Como corrigir o conflito de backup entre o AIOS e o UpdraftPlus no WordPress
O que é conflito de backup AIOS UpdraftPlus?
O conflito de backup AIOS UpdraftPlus surge quando o All In One Security (AIOS) e o UpdraftPlus disputam o mesmo terreno: arquivos, requisições agendadas e regras de servidor. O AIOS adiciona regras no .htaccess, protege o login com prevenção de força bruta por cookie e monitora alterações de arquivos. O UpdraftPlus, por sua vez, dispara o wp-cron, grava arquivos compactados em wp-content/updraft e usa admin-ajax para processar o backup em lotes. Quando uma trava do AIOS atinge esse fluxo, o backup falha, trava no meio ou nunca é agendado.
Na prática, o sintoma não é um erro fatal do WordPress, e sim um backup incompleto ou silenciosamente bloqueado. A prevenção de força bruta por cookie do AIOS, conforme a documentação oficial, deposita um cookie secreto e redireciona quem não o tem para outra URL ou IP. Quando uma rotina de fundo do UpdraftPlus chama um endpoint protegido sem esse cookie, ela é redirecionada e o backup quebra. Some-se a isso o scanner de alterações de arquivo, que reage ao volume de arquivos que o UpdraftPlus cria a cada execução, e o conflito fica completo.
Como identificar
- O UpdraftPlus para no meio com a mensagem ‘The backup apparently succeeded and is now complete’ nunca aparecendo, ou exibe ‘Warning: Your free disk space is very low’ / ‘The backup directory is not writable’.
- O log do UpdraftPlus mostra ‘An error occurred when fetching the backup file’ ou ‘Error: HTTP error code returned’ ao tentar baixar ou processar pedaços do backup.
- O backup agendado simplesmente não roda no horário previsto e a tela do UpdraftPlus indica ‘Nothing currently scheduled’ mesmo com agendamento configurado.
- O All In One Security envia o aviso ‘File change detected’ (alterações de arquivo detectadas) logo após cada execução de backup, listando dezenas de arquivos novos em wp-content/updraft.
- Ao tentar disparar o backup manualmente, a janela de progresso fica parada em ‘Created database dump’ ou ‘Backup of files’ e não avança, exigindo recarregar a página.
Como prevenir
- Sempre que ativar uma nova proteção do AIOS, rode um backup manual no UpdraftPlus logo em seguida para flagrar o conflito antes que ele atinja o agendamento automático.
- Mantenha o IP do servidor (loopback do wp-cron) na whitelist do AIOS de forma permanente, para que rotinas de fundo legítimas não sejam tratadas como ataque.
- Configure o File Change Detection do AIOS para ignorar wp-content/updraft desde o início, evitando alertas em massa e disputa de recursos a cada backup.
- Documente quais funções do AIOS estão ativas e revise-as após cada atualização do plugin, já que mudanças nas regras de firewall podem reintroduzir o bloqueio.
- Considere disparar o backup por WP-CLI ou por um cron real do servidor em vez do wp-cron via HTTP, removendo a requisição web que o AIOS costuma barrar.
Causa
- A prevenção de força bruta por cookie do AIOS está ativa: ela redireciona qualquer requisição sem o cookie secreto para outra URL, e as chamadas internas do UpdraftPlus ao admin-ajax e ao wp-login disparadas por wp-cron chegam sem esse cookie, sendo barradas antes de concluir o backup (comportamento descrito na documentação oficial do AIOS).
- O scanner de alterações de arquivo (File Change Detection) do AIOS reage ao volume de arquivos zip e de banco que o UpdraftPlus grava em wp-content/updraft a cada execução, gerando alertas em massa e, em servidores limitados, competindo por recursos durante o backup.
- As regras de firewall .htaccess do AIOS que negam acesso a determinados arquivos e bloqueiam listagem de diretório atingem a pasta wp-content/updraft, impedindo o UpdraftPlus de ler ou regravar os pedaços do backup que ele cria.
- A opção do AIOS de bloquear acesso ao arquivo debug.log e de impedir execução em diretórios sensíveis derruba as requisições de fundo que o UpdraftPlus usa para retomar um backup interrompido em lotes (resumption via admin-ajax).
- O AIOS limita a taxa de requisições de login e de 404 (404 detection / lockout) e marca o IP do próprio servidor, usado pelo wp-cron loopback, como abusivo, travando o disparo automático do backup agendado.
Como resolver
- Confirme que o AIOS é a causa desativando-o temporariamente: Antes de mexer em regras, desative o All In One Security e rode um backup manual no UpdraftPlus. Se o backup concluir, o conflito está confirmado no AIOS e você parte para liberar apenas o que o UpdraftPlus precisa.
Painel WP -> Plugins -> Plugins Instalados Desative 'All-In-One Security (AIOS)' e rode UpdraftPlus -> Fazer backup agora Reative o AIOS após o teste para seguir com os ajustes finos - Adicione o IP do servidor à whitelist do firewall do AIOS: O wp-cron do UpdraftPlus chama o site a partir do próprio servidor (loopback). Libere esse IP na lista de permissões do AIOS para que as requisições de backup não sejam tratadas como tráfego suspeito.
