O WP Cerber Security protege login, anti-spam e firewall de aplicação no WordPress, mas não escaneia malware como suíte completa. Segundo a NVD do NIST (2026), soma 11 CVEs históricas corrigidas, a pior com CVSS 9.8. Cobre força bruta, não limpeza de infecção. Escolha pela ameaça real.
Este WP Cerber Security review separa o que o plugin de fato protege do que ele só aparenta cobrir. A gente vê no suporte da FULL, que gerencia mais de 150 mil sites conectados à plataforma, que muita gente instala o WP Cerber esperando uma suíte completa e descobre que ele é forte em login e força bruta, mas não faz limpeza de malware. Ele é excelente no escopo dele: limitar tentativas de login, bloquear bots e filtrar spam. O guia de segurança WordPress da FULL mostra as camadas que ele não cobre sozinho.
Veredicto rápido: O que o WP cerber faz e não faz
Na maioria dos sites que chegam no suporte da FULL com ataque de login, o WP Cerber corta as tentativas de força bruta em minutos, só limitando o número de logins por IP e movendo a URL de acesso. O escopo dele é honesto: proteção de login, firewall de aplicação por regras, anti-spam e bloqueio geográfico. Ele não remove malware já instalado nem substitui um scanner de arquivos. A tabela abaixo resume o que pesou na avaliação, da proteção de login ao limite real de cobertura.
| Função | Comportamento | Impacto na decisão |
|---|---|---|
| Limite de login | Bloqueia IP após N tentativas | Cobre o ataque mais comum sem código |
| Custom login URL | Move o wp-login para rota nova | Reduz bots, mas quebra com cache |
| Anti-spam e reCAPTCHA | Filtra comentários e formulários | Bom para sites com muito spam |
| Firewall WAF completo | Só regras básicas, não WAF gerenciado | Menos cobertura que Wordfence |
| Scan de malware | Integridade de arquivos, sem limpeza | Não remove infecção já presente |
| Alternativa gerenciada | All in One Security PRO no bundle | Login, firewall e suporte juntos |
A leitura é direta: o WP Cerber é forte na porta de entrada do site, o login, mas é uma peça dentro de uma estratégia maior de segurança.
O veredicto da base FULL em um parágrafo
Sem rating público no repositório oficial, o WP Cerber Security 9.x se firma pela função: nos tickets da FULL, ele resolve cerca de 80% dos ataques de força bruta só limitando tentativas de login por IP e renomeando a rota de acesso. A limitação aparece quando o site fica atrás de um reverse proxy ou CDN sem cabeçalho de IP real, porque o plugin lê o IP do proxy e pode bloquear o próprio administrador. O escopo é honesto: ele cuida de login, anti-spam e firewall de aplicação, não de remoção de malware. Para quem quer proteção de login e hardening juntos, já gerenciados, o All in One Security PRO entra a partir de R$849 no plano PRO da FULL, com custo de R$85 por site no bundle.
Proteção de login e firewall na prática
Cerca de 90% dos ataques que a FULL vê em sites pequenos miram o wp-login.PHP, e é exatamente aí que o WP Cerber trabalha melhor. O plugin limita o número de tentativas por IP, bloqueia o atacante por tempo configurável e ainda permite mover a página de login para uma URL personalizada, o que esconde o alvo dos bots automatizados. Em conjunto com reCAPTCHA, ele reduz o spam de login a quase zero.
O ponto de atenção aparece em ambientes com proxy. A gente vê no suporte da FULL que sites atrás de Cloudflare ou de um reverse proxy mal configurado fazem o WP Cerber ler o IP do proxy, não o do visitante real, e o plugin acaba bloqueando o próprio administrador depois de poucas tentativas. O ajuste real é configurar o cabeçalho X-Forwarded-For correto antes de subir o nível de proteção. Quem ainda apanha de ataques de login deve ler antes como evitar ataques de força bruta no login do WordPress.
Segurança real: Cves, integridade e o histórico do plugin
O WP Cerber entrega quatro camadas concretas de defesa: limite de login por IP, firewall de aplicação por regras, anti-spam com reCAPTCHA e verificação de integridade de arquivos. Nada disso é limpeza de malware. Sobre vulnerabilidades, o plugin acumulou 11 CVEs ao longo dos anos, todas corrigidas, sendo a mais grave a CVE-2021-37597 (CVSS 9.8), já resolvida na versão 8.9.3.
