| Plugin de firewall | Nota / Instalações | Camada | Diferencial técnico |
|---|---|---|---|
| Wordfence | 4,7/5 , 5M+ | Aplicação (endpoint) | Threat intelligence + scanner de malware |
| All-In-One Security | 4,6/5 , 1M+ | Aplicação | Hardening gratuito sem custo recorrente |
| Sucuri Security | 4,3/5 , 800k+ | Aplicação + nuvem (pago) | WAF em nuvem com CDN no plano pago |
| Shield Security | 4,8/5 , 40k+ | Aplicação | Regras silenciosas e baixo falso positivo |
| Cloudflare WAF | 4,5/5 , 200k+ | Borda (DNS) | Filtra DDoS volumétrico antes do PHP |
Legenda: o painel mostra que nota alta não significa proteção contra ataque volumétrico , isso exige WAF de borda.
--- ## Wordfence: O plugin de firewall mais instalado O Wordfence é o plugin de firewall mais usado do WordPress, com 5 milhões de instalações ativas e 4,7/5 em 4.924 avaliações no repositório oficial (versão 8.2.2, mai/2026). Ele combina firewall em nível de aplicação com um scanner de malware que cruza assinaturas de ameaça conhecidas. No histórico do CVE, o Wordfence registrou 34 falhas ao longo dos anos, todas com patch, sendo a mais severa a CVE-2019-9669 (CVSS 6.1, corrigida na 7.2.3). Nos tickets de suporte da FULL, o Wordfence em modo Learning ativo por menos de 7 dias tende a gerar regras cedo demais e bloquear IPs legítimos de checkout. A configuração correta está no nosso guia de configuração do Wordfence. O ponto crítico: nenhum CVE atual está sem patch, então esse histórico é sinal de auditoria ativa, não de risco hoje. --- ## All-in-one security: O melhor plugin de firewall gratuito O All-In-One Security (AIOS) é o melhor plugin de firewall gratuito quando o orçamento é zero e o foco é hardening: ele soma mais de 1 milhão de instalações e cobre força bruta, firewall .htaccess e bloqueio de enumeração de usuário sem custo recorrente. O histórico de CVE mostra 43 falhas catalogadas, com três críticas antigas como a CVE-2016-10887 (CVSS 9.8, corrigida na 4.0.9). Risco atual: zero falhas sem patch. A limpeza de regras é manual, e essa é a principal limitação. Em comparação com o Wordfence, o AIOS não traz threat intelligence em tempo real. Para quem está começando, vale combinar o AIOS com as práticas do nosso guia do All-In-One Security. A versão gerenciada, com atualização e suporte, é o caminho para quem não quer ajustar regra manualmente. --- ## Sucuri, shield e Cloudflare: Quando cada plugin de firewall faz sentido Sucuri, Shield e Cloudflare cobrem cenários que o plugin de firewall de aplicação padrão não resolve sozinho: ataque de borda, baixo falso positivo e WAF em nuvem. O Sucuri Security tem nota 4,3/5 e só registra a CVE-2022-29489 no histórico, com CVSS 0.0. O Shield Security pontua 4,8/5 com 40 mil instalações e regras silenciosas que reduzem falso positivo. O Cloudflare opera na borda (DNS), filtrando força bruta e DDoS volumétrico antes do PHP processar. Essa é a diferença que define a escolha: um plugin de firewall de aplicação inspeciona o que já chegou ao servidor; o Cloudflare barra na entrada. O comparativo detalhado de duas dessas ferramentas está no nosso Sucuri vs Wordfence. --- ## Aplicação ou borda: Por que um plugin de firewall não basta Um plugin de firewall em nível de aplicação não para um ataque DDoS volumétrico porque o PHP do WordPress já precisa processar cada requisição para então decidir bloqueá-la. Em volume de milhares de requisições por segundo, isso esgota a memória do servidor antes de qualquer regra agir. A relação causal é direta: plugin de firewall em nível de aplicação (endpoint) + servidor sem WAF de borda + ataque DDoS volumétrico = PHP esgotando memória até o site cair. Nos tickets de suporte da FULL, sites WooCommerce com mais de 1.000 pedidos por dia tendem a derrubar o servidor sob ataque mesmo com Wordfence ativo, porque o filtro acontece tarde demais. A solução observada em produção: colocar o Cloudflare na borda