Como corrigir o Customizer bloqueado pelo firewall do All in One Security com Astra Pro no WordPress
O que é Customizer bloqueado pelo AIOS com Astra Pro?
O AIOS Astra Customizer trava quando o firewall do plugin All in One Security intercepta as requisicoes que o WordPress Customizer (a tela Aparencia, Personalizar) usa para gravar e pre-visualizar mudancas. O Customizer não salva via POST de formulário tradicional: ele envia a acao customize_save por admin-ajax e recarrega a previa por uma URL com a query string customize_changeset_uuid e parametros customize_*. Quando uma regra de firewall do AIOS classifica essa requisicao como suspeita, ela e rejeitada com 403 Forbidden antes de chegar ao WordPress, e o painel do Astra Pro fica girando ou mostra falha ao publicar.
O AIOS grava boa parte das suas regras de firewall no arquivo .htaccess do site, conforme a documentação oficial. Regras como as do conjunto 6G, o bloqueio de requisicoes POST com user-agent ou referer em branco, o filtro de query strings maliciosas e o bloqueio da REST API para usuários deslogados podem casar com o tráfego legitimo do Customizer e do Astra Pro. O resultado e sempre o mesmo: a segurança esta ativa, mas as personalizacoes de tema deixam de salvar.
Como identificar
- Ao clicar em Publicar no Personalizar, o botão mostra ‘Salvando…’ e depois retorna ao estado anterior sem confirmar, ou aparece a mensagem ‘Houve um erro ao tentar salvar’ (‘There was an error trying to save’).
- A previa do Customizer fica presa em carregamento eterno e o Console do navegador (F12) mostra status 403 Forbidden nas chamadas para admin-ajax.php com a acao customize_save.
- As opções do Astra Pro (cores, tipografia, cabeçalho, rodape) abrem, mas qualquer alteração e perdida ao recarregar a tela.
- A aba de rede do navegador registra uma resposta ‘Forbidden’ vinda do servidor (gerada pelo .htaccess) e não uma resposta JSON do WordPress.
- Ao desativar temporariamente o All in One Security, o Astra Customizer volta a salvar normalmente, confirmando que o bloqueio parte do firewall.
Como prevenir
- Mantenha sempre o seu IP de administrador na lista branca (whitelist) do AIOS antes de iniciar sessoes de edição de tema, evitando que regras de firewall barrem o seu próprio acesso.
- Ative as regras 6G e os bloqueios mais agressivos em etapas, testando o Customizer e o Astra Pro a cada nova regra, para identificar conflitos antes de afeta-los em producao.
- Documente em qual ambiente cada regra de firewall foi validada e replique as configurações do AIOS de staging para producao apenas depois de confirmar que o Personalizar salva.
- Evite ligar o bloqueio de REST API para deslogados em sites que dependem do Customizer e de temas com previa dinâmica como o Astra Pro, que consultam a REST API para montar a pre-visualizacao.
Causa
- O conjunto de regras 6G do firewall do AIOS, ativado na área WP Security, casa com a query string customize_changeset_uuid ou com os parametros customize_* da URL de previa e responde 403 antes do WordPress processar o salvamento.
- A regra do AIOS que bloqueia requisicoes POST com campo user-agent ou referer em branco rejeita a chamada admin-ajax customize_save quando o navegador ou um proxy/CDN intermediario não repassa esses cabeçalhos.
- O bloqueio de acesso a REST API para usuários deslogados, oferecido pelo AIOS, derruba endpoints que o Astra Pro e o Customizer consultam para montar a previa, fazendo a previa nunca carregar.
- O IP do administrador foi adicionado a lista negra do AIOS por excesso de eventos 404 ou tentativas de login durante a edição do tema, e o firewall passa a barrar todas as requisicoes daquele IP, inclusive as do Personalizar.
- Uma regra de firewall personalizada (Custom Rules) ou o filtro avancado de strings do AIOS, gravados no .htaccess, contem um padrão que coincide com nomes de parametros do Astra Pro enviados no salvamento.
Como resolver
- Confirme que o bloqueio vem do firewall do AIOS: Abra o Personalizar com o Console do navegador aberto e tente publicar. Se a chamada para admin-ajax.php retornar 403 Forbidden, desative o All in One Security por um instante e teste de novo. Se salvar com o plugin desligado, o conflito e do firewall e você isola a causa antes de mexer nas regras.
Painel WP -> Aparencia -> Personalizar Abra o navegador em F12 -> aba Rede (Network) e tente Publicar Painel WP -> Plugins -> desative 'All-In-One Security (AIOS)' e teste novamente - Adicione seu IP a lista branca (whitelist) do AIOS: Na área WP Security do AIOS, libere o seu endereco IP de administrador na lista branca de IPs. Isso garante que nenhuma regra de firewall barre as requisicoes do seu acesso enquanto você edita o tema. Descubra seu IP em um serviço como o ifconfig.me antes.
