 2018. Em Ferramentas, as opções de exportar e apagar dados pessoais respondem aos pedidos previstos na Lei 13.709.
A governança fecha o ciclo: definir por quanto tempo o site guarda cada dado, quem da equipe acessa o painel e como uma sessão é encerrada. Manter backup automático criptografado e ativar autenticação em dois fatores no login protege tanto o dado quanto a evidência de conformidade. Na maioria dos casos que a gente vê no suporte, o que falta não é ferramenta, é a política escrita que diz o que cada ferramenta faz.
Perguntas frequentes sobre LGPD no WordPress
O que a LGPD exige de um site WordPress comum na prática?
A LGPD exige base legal, consentimento quando aplicável, segurança do dado e atendimento aos direitos do titular. Na prática, um site WordPress precisa declarar por que coleta cada dado na política de privacidade, dar opção real de recusar cookies e proteger o banco com backup criptografado. Segundo a ANPD, não há isenção por porte de empresa.
Por que só instalar um plugin de cookie não deixa o site em conformidade com a LGPD?
Porque o banner de cookie cobre apenas o pilar de consentimento, e a LGPD tem cinco. O formulário de contato que grava IP, o backup sem criptografia e a falta de política de retenção continuam fora da lei mesmo com o Complianz instalado. O plugin de cookie gere o consentimento, mas não declara base legal nem protege o dado já armazenado no banco.
Qual a diferença entre consentimento e base legal na LGPD?
Base legal é qualquer uma das 10 hipóteses do artigo 7 da Lei 13.709 que autoriza o tratamento; consentimento é só uma delas. Um e-commerce pode tratar o endereço do cliente por execução de contrato, sem pedir consentimento. Já um cookie de marketing exige consentimento livre e informado. Confundir os dois leva o site a pedir consentimento onde não precisa e a coletar sem base onde precisa.
É possível adequar um site WordPress à LGPD sem contratar um advogado?
É possível resolver o pilar técnico sem advogado: mapear coletas, instalar banner de consentimento, criptografar backup e ativar 2FA são tarefas de configuração no WordPress. Porém a definição de base legal e a redação da política de privacidade têm risco jurídico real. O caminho seguro é tratar a parte técnica internamente e revisar a base legal com apoio jurídico antes de publicar.
Quanto pode custar a multa da ANPD por descumprir a LGPD?
A multa da ANPD por infração à LGPD chega a 2% do faturamento da empresa no Brasil, limitada a R$50 milhões por infração, conforme o artigo 52 da Lei 13.709. Para um pequeno negócio o valor é proporcional, mas o dano de reputação e a obrigação de notificar os titulares costumam pesar mais. Manter o pilar de segurança em dia reduz tanto a multa quanto a chance do incidente.
Próximos passos para a conformidade da LGPD
Adequar o WordPress à LGPD é um processo de cinco pilares que começa no mapeamento e termina na governança contínua, não em um único plugin. A ordem que funciona na maioria dos casos é: inventariar onde o site coleta dado, declarar a base legal na política de privacidade, instalar consentimento real, blindar o dado com backup criptografado e 2FA, e registrar quem acessa o quê. Para verificar se algum plugin do seu site tem falha conhecida, rode um FULL Scan gratuito e consulte o repositório de vulnerabilidades. Para continuar aprendendo, o guia de segurança para WordPress e o FULL Academy reúnem os tutoriais de proteção de dados em um só lugar.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
