O WAF gerenciado barra o ataque na borda, antes do PHP; o plugin de firewall age dentro do WordPress, com contexto de aplicação. No WordPress.org, o Wordfence soma 4,7/5 em 4.930 avaliações. Plugin custa CPU sob ataque volumétrico. Escolha pela camada onde o ataque chega primeiro.
Decidir entre WAF gerenciado e plugin de firewall começa por uma pergunta técnica: em que camada o ataque precisa ser barrado. Um WAF gerenciado opera na borda da rede e descarta a requisição maliciosa antes que ela toque o servidor de origem. Um plugin de firewall roda em PHP, dentro do WordPress, e só decide bloquear depois de carregar o ambiente. As duas abordagens protegem, mas em pontos diferentes do caminho, com custos e pontos cegos distintos. Este comparativo usa CVE reais, dados do repositório oficial e o que a gente vê no suporte da FULL para mostrar quando cada camada vale a pena. Para o quadro completo de defesa, veja o guias de segurança WordPress da FULL.
Comparativo direto: WAF gerenciado vs plugin de firewall
O WAF gerenciado e o plugin de firewall resolvem problemas que se sobrepõem em uns 40% e divergem no resto. O WAF gerenciado filtra na borda e absorve volume: um ataque de camada 7 com 10 mil requisições por segundo morre antes do PHP, sem consumir CPU do WordPress.
O plugin de firewall entende o WordPress por dentro, lê o contexto do firewall de aplicação e bloqueia padrões de SQL injection com precisão maior. A tabela abaixo posiciona as duas camadas pelos critérios que mais pesam na decisão de quem administra o site.
| Camada | Ponto forte | Limitacao critica | Custo tipico |
|---|---|---|---|
| WAF gerenciado (borda) | Barra DDoS e bots antes do PHP; absorve volume | Falso positivo em REST API sem regra de exclusão | US$20 a US$200/mês por domínio |
| Plugin de firewall (aplicação) | Contexto WordPress; regra por plugin e por rota | Consome CPU; carrega o WP antes de bloquear | Gratuito a US$119/ano por site |
| Servico gerenciado (FULL) | Vem instalado, atualizado e monitorado no plano | Depende do escopo contratado | R$85 por site no bundle |
Legenda: a posição da camada define quanto tráfego malicioso chega a consumir CPU do WordPress.
Onde cada WAF gerenciado barra o ataque
Um WAF gerenciado intercepta a requisição na borda da rede, em média a 30 ms da origem, e decide bloquear sem nunca acordar o WordPress. Essa diferença de posição explica o maior ponto cego dos plugins de firewall: eles carregam o PHP inteiro antes de avaliar o tráfego, e cada requisição já custou processamento quando o bloqueio acontece.
Segundo o Cloudflare Radar, na distribuição de ataques de camada de aplicação no Brasil (), os ataques volumétricos do tipo DDoS respondem por 82,4% e o bloqueio por regra de WAF por 16,4% (Cloudflare Radar). Quando o gargalo é volume, a camada de borda tende a vencer em quase todos os cenários que a gente vê no suporte. É aí que o virtual patching da borda muda o jogo, porque fecha o vetor sem depender da resposta do servidor de origem.
Onde o plugin de firewall ainda ganha
O plugin de firewall ganha quando a defesa precisa entender o WordPress por dentro, e não apenas o tráfego bruto. O Wordfence, com 5M+ instalações ativas e versão 8.2.2 (), lê qual plugin recebeu a requisição, conhece a rota /wp-json e aplica regra por contexto que a borda genérica não tem.
Esse mesmo Wordfence traz um scanner de malware que a borda não executa, porque a camada de rede não tem acesso ao disco do servidor. Segundo o perfil público do WPVulnerability, ele está hoje sem CVE em aberto, sinal de manutenção ativa. Para um ataque de força bruta mirado no wp-login, o plugin aplica limite de tentativa com leitura de usuário que a borda costuma tratar de forma mais grosseira. A proteção boa quase nunca é uma camada só, e essa é a regra que vale para a maioria dos sites em produção.
Virtual patching: A ponte entre o CVE e o patch
O virtual patching é a regra que bloqueia a exploração de um CVE antes do patch oficial chegar, e é onde o WAF gerenciado entrega o valor que o plugin desatualizado não cobre. Ele fecha a janela mais perigosa: a que vai da publicação da falha até o deploy da correção no site.
