Proteger uma página ou postagem com senha é o ato de exigir uma chave antes de exibir o conteúdo de um post específico no WordPress. A função é nativa do editor: você muda o estado de visibilidade de Público para Password Protected e o WordPress passa a mostrar um formulário de senha no lugar do conteúdo. Não exige plugin para um único conteúdo. Antes de partir para qualquer ferramenta paga, vale entender o que o recurso embutido já entrega, onde ele falha e quando um plugin como o Password Protected Pages faz sentido. Este guia mostra o caminho completo em cinco passos, com os limites técnicos que a documentação oficial confirma. Veja todos os tutoriais de WordPress da FULL para aprofundar cada etapa.

Visão geral: Senha na página em uma tabela

A forma mais rápida de exigir senha numa página leva menos de 1 minuto: abra o post, clique em Visibilidade no painel de publicação e marque Password Protected. O WordPress aceita uma senha de até 255 caracteres e a guarda no cookie wp-postpass_, válido por 10 dias por padrão.

A tabela abaixo resume cada método, o esforço e o nível de proteção real, porque nem toda opção esconde o conteúdo de quem importa. São três caminhos com graus distintos de segurança.

A escolha depende de quem você quer barrar: o público geral ou a equipe interna.

Por que usar senha em vez de deixar o post privado

Exigir senha numa página mantém o conteúdo acessível por uma URL pública, enquanto o post privado some das listagens e exige login de Editor ou Administrador. São intenções diferentes: a senha serve para compartilhar com pessoas de fora que você não quer cadastrar como usuários; o privado serve para rascunhos internos. Em 10 anos de WordPress, essa confusão aparece com frequência nos tickets da FULL.

A diferença prática é grande. Uma página protegida por senha pode ser enviada por e-mail a um cliente, que digita a chave uma vez e navega por 10 dias sem refazer o login. Já o conteúdo privado nunca é visível por URL para quem não está autenticado no painel. Se você precisa entender melhor essa fronteira, o artigo sobre a diferença entre postagens e páginas no WordPress e o guia de como criar um post privado no WordPress detalham os dois lados. Escolha pela audiência, não pelo hábito.

Passo a passo: Proteger a página com senha no editor

Proteger uma página com senha no Gutenberg leva 5 passos curtos e nenhum deles toca em código. O fluxo é idêntico para posts e páginas, porque a visibilidade é uma propriedade do objeto post, não do tipo de conteúdo. As 3 opções (Público, Password Protected e Privado) ficam no mesmo painel.

A documentação oficial do WordPress confirma esse comportamento. Abaixo, cada etapa com o objetivo claro e o ponto exato onde a maioria das pessoas erra na configuração.

Legenda: o seletor de visibilidade é o único lugar onde a senha do post é definida no editor nativo.

Passo 1: Abra o post e localize o painel de visibilidade

Abra o post ou a página no editor e procure o painel Status e visibilidade, no canto superior direito do Gutenberg. Esse painel controla três estados: Público, Privado e Password Protected. Por padrão, todo conteúdo nasce Público, então o rótulo inicial mostra Visibilidade: Público. Clique nesse rótulo para abrir as opções.

Passo 2: Selecione password protected e defina a senha

Marque a opção Password Protected. O WordPress abre um campo de texto onde você digita a senha. O campo aceita até 255 caracteres, mas o ideal é uma senha forte de 12 a 16 caracteres com letras, números e símbolos. Essa senha não é a senha do usuário do site; é exclusiva daquele post.

Passo 3: Publique ou atualize o conteúdo

Clique em Publicar (ou Atualizar, se o post já existia). A partir desse momento, qualquer visitante que abrir a URL verá só o título e um formulário pedindo a senha. O corpo e o resumo ficam ocultos, substituídos pelo prompt de senha que o tema renderiza.

Passo 4: Teste em uma aba anônima

Abra a URL em uma janela anônima do navegador. Como você está logado no painel, na sua sessão normal o WordPress mostra o conteúdo direto. A janela anônima simula um visitante real e prova que o formulário de senha aparece. Esse teste de 30 segundos evita o erro de achar que está protegido quando não está.

Passo 5: Compartilhe a senha por um canal seguro

Envie a senha por um canal separado da URL, nunca no mesmo e-mail. O visitante digita a chave uma vez e o WordPress grava o cookie wp-postpass_ por 10 dias, liberando o acesso nesse período sem novo pedido. Trocar a senha no post invalida os cookies antigos na hora.

Como o cookie de senha e o cache afetam a proteção

O cookie wp-postpass_ faz o WordPress lembrar quem já digitou a senha, e ele dura 10 dias por padrão. Esse detalhe muda tudo quando há cache de página no site. Em sites com WP Rocket ou LiteSpeed Cache, a proteção depende de uma exclusão de cache correta.