Um histórico de CVEs corrigidas é sinal de auditoria ativa, não de plugin inseguro: o perfil público do WPVulnerability lista as falhas como já corrigidas. A mais grave, segundo a ficha da National Vulnerability Database do NIST, que classifica cada CVE pelo CVSS padrão da indústria, recebeu nota 9.8 e patch na versão 8.9.3. O risco de hoje é o que importa, e não há crítica sem patch em aberto. Ainda assim, proteção de login não substitui scan e remoção. Para fechar a camada de detecção, vale combinar o Cerber com um dos melhores plugins de segurança do WordPress.
WP cerber contra Wordfence e All in One Security
Três plugins ocupam o ecossistema de segurança do WordPress, e cada um compete por uma dimensão distinta. O WP Cerber compete por proteção de login e anti-spam configurável: faz a porta de entrada e faz bem. O Wordfence compete por firewall WAF e scan de malware, com regras atualizadas e verificação de arquivos a fundo. O All in One Security compete por hardening amplo, cobrindo login, firewall, 2FA e auditoria em um só painel.
Na base FULL, o erro recorrente é tratar os três como intercambiáveis. O WP Cerber sozinho blinda o login, mas não escaneia uma infecção que já entrou por um plugin nulled, o que dá uma falsa sensação de cobertura total. Quem precisa de WAF e scan deve comparar a configuração do Wordfence e olhar o panorama de Sucuri contra Wordfence. Quem quer hardening completo em um painel encontra o review do All in One Security para WordPress.
Quando o WP cerber não vale a pena
Em três perfis claros, o WP Cerber sozinho não basta, e dizer isso é parte de um review honesto. O primeiro é o site que já sofreu invasão ou tem suspeita de malware: o Cerber verifica integridade, mas não remove código malicioso, então rodar um scanner e uma limpeza vem antes de qualquer regra de login.
O segundo cenário é a hospedagem ou o stack que já roda um WAF a nível de servidor e proteção de login na borda, onde as regras do plugin viram redundância e podem gerar conflito de bloqueio com a CDN. O terceiro é o site de alto tráfego sem manutenção das tabelas de log: o WP Cerber grava cada tentativa, e sem limpeza periódica o banco infla e as consultas no wp-admin ficam lentas, principalmente em lojas WooCommerce. Nos atendimentos da FULL, a recomendação é diagnosticar a ameaça real antes de empilhar plugin. Para checar se o site já tem brecha aberta, o FULL Scan roda gratuitamente, sem instalação, contra a base de mais de 12.000 vulnerabilidades catalogadas.
Atributos-chave do WP cerber em uma olhada
A ficha técnica abaixo condensa o que decide a adoção do WP Cerber, do custo ao limite de cobertura. Como o plugin não expõe nota pública no repositório no momento da análise, a coluna de rating fica marcada como sem rating público, e o veredicto se apoia no comportamento medido nos tickets da FULL e no perfil oficial de CVEs.
| Atributo | Valor / Comportamento | Impacto na decisão |
|---|---|---|
| Versão analisada | WP Cerber Security 9.x | Linha estável, manutenção ativa |
| Rating público | Sem rating público no repositório | Avaliar pela função, não pela nota |
| Compatibilidade | WordPress 6.x, PHP 7.4 a 8.2 | Roda em stack moderno sem ajuste |
| CVEs históricas | 11 no total, todas corrigidas | Auditoria ativa, pior já com patch |
| CVE mais grave | CVE-2021-37597, CVSS 9.8, patch 8.9.3 | Sem crítica sem patch em aberto |
| Custo | Gratuito; Premium em licença anual | R$85 por site no bundle gerenciado |
A ficha confirma o veredicto: plugin maduro e bem mantido na função de login, com cobertura que termina antes da limpeza de malware.
A camada que falta: Segurança gerenciada pela FULL
O WP Cerber resolve a porta de entrada, mas deixa scan, limpeza e atualização contínua de fora, e é aí que entra a versão gerenciada. No plano PRO da FULL, a partir de R$849, o All in One Security PRO vem incluído junto com outros 15 plugins premium, já instalado, atualizado e com suporte de quem responde por CVE. Isso significa proteção de login, 2FA, firewall e hardening na mesma assinatura, sem licença avulsa de cada ferramenta.
O argumento de custo é direto: o plano PRO cobre 10 sites, o que dá R$85 por site por mês para uma camada de segurança completa e mantida. A gente vê no suporte da FULL que o gargalo raramente é falta de plugin, e sim plugin desatualizado ou mal configurado, exatamente o que o modelo gerenciado elimina. Você confere o que entra em cada plano em FULL.services/planos.
Decisão rápida: Qual ferramenta para qual ameaça
Use a árvore abaixo para escolher com base na ameaça real, não no nome do plugin. Ela cruza o tipo de risco com a camada que de fato o cobre, que é onde a maioria das decisões erradas acontece nos tickets da FULL: instalar proteção de login e achar que está imune a uma infecção já presente.
