Cookies seguros no WordPress dependem de três flags no cabeçalho do cookie: Secure, HttpOnly e SameSite. Segundo o Cloudflare Radar (2026), 16,4% dos ataques de aplicação no Brasil chegam à camada onde o cookie de sessão vive. Um cookie sem HttpOnly vaza para JavaScript em milissegundos. Configure as três flags antes de confiar na senha.
Cookies seguros são cookies de sessão cujo cabeçalho carrega as flags Secure, HttpOnly e SameSite, que impedem leitura por JavaScript, trânsito em HTTP puro e envio em requisições cruzadas. No WordPress, o cookie de login (wordpress_logged_in_) autentica cada requisição no painel: quem o copia entra como você, sem precisar da senha. Por isso senha forte e autenticação em dois fatores não bastam sozinhas. Este guia explica o mecanismo dos três atributos e como aplicá-los, com apoio dos guias de segurança WordPress da FULL e do conceito de cookies no WordPress.
O que torna cookies seguros: Os 3 atributos do cabeçalho
Cookies seguros nascem de três atributos no cabeçalho Set-Cookie, e cada um fecha uma porta diferente. Segundo a documentação da Mozilla (MDN), a flag Secure restringe o envio a conexões HTTPS, a HttpOnly bloqueia o acesso via document.cookie no navegador, e a SameSite controla o disparo em requisições de outro site. Sem essas três marcas, o cookie de sessão trafega exposto.
A lógica é de camadas independentes: Secure protege contra interceptação na rede, HttpOnly contra XSS, e SameSite contra CSRF. Um ataque que contorna uma flag ainda esbarra nas outras.
| Atributo | O que faz | Ataque mitigado |
|---|---|---|
| Secure | Envia o cookie só em HTTPS | Interceptação em rede (sniffing) |
| HttpOnly | Esconde o cookie do JavaScript | Roubo de sessão via XSS |
| SameSite | Bloqueia envio em requisição cruzada | Falsificação de requisição (CSRF) |
Legenda: a aba Application do navegador revela se o cookie de sessão carrega ou não as três flags de proteção.
Por que um cookie de sessão roubado ignora a senha forte
Um cookie de sessão roubado entra no painel sem tocar na tela de login, e é por isso que ele derruba a senha forte. O cookie já representa a prova de que você se autenticou: o servidor confia nele e não volta a pedir credencial. Em , o Patchstack contabilizou XSS como quase metade das falhas, justamente o vetor que injeta script para ler cookies sem HttpOnly.
A relação técnica é direta: um plugin com XSS armazenado mais um cookie sem HttpOnly mais um administrador logado no mesmo navegador resulta em sequestro de sessão silencioso, sem alerta visível no painel. O atacante copia o valor do cookie, cola no próprio navegador e assume a identidade até a sessão expirar. Na prática, a gente vê no suporte da FULL que boa parte dos sites invadidos tinha senha forte e dois fatores, mas servia o cookie de login sem as flags corretas. Cookies seguros fecham essa porta que a senha sozinha não alcança.
Como aplicar cookies seguros no WordPress em 4 ajustes
Aplicar cookies seguros no WordPress leva quatro ajustes objetivos, e nenhum exige reescrever o core. Primeiro, force HTTPS no site inteiro para a flag Secure passar a valer; o guia de como forçar HTTPS no WordPress resolve o redirecionamento. Em servidores Apache sem HTTPS ativo, a flag Secure simplesmente não é respeitada e o cookie volta a trafegar exposto.
Ative HTTPS e a constante de cookie seguro
A constante FORCE_SSL_ADMIN no wp-config.php instrui o WordPress a marcar os cookies de painel como Secure. Sem ela, mesmo com SSL instalado, o cookie de admin pode sair sem a flag. Veja como editar o arquivo wp-config.php com segurança antes de mexer nessa linha.
Reforce HttpOnly e SameSite via cabeçalhos e plugin
O WordPress já marca o cookie de login como HttpOnly por padrão, mas temas e plugins de terceiros costumam criar cookies próprios sem a flag. Um plugin de segurança aplica HttpOnly e SameSite de forma centralizada, junto dos cabeçalhos de segurança HTTP que reforçam a política no navegador. Cookies seguros funcionam melhor quando a regra vale para todo cookie servido, não só o do core.
Cves reais: O risco que justifica cookies seguros
Os dados de CVE mostram por que cookies seguros deixaram de ser opcional, e separam risco atual de histórico já corrigido. O perfil público do WPVulnerability registra o All in One Security como ATENÇÃO hoje, com 44 CVEs ao longo dos anos, quase todas corrigidas, sinal de auditoria ativa e não de abandono. O Wordfence aparece como SEGURO, sem falha sem patch.