Em instalações com cache, a página protegida só respeita a senha se o cookie wp-postpass_ estiver na lista de exclusão; sem isso, o HTML completo vaza do cache para qualquer visitante.

A causa é direta. O cache de página entrega uma cópia estática gerada para visitantes sem cookie, e essa cópia pode conter o conteúdo já liberado de uma sessão anterior. Por isso, plugins de cache sérios excluem URLs com o cookie wp-postpass_, mas configurações manuais agressivas quebram essa regra. Para mudar o prazo, a documentação de desenvolvedor expõe o filtro post_password_expires: retornar 0 transforma o cookie em cookie de sessão.

Limites do recurso nativo e quando usar um plugin

O recurso nativo de senha por post tem 3 limites claros: protege 1 conteúdo por vez, não expira a senha de forma granular e não barra editores nem administradores. Para 1 ou 2 páginas avulsas, isso basta e dispensa qualquer plugin extra.

A documentação oficial avisa que, em sites com vários editores, qualquer um deles vê o post protegido na tela de edição sem digitar a senha, porque a proteção é por URL pública, não por permissão de papel.

Quando o volume cresce, um plugin resolve o que o núcleo não cobre. O Password Protected Pages (PPWP) aplica uma senha a grupos de páginas, define expiração por data e protege downloads de uma vez. Já o controle por papel exige restringir o acesso por função de usuário. Os guias de como restringir conteúdo por membro no WordPress e de papéis e permissões de usuário no WordPress cobrem esse cenário. Para esconder o site inteiro, veja como proteger com senha todo o seu site WordPress.

Como remover a proteção e voltar o conteúdo ao público

Remover a proteção leva os mesmos 10 segundos da configuração inicial: abra o post, clique em Visibilidade e marque Público de novo. O WordPress descarta o formulário e volta a exibir o conteúdo para todo mundo na próxima visita, sem nenhum passo intermediário. A mudança vale na hora.

Há um detalhe que pega muita gente. Tornar o post público de novo não apaga os cookies wp-postpass_ já gravados nos navegadores dos visitantes, mas isso deixa de importar, porque o conteúdo passa a ser livre para qualquer um. Se você quer apenas trocar quem tem acesso, mude a chave em vez de remover a proteção. Para começar do zero com o tipo certo de conteúdo, o guia de como criar sua primeira página e postagem no WordPress ajuda a decidir entre post e página antes de aplicar qualquer restrição de visibilidade.

Acelere a gestão de senhas e plugins com a FULL

Gerenciar senhas, cache e plugins em vários sites consome tempo, e é aí que a plataforma da FULL entra. O plano PRO da FULL custa R$849 e dá acesso a um bundle com Elementor PRO, Rank Math PRO, WP Rocket, All in One Security e mais 13 plugins premium ativados em 1 clique.

Dividido pelos 10 sites que o plano cobre, sai por cerca de R$85 por site, contra a soma das licenças avulsas que passa de mil reais por ano. A gente vê no suporte da FULL que a maior parte dos problemas de página protegida que vaza vem de cache mal configurado, e o WP Rocket do bundle já exclui o cookie wp-postpass_ por padrão. Isso elimina a configuração manual de exclusão que costuma falhar e expõe o conteúdo protegido sem aviso. Conheça os planos da FULL para centralizar essa gestão em um único painel.

Boas práticas de senha e segurança do conteúdo protegido

A proteção por senha só funciona se a chave for forte e o canal de envio for separado da URL. Uma senha de 12 a 16 caracteres com letras, números e símbolos resiste a força bruta, algo que uma senha de 6 letras não faz.

O WordPress armazena a senha do post em texto no banco de dados, então trate-a como descartável, não como credencial mestre reutilizável em outros serviços.

Três práticas reduzem o risco. Primeiro, troque a senha sempre que alguém deixar o projeto, porque o cookie wp-postpass_ de 10 dias mantém acessos antigos vivos até a troca. Segundo, não reutilize a senha do post como senha de usuário do WordPress, já que são camadas distintas. Terceiro, em sites com cache de página ou regras de cookies do WordPress, valide a exclusão do wp-postpass_. Editar o filtro de expiração exige tocar no PHP do WordPress, então faça backup antes.

Perguntas frequentes sobre senha em página ou postagem

Próximos passos para proteger seu conteúdo no WordPress

A proteção por senha de página é uma tarefa de um minuto com o recurso nativo, mas só é confiável quando você entende o cookie wp-postpass_ de 10 dias e valida a exclusão de cache. Comece pelo método embutido, teste em aba anônima e suba para um plugin como o Password Protected Pages apenas quando precisar de senha em lote ou expiração granular. Para casos de equipe interna, troque a senha por controle de papel de usuário. Para continuar aprendendo, o FULL Academy reúne tutoriais, guias e reviews de WordPress em um só lugar, do básico de visibilidade até a configuração avançada de cache e segurança.