e manter o plugin de firewall de aplicação para inspeção fina. As duas camadas resolvem problemas distintos , uma barra volume, a outra barra padrão de ataque. Combine, não escolha. --- ## A FULL é CNA: Por que isso muda quem escreve sobre firewall Quem escreve sobre vulnerabilidade aqui literalmente cataloga CVE. A FULL Services é a única empresa brasileira reconhecida como CNA (CVE Numbering Authority) sob a CISA desde , autorizada a atribuir IDs CVE oficiais. Isso significa que a leitura de risco de cada plugin de firewall acima vem de quem opera dentro do sistema global de catalogação, não de quem só lê o resultado. Por isso a distinção entre risco atual e histórico importa tanto neste comparativo. Os CVEs citados de Wordfence, AIOS e Sucuri estão todos corrigidos, e isso é sinal positivo: indica auditoria contínua e patch rápido, não fragilidade. Um plugin de firewall sem nenhum CVE registrado pode significar simplesmente que ninguém o auditou a fundo. Para checar o seu site agora, use o FULL Scan ou consulte o repositório de vulnerabilidades. --- ## Firewall gerenciado no plano FULL: R$85 por site Configurar e manter um plugin de firewall em vários sites consome tempo de quem gerencia mais de um WordPress. No plano PRO da FULL, por R$849,90 por mês para até 10 sites, o All in One Security PRO vem instalado, atualizado e com suporte gerenciado. Junto dele entram outros 15 plugins premium do bundle. Isso equivale a R$85 por site por mês, com a camada de segurança gerenciada em vez de configurada à mão a cada deploy. A gente vê no suporte da FULL que o gargalo raramente é o plugin de firewall em si, e sim a manutenção: regra desatualizada, patch não aplicado, modo Learning mal calibrado. O bundle resolve isso na origem. Conheça os planos em FULL.services/planos. --- ## Decisão rápida: Qual plugin de firewall escolher A escolha do plugin de firewall depende de três variáveis objetivas: orçamento disponível, tipo de ataque que você costuma sofrer e quantos sites WordPress você gerencia ao mesmo tempo. A árvore abaixo resume a decisão em quatro cenários técnicos distintos, cada um com a recomendação direta e sem rodeio para o seu caso.Não para porque o firewall de aplicação roda dentro do WordPress: o PHP precisa processar cada requisição para então decidir bloqueá-la. Sob volume alto, a memória do servidor esgota antes da regra agir. Um WAF de borda como o Cloudflare resolve isso filtrando o tráfego no DNS, antes de chegar ao PHP. Use as duas camadas combinadas.
Sim, para sites pequenos e de baixo risco. O All-In-One Security cobre força bruta, hardening .htaccess e bloqueio de enumeração de usuário sem custo, com mais de 1 milhão de instalações. A limitação é a manutenção manual das regras e a ausência de threat intelligence em tempo real, presente no Wordfence. Para e-commerce, a camada gratuita raramente basta sozinha.
O plugin de firewall opera em nível de aplicação, dentro do WordPress, inspecionando a requisição depois que ela chegou ao servidor. O WAF de borda, como o Cloudflare, filtra no DNS, antes do PHP processar. O primeiro barra padrão de ataque (SQL injection, XSS); o segundo barra volume (DDoS). São complementares, não substitutos um do outro.
O custo varia de zero a centenas de reais por ano. Wordfence e All-In-One Security têm versão gratuita funcional; as versões premium passam de US$ 100 por site por ano. No bundle PRO da FULL, o All in One Security PRO vem gerenciado por R$85 por site ao mês (R$849,90 para 10 sites), com mais 15 plugins premium inclusos e suporte.
Um plugin de firewall bloqueia requisições com padrão de ataque conhecido: SQL injection, cross-site scripting (XSS), tentativas de força bruta no login e exploração de CVE em plugins desatualizados. O Wordfence soma a isso um scanner de malware que cruza assinaturas. O que ele não bloqueia é DDoS volumétrico, que exige filtragem na borda antes do PHP.