Entre as falhas históricas que ilustram o risco de XSS sobre cookies, a CVE-2016-10887 (CVSS 9.8) afetava o All in One Security antes da versão 4.0.9, e a CVE-2022-3144 (CVSS 4.8) atingiu o Wordfence até a 7.6.1, ambas já com patch. A FULL fala desse tema com a autoridade de quem cataloga vulnerabilidade: é a única empresa brasileira reconhecida como CNA (CVE Numbering Authority) sob a CISA desde maio de , autorizada a atribuir IDs CVE oficiais. Para checar exposição atual, o FULL Scan aponta plugin vulnerável sem instalação, e o repositório de vulnerabilidades lista os CVEs por plugin.
O contexto de ameaça que reforça a camada de cookie
A distribuição de ataques mostra por que a flag de cookie convive com firewall, não o substitui. Nos últimos dias, segundo o Cloudflare Radar (medição de 9 de junho de ), 82,4% dos ataques de camada de aplicação no Brasil foram mitigados por DDoS protection e 16,4% por WAF. Esse recorte prova que boa parte das tentativas chega pela borda da aplicação, onde o firewall atua.
Cookies seguros tratam o que passa do firewall: o script que rodou no navegador e tentou ler a sessão. A leitura combinada é clara, o WAF reduz a superfície de ataque e a flag HttpOnly garante que, se um XSS escapar, o cookie de sessão continue invisível ao JavaScript. Uma camada não dispensa a outra.
Quanto custa proteger cookies e sessões no plano certo
Manter cookies seguros, firewall e auditoria de CVE no mesmo lugar é o que o plano PRO da FULL entrega por R$849,90, com os 17 plugins do bundle incluído o All in One Security. Diluído nos até 10 sites do plano, sai por cerca de R$85 por site, abaixo do preço avulso da maioria dos plugins premium de segurança. A gente vê no suporte da FULL que quem centraliza HttpOnly, SameSite e WAF numa camada só erra menos do que quem ajusta cookie site a site. Veja os planos da FULL e a página da solução All in One Security para entender o que cada nível cobre.
Perguntas frequentes sobre cookies seguros no WordPress
É possível ter cookies seguros sem instalar plugin no WordPress?
Sim, em parte. O WordPress já marca o cookie de login como HttpOnly por padrão, e a constante FORCE_SSL_ADMIN no wp-config.php ativa a flag Secure sem plugin. Mas SameSite e a proteção de cookies criados por temas e plugins de terceiros geralmente exigem um plugin de segurança como o All in One Security para aplicar a regra de forma centralizada.
Por que um cookie de sessão roubado funciona mesmo com senha forte ativa?
Porque o cookie de sessão já é a prova de que a autenticação ocorreu. O servidor confia nele e não pede a senha de novo. Quem copia o valor do cookie de login entra no painel como administrador sem ver a tela de acesso. Por isso cookies seguros, com HttpOnly bloqueando a leitura via XSS, são a camada que a senha sozinha não cobre.
Qual a diferença entre as flags Secure, HttpOnly e SameSite?
Secure envia o cookie apenas em conexões HTTPS, bloqueando interceptação na rede. HttpOnly esconde o cookie do JavaScript do navegador, mitigando roubo via XSS. SameSite impede que o cookie viaje em requisições vindas de outro site, defendendo contra CSRF. São três proteções independentes: aplicar só uma deixa duas portas abertas no cookie de sessão.
Como verificar se o WordPress serve cookies seguros corretamente?
Abra a aba Application no DevTools do navegador, seção Cookies, e confira as colunas Secure, HttpOnly e SameSite no cookie wordpress_logged_in_. Se alguma estiver vazia, a flag não foi aplicada. O artigo sobre como saber se seu site usa cookies mostra o passo a passo, e o FULL Scan complementa apontando plugins vulneráveis a XSS.
Com que frequência o WordPress expira o cookie de login do usuário?
Por padrão o cookie de login do WordPress dura 2 dias, ou 14 dias se a opção “lembrar de mim” estiver marcada no login. Reduzir essa janela com o filtro auth_cookie_expiration encurta o tempo útil de um cookie roubado. Cookies de sessão sensíveis se beneficiam de vida curta, conforme a recomendação da Mozilla para dados de autenticação.
Próximos passos para blindar a sessão do seu site
Cookies seguros são a camada que transforma senha forte e dois fatores em proteção de fato, fechando a brecha do sequestro de sessão. Ative HTTPS, confirme FORCE_SSL_ADMIN, reforce HttpOnly e SameSite com um plugin de segurança e encurte a vida do cookie de login. Para aprofundar, o guia de segurança para WordPress reúne o caminho completo, e o FULL Academy organiza tutoriais, guias e reviews num só lugar. Comece auditando como seu site serve o cookie de sessão hoje.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