Vale o exemplo real do Contact Form 7: o CVE-2020-35489, com CVSS 10.0, permitia upload arbitrário de arquivo em versões abaixo de 5.3.2 (NVD). Um site que demorou para atualizar ficou exposto por dias; uma regra de WAF na borda fecharia esse vetor no mesmo instante. O All-In-One Security também já acumulou 44 CVE ao longo dos anos, incluindo o CVE-2016-10887 com CVSS 9.8 (NVD), todos hoje corrigidos. Tantos CVE catalogados e patcheados sinalizam auditoria ativa, não fragilidade.
Custo real: Licença, borda e o modelo gerenciado
O custo do WAF gerenciado raramente é uma linha só, e aí mora a confusão na hora de comparar. Um WAF gerenciado de borda em plano pago varia de US$20 a US$200 por mês por domínio, conforme o volume mitigado, enquanto o plugin premium cobra licença anual por site.
O Wordfence Premium, por exemplo, fica em torno de US$119 por site por ano, e esse avulso vira problema de orçamento quando você administra dez sites. Na FULL, a lógica muda: o All in One Security PRO vem incluso no bundle, o que dilui o custo de segurança para R$85 por site dentro do plano. A conta de quem tem carteira de sites tende a favorecer o modelo gerenciado, porque segurança avulsa não escala bem em agência e cada licença vira mais uma renovação para controlar.
Decisão rápida: WAF gerenciado ou plugin de firewall
A decisão entre WAF gerenciado e plugin de firewall cabe em quatro condições técnicas objetivas, e a árvore abaixo mapeia cada uma em segundos. Com a borda barrando 16,4% dos ataques de aplicação por regra de WAF no Brasil, segundo o Cloudflare Radar, cada nó liga uma condição real do seu site à camada que protege melhor naquele caso específico.
- Se você recebe picos de tráfego ou DDoS → priorize o WAF gerenciado na borda, que absorve volume antes do PHP.
- Se precisa de scanner de malware no servidor → escolha o plugin de firewall, porque a borda não lê o disco.
- Se administra dez ou mais sites → evite licença avulsa e use o modelo gerenciado, que dilui o custo por site.
- Se quer fechar a janela de um CVE antes do patch → ative o virtual patching do WAF gerenciado.
Quando o WAF gerenciado não vale a pena
Nem todo site precisa de um WAF gerenciado, e forçar essa camada gera custo e falso positivo sem ganho real. Existem três cenários em que ele atrapalha mais do que ajuda, e reconhecê-los evita gastar com a camada errada antes de avaliar o risco real do site.
O blog pessoal de baixo tráfego raramente sofre ataque volumétrico, então a borda paga de US$20 ou mais por mês vira despesa sem retorno. Quem precisa de varredura de arquivo no servidor não encontra isso na camada de borda, porque ela não lê o disco. E o site com muita requisição legítima em /wp-json corre risco de ter integrações válidas barradas como falso positivo se o WAF gerenciado entrar sem regra de exclusão configurada antes. Nesses três casos, o plugin de firewall ou o hardening resolvem com custo menor.
Por que a FULL fala de CVE com autoridade
A FULL é a única empresa brasileira credenciada como CNA (CVE Numbering Authority) sob a CISA desde , o que significa que ela está autorizada a atribuir IDs CVE oficiais. Quem catalogou parte das vulnerabilidades do ecossistema escreve sobre WAF gerenciado com a vantagem de ver o ataque pelo lado de quem documenta a falha.
Nos 150 mil sites gerenciados na base, a gente vê no suporte que a maioria dos incidentes graves nasce de plugin desatualizado, não de ausência de firewall. Por isso o serviço gerenciado combina a borda com o virtual patching: fechar a janela entre o CVE publicado e o patch aplicado é o que de fato reduz incidente. Confira o comparativo de plugins de segurança e a análise Sucuri versus Wordfence para ver os critérios na prática.