Painel WP -> WP Security -> Firewall -> Whitelist (Lista de Permissões) Adicione o IP do servidor (descubra em WP Security -> Dashboard ou peça à hospedagem) Salve as configurações e teste um backup manual - Ajuste a prevenção de força bruta por cookie: Essa proteção redireciona requisições sem o cookie secreto e quebra as chamadas internas do UpdraftPlus. Desative-a temporariamente para validar e, se confirmar, mantenha o login renomeado em vez dela ou libere os endpoints de fundo.
Painel WP -> WP Security -> Brute Force -> Cookie Based Brute Force Prevention Desative 'Enable Brute Force Attack Prevention' e rode o backup Se resolver, prefira 'Rename Login Page' como alternativa de proteção - Exclua a pasta de backup do scanner de alterações de arquivo: O File Change Detection do AIOS dispara alertas a cada zip que o UpdraftPlus cria. Aumente o intervalo do scan ou ignore a pasta wp-content/updraft para parar os falsos positivos e a disputa por recursos.
Painel WP -> WP Security -> Scanner -> File Change Detection No campo de arquivos/pastas a ignorar, adicione: wp-content/updraft Aumente o intervalo de verificação (ex.: de diário para semanal) - Garanta acesso à pasta wp-content/updraft no .htaccess: Se as regras .htaccess do AIOS negarem leitura ou listagem na pasta de backup, o UpdraftPlus não recompõe os pedaços. Adicione uma exceção explícita liberando a pasta para o próprio site, sempre via FTP e com backup do .htaccess antes.
Acesse o site por FTP ou Gerenciador de Arquivos e baixe uma cópia do .htaccess da raiz Confira se há um bloco do AIOS negando acesso à pasta de uploads/updraft Adicione a exceção do passo de código abaixo e salve, mantendo o backup do arquivo original - Reative tudo e valide um backup completo agendado: Com as exceções no lugar, reative o AIOS por inteiro e force um backup, depois confirme que o agendamento automático roda no horário. Acompanhe o log do UpdraftPlus para garantir que nenhuma etapa volta a ser bloqueada.
Painel WP -> UpdraftPlus -> Configurações -> defina o agendamento e salve Rode 'Fazer backup agora' e acompanhe UpdraftPlus -> Última mensagem de log Aguarde o próximo ciclo agendado e confirme o backup completo na aba 'Backups existentes'
# .htaccess da raiz do WordPress
# Libera a pasta de backup do UpdraftPlus de regras restritivas do AIOS.
# Coloque ANTES do bloco "# BEGIN All In One WP Security".
<IfModule mod_authz_core.c>
# Apache 2.4+
<Files "*.zip">
Require all granted
</Files>
</IfModule>
<IfModule !mod_authz_core.c>
# Apache 2.2
<Files "*.zip">
Order allow,deny
Allow from all
</Files>
</IfModule>
# Permite a listagem/leitura da pasta de backups do UpdraftPlus
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/wp-content/updraft/ [NC]
RewriteRule .* - [L]
</IfModule>Perguntas frequentes
Por que o UpdraftPlus para de funcionar depois que instalo o All In One Security
A prevenção de força bruta por cookie do AIOS quebra o backup
Como libero o UpdraftPlus no firewall do AIOS sem desligar a segurança
Preciso desativar o All In One Security toda vez que for fazer backup
O scanner de alterações de arquivo do AIOS atrapalha o UpdraftPlus
O backup agendado não roda mais, mas o manual funciona. Por quê
Editar o .htaccess para liberar a pasta de backup é seguro
Posso usar WP-CLI para evitar o conflito entre AIOS e UpdraftPlus
Como corrigir o bloqueio de login que não funciona no All in One Security
O AIOS não bloqueia login quando o recurso Login Lockdown do All in One Security esta desativado, com limite de tentativas alto demais, ou quando os ataques chegam por um formulário de login customizado que não passa pelo wp-login.php. Nesses casos o plugin registra as falhas mas nunca tranca o IP atacante.
Como proteger contra ataques de forca bruta no login do WordPress
Um ataque de forca bruta no WordPress tenta adivinhar usuário e senha enviando milhares de combinacoes ao wp-login.php. A proteção combina limitar tentativas, exigir senha forte com 2FA e bloquear ou esconder a página de login.
Como corrigir o conflito de spam entre All in One Security e WPForms no WordPress
O conflito de spam entre AIOS e WPForms ocorre quando o firewall e as camadas de proteção do All in One Security inspecionam o POST do formulário antes do WPForms e bloqueiam o envio ou disparam o lockout do remetente, fazendo entradas legitimas falharem ou caírem como spam.
Como corrigir a alteração de prefixo do banco que falha no All in One Security
No All in One Security, mudar o prefixo do banco falha quando o wp-config.php não é gravável pelo PHP ou quando o usuário do MySQL não tem privilégio ALTER para renomear as tabelas. A correção exige liberar a escrita do arquivo e conceder o privilégio.
Como corrigir o conflito do widget de login entre All in One Security e Elementor
O widget de login do Elementor para de autenticar quando o All in One Security renomeia a página de login com um secret word ou adiciona CAPTCHA ao formulário nativo. O POST do widget chega ao wp-login.php sem o cookie ou o token que o AIOS exige e e bloqueado ou redirecionado.
Como corrigir o código 2FA que não chega no All in One Security
O código 2FA do AIOS que não chega quase sempre não é um código por e-mail, e sim o código TOTP gerado pelo app autenticador sendo recusado no login. A causa principal é o relógio do servidor ou do celular fora de sincronia, porque o código TOTP é calculado pela hora e só vale por cerca de 30 segundos.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