- Se o site sofre força bruta e spam de login → o WP Cerber resolve sozinho e vale a pena.
- Se o site precisa de WAF e scan de malware → use o Wordfence ou o All in One Security, não só o Cerber.
- Se o site já está infectado → rode limpeza e scanner antes de qualquer regra de login.
- Se você gerencia vários sites e quer tudo junto → o All in One Security PRO gerenciado no bundle da FULL.
Na dúvida, comece pelo diagnóstico da ameaça: Cerber blinda o login, não cura a infecção. Para aprofundar a defesa, o tutorial de autenticação de dois fatores no WordPress cobre a camada que o limite de login sozinho não fecha.
Perguntas frequentes sobre o WP cerber
Por que o WP Cerber bloqueia o próprio administrador às vezes?
Porque, atrás de um reverse proxy ou CDN como o Cloudflare, o plugin pode ler o IP do proxy em vez do IP real do visitante. Quando isso acontece, todas as tentativas parecem vir do mesmo endereço, e o limite de login do WP Cerber bloqueia o administrador junto com os atacantes. O ajuste é configurar o plugin para usar o cabeçalho X-Forwarded-For correto antes de subir o nível de proteção. Sem esse passo, um limite de 3 tentativas por IP derruba o acesso legítimo em minutos.
É possível proteger o login do WordPress sem instalar um firewall completo?
Sim, e o WP Cerber é justamente isso: protege o login sem o peso de um WAF gerenciado. Ele limita tentativas por IP, move a página de acesso para uma URL personalizada e aplica reCAPTCHA, cobrindo o vetor de força bruta que responde por cerca de 90% dos ataques a sites pequenos. Para quem só precisa blindar a entrada e filtrar spam, basta o Cerber. Já quem quer scan de malware e regras de WAF atualizadas precisa de uma suíte como o Wordfence ou o All in One Security gerenciado.
Qual a diferença entre o WP Cerber e o Wordfence?
A diferença está na camada que cada um cobre. O WP Cerber foca a porta de entrada: limite de login, Custom login URL, anti-spam e bloqueio geográfico, fazendo isso de forma leve e configurável. O Wordfence cobre a aplicação inteira: firewall WAF com regras atualizadas, scan de malware e verificação de integridade de arquivos. Eles não competem ponto a ponto, se complementam. Usar só o WP Cerber contra uma infecção já instalada é como reforçar a fechadura enquanto o invasor já está dentro de casa.
Quanto custa o WP Cerber e a alternativa gerenciada da FULL por site?
O WP Cerber tem versão gratuita completa para login e anti-spam, e uma versão Premium com licença anual recorrente cobrada pelo desenvolvedor. No modelo da FULL, em vez de licença avulsa, o All in One Security PRO entra a partir de R$849 no plano PRO, que cobre 10 sites e dá R$85 por site por mês, já instalado e atualizado. Para quem gerencia vários sites, o modelo gerenciado elimina a renovação individual de cada licença e o risco de plugin desatualizado abrir uma brecha.
O que o WP Cerber Security realmente protege no WordPress?
O WP Cerber protege a camada de acesso: limita tentativas de login por IP, bloqueia o atacante por tempo configurável, esconde a página de login em uma URL personalizada e filtra spam com reCAPTCHA. Na linha 9.x, também verifica a integridade dos arquivos do núcleo e aplica bloqueio geográfico. O que ele não faz é igualmente importante: não remove malware já instalado nem substitui um WAF gerenciado, então não deve ser a única camada de segurança de um site que lida com dados sensíveis ou vendas.
Próximos passos para um WordPress de fato seguro
O WP Cerber Security segue sendo uma das formas mais sólidas de blindar login, anti-spam e firewall de aplicação no WordPress em 2026, com 11 CVEs históricas todas corrigidas, o que indica manutenção ativa. O peso da decisão está em entender o escopo: ele protege a entrada do site, não cura uma infecção já dentro, e instalar só ele contra malware dá uma falsa sensação de cobertura. Para scan, limpeza e WAF, a camada certa combina Wordfence, Sucuri ou o All in One Security. Quem gerencia vários sites e não quer cuidar de licença avulsa encontra na FULL o All in One Security PRO já incluso a partir de R$849 no plano PRO, com R$85 por site, e confere os planos em FULL.services/planos. Para checar se o seu site já tem brecha aberta agora, o repositório de vulnerabilidades da FULL e o FULL Scan rodam em segundos sem instalar nada. Para continuar aprendendo a proteger seu site, o FULL Academy reúne os guias, tutoriais e reviews de segurança em um só lugar. O melhor plugin de segurança é o que cobre a ameaça certa, não o que dá só a sensação de cadeado.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
