IP Whitelist AIOS não funciona: como corrigir

Tipo Seguranca

Nome do erro IP Whitelist não funciona no All in One Security EN: All in One Security IP Whitelist not working

Severidade Grave

Descrição No All in One Security, a IP Whitelist não libera o acesso quando o IP que o plugin detecta difere do IP que você cadastrou. Atrás de Cloudflare ou proxy reverso, o AIOS lê o IP do servidor intermediário, e a allowlist nunca casa.

Conteúdo exclusivo para membros Pro

Faça upgrade para acessar este item completo.

// ★ Conteúdo disponível para membros Pro...
// Faça upgrade para acessar este item.

Perguntas frequentes

Por que meu IP está na whitelist do AIOS e o acesso continua bloqueado?

Porque o IP que você cadastrou não é o IP que o plugin detecta. Atrás de Cloudflare ou de um proxy, o AIOS lê o IP do intermediário, então o endereço da whitelist nunca casa. Ajuste o método de detecção de IP em Advanced Settings para ler o cabeçalho do IP real.

Como descubro qual IP o All in One Security está enxergando de mim?

Abra WP Security -> Dashboard e veja o IP atribuído ao seu acesso nos logs de usuários logados ou no Audit Log. Compare esse valor com o resultado de um serviço externo como whatismyip. Se forem diferentes, o plugin está lendo o IP do proxy.

Qual formato de IP a whitelist do AIOS aceita?

Um IP por linha. Para um endereço único, use o IP completo, como 203.0.113.45. Para faixas, o AIOS aceita notação com asterisco, como 203.0.113.*, e notação CIDR, como 203.0.113.0/24. Valores fora desse padrão são ignorados sem aviso.

A whitelist de país libera também o firewall e o bloqueio por IP banido?

Não. A whitelist do Country Blocking só vale para a camada de bloqueio por país. Se quem barra é a Permanent Block List, o Blacklist Manager ou uma regra de firewall do .htaccess, cada uma tem a própria allowlist e o IP precisa ser liberado na camada correta.

Uso Cloudflare. Que opção de detecção de IP devo escolher no AIOS?

Selecione HTTP_CF_CONNECTING_IP em WP Security -> Settings -> Advanced Settings. Esse cabeçalho carrega o IP original do visitante que a Cloudflare repassa. Com REMOTE_ADDR, o plugin só vê os IPs da própria Cloudflare e a whitelist nunca funciona.

Meu servidor é Nginx. A liberação do AIOS no .htaccess funciona?

Não. O Nginx e o Litespeed ignoram o arquivo .htaccess, onde o AIOS grava as regras de firewall e de allow. Nesses servidores, declare o allow direto no bloco do site no Nginx e recarregue o serviço para a liberação ter efeito.

O bloqueio por login do AIOS também respeita a IP Whitelist?

O bloqueio por tentativas de login tem a própria lista de IPs liberados. Cadastrar o IP na whitelist do Country Blocking não impede um lockout de login. Para isso, libere o IP na seção de Login Security ou remova o bloqueio temporário do seu endereço.

Adicionei a faixa inteira da rede e ainda fico bloqueado. O que houve?

Provavelmente o formato da faixa está errado para o campo usado, ou o IP detectado não pertence à faixa por causa do proxy. Confirme o IP real no Dashboard, use notação CIDR ou asterisco aceita pelo campo e cadastre na camada que está de fato bloqueando.

Pro Crítico

Como corrigir vulnerabilidade de plugin no WordPress atualizando com segurança

Uma vulnerabilidade de plugin no WordPress é uma falha de segurança conhecida (catalogada como CVE) numa versão específica do plugin. A correção real é atualizar para a versão que aplica o patch, depois de fazer backup e validar em ambiente de teste para não quebrar o site.

Pro Crítico

Como remover malware de um site WordPress

Remover malware do WordPress significa localizar e apagar o código malicioso injetado em arquivos e no banco, restaurar os arquivos do núcleo a partir de cópias limpas e fechar a falha que permitiu a invasão, para o site não reinfectar.

Pro Grave

Como corrigir o bloqueio de login que não funciona no All in One Security

O AIOS não bloqueia login quando o recurso Login Lockdown do All in One Security esta desativado, com limite de tentativas alto demais, ou quando os ataques chegam por um formulário de login customizado que não passa pelo wp-login.php. Nesses casos o plugin registra as falhas mas nunca tranca o IP atacante.

Pro Grave

Como corrigir o conflito do widget de login entre All in One Security e Elementor

O widget de login do Elementor para de autenticar quando o All in One Security renomeia a página de login com um secret word ou adiciona CAPTCHA ao formulário nativo. O POST do widget chega ao wp-login.php sem o cookie ou o token que o AIOS exige e e bloqueado ou redirecionado.

Pro Crítico

Como corrigir This site ahead contains harmful programs no WordPress

O aviso harmful programs no WordPress ("This site ahead contains harmful programs") é a tela vermelha que o Chrome mostra quando a Navegação Segura do Google detecta malware no seu site. Ele afasta os visitantes e só some após limpar a infecção e pedir reanálise no Search Console.

Pro Grave

Como corrigir API REST do WordPress exposta

A API REST exposta no WordPress é o problema de a rota /wp-json/wp/v2/users listar publicamente os nomes de usuário do site, entregando ao invasor metade do par login-senha. Corrigir significa restringir esse endpoint e os dados sensíveis sem desligar a REST API, que muitos recursos do site usam.

Setores

Extensões

Integrações

Como corrigir a IP Whitelist que não funciona no All in One Security

Conteúdo exclusivo para membros Pro

Perguntas frequentes

Itens relacionados

Como corrigir vulnerabilidade de plugin no WordPress atualizando com segurança

Como remover malware de um site WordPress

Como corrigir o bloqueio de login que não funciona no All in One Security

Como corrigir o conflito do widget de login entre All in One Security e Elementor

Como corrigir This site ahead contains harmful programs no WordPress

Como corrigir API REST do WordPress exposta

Setores

Extensões

Integrações

Extensões

Hero Sections

Seções de CTA

Login

Blog

Cabeçalhos

Seções de FAQ

Cadastro

Blog individual

Rodapés

Seções de contato

Seções de preços

Faixas

Portfólio

Seções de equipe

Números

Logotipos