Painel WP -> WP Security -> Firewall -> Whitelist Manager (Lista Branca) Marque a opção de habilitar a lista branca de IPs e adicione o seu IP atual Salve as configurações (Save Settings) - Desligue as regras 6G e o bloqueio de POST suspeito: Ainda em WP Security, na área de Firewall, desative temporariamente as regras 6G e a opção que bloqueia requisicoes POST com user-agent ou referer em branco. Salve e teste o Customizer. Reative uma a uma depois para identificar qual regra causava o 403.
Painel WP -> WP Security -> Firewall -> 6G Blacklist (Lista Negra 6G) Desmarque 'Enable 6G Firewall Protection' e salve Em Internet Bots (Bots da Internet), desmarque o bloqueio de POST com user-agent/referer em branco e salve - Mantenha a REST API acessivel para a edição do tema: Se o AIOS estiver com o bloqueio de REST API para usuários deslogados ativo e a previa do Astra continuar sem carregar, desative essa opção. O Customizer e o Astra Pro consultam endpoints da REST API para montar a pre-visualizacao.
Painel WP -> WP Security -> Firewall -> aba de regras adicionais (Additional Firewall Rules) Desmarque a opção que bloqueia o acesso a REST API para não logados Salve e recarregue a tela Personalizar - Remova as regras do .htaccess se o 403 persistir: Caso o bloqueio continue, as regras gravadas no .htaccess podem estar com cache. Acesse o arquivo .htaccess da raiz via FTP e remova o bloco delimitado pelos comentarios do AIOS, deixando o plugin reescreve-lo limpo ao salvar de novo no painel. Faca uma copia do arquivo antes.
Acesse o site por FTP/SFTP e baixe o arquivo .htaccess da raiz Remova o bloco entre '# BEGIN All In One WP Security' e '# END All In One WP Security' Envie o arquivo de volta e regrave as regras pelo painel WP Security -> Settings
# Liberar o Customizer e o admin-ajax do bloqueio de firewall do AIOS
# Insira ACIMA do bloco '# BEGIN All In One WP Security' no .htaccess da raiz
<IfModule mod_rewrite.c>
RewriteEngine On
# Nao aplica regras de firewall a requisicoes do Personalizar
RewriteCond %{QUERY_STRING} customize_changeset_uuid [NC]
RewriteRule .* - [S=20]
# Nao aplica regras de firewall ao salvamento via admin-ajax
RewriteCond %{REQUEST_URI} /wp-admin/admin-ajax.php$ [NC]
RewriteCond %{QUERY_STRING} ^$
RewriteRule .* - [S=20]
</IfModule>Perguntas frequentes
Por que o Astra Pro não salva no Personalizar com o AIOS ativo
Como saber se o bloqueio vem do firewall ou do tema
Preciso desinstalar o All in One Security para usar o Customizer
Quais regras do AIOS costumam bloquear o Personalizar
Onde fica a lista branca de IPs no All in One Security
O bloqueio da REST API do AIOS afeta o Astra Pro
Por que meu IP foi parar na lista negra do AIOS durante a edição
Editar o .htaccess pela mao quebra o firewall do AIOS
Como corrigir vulnerabilidade SQL Injection no WordPress
Uma vulnerabilidade de SQL Injection no WordPress permite que um invasor injete comandos SQL através de uma entrada mal tratada e leia ou altere o banco de dados. Corrigir significa achar a consulta vulnerável, usar consultas preparadas com $wpdb->prepare() e atualizar o plugin ou tema que abriu a falha.
Como corrigir o conflito de cache entre All in One Security e WP Rocket
O conflito de cache entre AIOS e WP Rocket aparece quando os dois plugins gerenciam o mesmo arquivo .htaccess e a tela de login protegida pelo AIOS acaba sendo armazenada em cache, derrubando o acesso ao wp-admin. A correção isola a área de login do cache e ordena os blocos no .htaccess.
Como corrigir a alteração de prefixo do banco que falha no All in One Security
No All in One Security, mudar o prefixo do banco falha quando o wp-config.php não é gravável pelo PHP ou quando o usuário do MySQL não tem privilégio ALTER para renomear as tabelas. A correção exige liberar a escrita do arquivo e conceder o privilégio.
Como corrigir o conflito de backup entre o AIOS e o UpdraftPlus no WordPress
O conflito de backup do AIOS UpdraftPlus acontece quando o firewall, a prevenção de força bruta por cookie ou o scanner de alterações do All in One Security bloqueiam as requisições e os arquivos que o UpdraftPlus precisa para concluir o backup.
Como remover malware de um site WordPress
Remover malware do WordPress significa localizar e apagar o código malicioso injetado em arquivos e no banco, restaurar os arquivos do núcleo a partir de cópias limpas e fechar a falha que permitiu a invasão, para o site não reinfectar.
Como resolver Are you sure you want to do this no WordPress
Tem certeza que deseja fazer isso e a mensagem que o WordPress mostra quando o nonce de segurança de uma acao expira ou não confere. O nonce e um token temporario que prova que o pedido partiu de uma tela legitima, e ele caduca em cerca de 24 horas.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