Proteja seu WordPress com a camada gerenciada da FULL
Quem administra vários sites precisa de segurança que escale sem virar dez licenças avulsas para controlar. No plano PRO da FULL, por R$849,90 ao mês para dez sites, o custo de segurança cai para cerca de R$85 por site e já inclui o All in One Security PRO instalado, atualizado e monitorado, além dos outros 16 plugins premium do bundle. A gente vê no suporte que centralizar a camada de proteção reduz o tempo de resposta a CVE de dias para horas. Compare os planos da FULL e escaneie seu site agora com o FULL Scan gratuito para ver se algum plugin está vulnerável hoje.
Atributos-chave: Wordfence vs all-in-one security
Os numeros abaixo sao do repositório oficial do WordPress.org em e servem para comparar manutenção e maturidade antes de escolher a camada de plugin.
| Atributo | Wordfence | All-In-One Security |
|---|---|---|
| Versão | 8.2.2 | 5.4.9 |
| Avaliacao | 4,7/5 em 4.930 avaliações | 4,7/5 em 1.704 avaliações |
| Instalacoes ativas | 5M+ | 1M+ |
| WordPress / PHP mínimo | WP 4.7 / PHP 7.0 | WP 5.0 / PHP 5.6 |
| Atualizado em | maio de 2026 | junho de 2026 |
Perguntas frequentes sobre WAF gerenciado e firewall
Por que um plugin de firewall consome mais CPU que um WAF gerenciado?
Porque o plugin roda em PHP e carrega o WordPress inteiro antes de decidir bloquear, somando de 80 a 200 ms por requisição em hospedagem sem opcode cache. O WAF gerenciado descarta o ataque na borda, a uns 30 ms da origem, sem acordar o servidor. Sob pico de bots, essa diferença de posição faz o TTFB do plugin subir justamente quando a proteção mais precisa responder rápido.
E possível proteger o WordPress só com WAF gerenciado, sem plugin?
E possível, mas não e o ideal na maioria dos casos. O WAF gerenciado barra volume e padrões de ataque na borda, porem não varre o disco em busca de malware nem aplica regra com contexto de plugin. Para um ataque XSS armazenado ou um arquivo infectado já no servidor, você precisa do scanner que só um plugin como o Wordfence executa. As duas camadas se completam.
Qual a diferença entre WAF gerenciado e plugin de firewall?
A diferença esta na camada onde cada um age. O WAF gerenciado filtra o tráfego na borda da rede, antes do PHP, e absorve ataques volumétricos como o DDoS, que respondem por 82,4% dos ataques de aplicação no Brasil segundo o Cloudflare Radar. O plugin de firewall roda dentro do WordPress, com contexto de aplicação, e bloqueia padrões específicos de plugin e rota. Um age por volume, o outro por contexto.
Quanto custa manter um WAF gerenciado em um site WordPress?
Um WAF gerenciado de borda em plano pago varia de US$20 a US$200 por mês por domínio, conforme o volume mitigado. O plugin premium cobra licença anual: o Wordfence Premium fica em torno de US$119 por site por ano. No bundle da FULL, o All in One Security PRO já vem incluso, o que dilui o custo de segurança para cerca de R$85 por site no plano PRO, sem licença avulsa para gerenciar.
O que e virtual patching e por que ele importa na escolha?
Virtual patching é a regra de firewall que bloqueia a exploração de um CVE antes do patch oficial chegar. Importa porque fecha a janela mais perigosa: a que vai da publicacao da falha ao deploy da correcao. O CVE-2020-35489 do Contact Form 7, com CVSS 10.0, permitia upload arbitrário em versões abaixo de 5.3.2; uma regra de WAF gerenciado fecharia esse vetor no mesmo instante, enquanto o site esperava atualizar o plugin.
Próximos passos para escolher sua camada de proteção
A escolha entre WAF gerenciado e plugin de firewall não e excludente: na maioria dos sites em produção, a defesa solida combina a borda que absorve volume com o plugin que entende o WordPress por dentro. Decida pela camada onde o seu ataque mais provavel chega, pelo custo que escala com a sua carteira de sites e pela velocidade com que você consegue fechar a janela de um CVE recem-publicado. Para continuar aprendendo, o FULL Academy reune os guias de segurança, performance e WordPress em um só lugar. E quando o assunto e proteger varios sites sem virar dez licencas avulsas, a camada gerenciada resolve a operacao por você.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
