Como corrigir o bloqueio de spam de comentários no All in One Security
O que é bloqueio de spam de comentários no AIOS?
O AIOS spam comentários é o conjunto de recursos de Spam Prevention do plugin All in One Security, acessado em WP Security -> Spam Prevention. Ele tem duas frentes: bloquear bots que enviam comentários a partir de outros domínios (sem referer válido para o seu site) e monitorar o IP de cada comentário marcado como spam para bloquear automaticamente endereços que ultrapassem um limite que você define. A doc oficial descreve que o AIOS registra o IP de todo comentário de spam e bloqueia de forma permanente os IPs acima do limite configurado.
O problema aparece quando esse bloqueio simplesmente não acontece: o site continua acumulando comentários de spam na fila, nenhum IP é bloqueado, ou o oposto, comentários legítimos deixam de ser registrados. Como o AIOS depende de uma cadeia de configurações ligadas na ordem certa (recurso ativado, monitoramento de IP habilitado, limite definido e prioridade sobre outros plugins de comentário), basta um elo desligado para o spam voltar a passar.
Como identificar
- A fila em Comentários -> Pendentes continua enchendo de comentários de spam mesmo com o All in One Security ativo.
- Na aba WP Security -> Spam Prevention -> Comment Spam IP Monitoring a lista de IPs bloqueados fica vazia, mesmo após dezenas de comentários de spam.
- Comentários enviados por bots a partir de outros domínios continuam sendo gravados, sem serem barrados pelo bloqueio de comentários sem referer válido.
- O contador de comentários de spam não avança e nenhum IP é adicionado automaticamente ao blocklist do firewall.
- Comentários legítimos de visitantes reais somem ou caem direto no spam depois de configurar o monitoramento de IP com um limite baixo demais.
Como prevenir
- Mantenha a prevenção de spam e o Comment Spam IP Monitoring do AIOS sempre ativos e revise o limite de comentários por IP a cada mudança grande de tráfego.
- Use um único plugin como fonte da verdade para o spam de comentários, evitando que Akismet e AIOS disputem o mesmo comentário e quebrem o monitoramento de IP.
- Adicione Cloudflare Turnstile ou Google reCAPTCHA ao formulário de comentários para barrar bots que trocam de IP a cada envio, complementando o bloqueio por endereço.
- Revise periodicamente a lista de IPs bloqueados em Spam Prevention para liberar visitantes legítimos que tenham sido pegos por engano com um limite baixo.
Causa
- A opção de prevenção de spam em WP Security -> Spam Prevention está com o bloqueio de comentários de bots desligado, então o AIOS não barra comentários enviados a partir de outros domínios sem referer válido para o site.
- Na aba Comment Spam IP Monitoring o monitoramento de IP por comentário de spam não foi habilitado, ou o campo de limite de comentários de spam por IP ficou em branco, então nenhum endereço é bloqueado automaticamente.
- Outro plugin de antispam (como Akismet) marca o comentário como spam e o move antes do AIOS contabilizar o IP, fazendo o monitoramento do All in One Security nunca registrar o endereço para bloquear.
- A configuração de comentários do WordPress em Configurações -> Discussão está exigindo aprovação manual de tudo, então o spam fica acumulado como pendente e dá a impressão de que o AIOS parou de bloquear.
- As regras do firewall do AIOS não foram gravadas no .htaccess porque o servidor usa Nginx ou o arquivo não tem permissão de escrita, deixando o bloqueio de comentários sem referer sem efeito no servidor.
Como resolver
- Ative a prevenção de spam de comentários: No painel, abra a área de prevenção de spam do AIOS e ligue o bloqueio de comentários de bots, que barra comentários enviados a partir de outros domínios sem um referer válido para o seu site. Salve as configurações ao final.
Painel WP -> WP Security -> Spam Prevention -> Comment Spam Marque a opção de bloquear comentarios de spambots enviados pelo formulário de comentarios Clique em Save Settings - Habilite o Comment Spam IP Monitoring com um limite: Abra a aba de monitoramento de IP por comentário de spam, ative o recurso e defina o número máximo de comentários de spam permitidos por IP antes do bloqueio automático. Um limite entre 3 e 5 evita bloquear visitantes reais por engano.
Painel WP -> WP Security -> Spam Prevention -> Comment Spam IP Monitoring Ative o monitoramento de IP por comentario de spam Defina o limite (ex.: 3) no campo de comentarios de spam por IP e salve - Evite que outro plugin assuma o spam antes do AIOS: Se o Akismet ou outro antispam estiver ativo, ele pode mover o comentário antes do AIOS contar o IP. Defina quem é a fonte da verdade: ou use só o AIOS para o monitoramento de IP, ou mantenha o Akismet apenas para classificação e confie no firewall do AIOS para o bloqueio.
Painel WP -> Plugins -> verifique se Akismet e AIOS estão ambos ativos no fluxo de comentarios Desative temporariamente o Akismet e poste um comentario de teste de outro IP para confirmar que o AIOS registra o endereco - Confirme que o firewall gravou as regras no servidor: O bloqueio de comentários sem referer do AIOS depende de uma regra no .htaccess. Verifique se o arquivo existe, tem permissão de escrita e recebeu as regras do plugin. Em servidores Nginx, esse bloqueio por .htaccess não se aplica e o controle precisa vir do monitoramento de IP.
Painel WP -> WP Security -> Firewall -> confirme que as regras basicas estão aplicadas Via FTP, abra o .htaccess na raiz e confirme o bloco delimitado por # BEGIN All In One WP Security Garanta permissão 644 no .htaccess para o plugin conseguir escrever as regras - Adicione uma camada de CAPTCHA no formulário de comentários: Para spam que vem de IPs sempre novos, o bloqueio por IP não basta. Ative o Cloudflare Turnstile ou o Google reCAPTCHA do AIOS no formulário de comentários para barrar bots na origem, antes mesmo de o comentário ser enviado.
Painel WP -> WP Security -> Brute Force -> aba de CAPTCHA (Cloudflare Turnstile ou Google reCAPTCHA) Insira as chaves do provedor e marque o formulário de comentarios como protegido Salve e teste enviando um comentario em uma aba anonima
# Complementa o AIOS: bloqueia POST no comment form sem referer do proprio dominio
# Coloque dentro do .htaccess da raiz, fora dos blocos do plugin.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post.php*
RewriteCond %{HTTP_REFERER} !^https?://(www.)?seudominio.com.br [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule .* - [F,L]
</IfModule>Perguntas frequentes
Por que o AIOS continua deixando passar spam de comentários
Onde fica a configuração de prevenção de spam no All in One Security
Como o AIOS bloqueia um IP que envia spam de comentários
O Akismet pode atrapalhar o monitoramento de spam do AIOS
O bloqueio de comentários sem referer do AIOS funciona em Nginx
Qual limite de comentários de spam por IP devo usar no AIOS
Preciso da versão paga do AIOS para bloquear spam de comentários
Por que comentários legítimos pararam de aparecer depois de configurar o AIOS
Como corrigir as regras de firewall que não aplicam no All in One Security
No All in One Security (AIOS), as regras de firewall deixam de aplicar quando o servidor não carrega o arquivo aios-bootstrap.php ou ignora o .htaccess. É comum em Nginx, LiteSpeed mal configurado e ambientes atrás de proxy ou CDN.
Como corrigir vulnerabilidade SQL Injection no WordPress
Uma vulnerabilidade de SQL Injection no WordPress permite que um invasor injete comandos SQL através de uma entrada mal tratada e leia ou altere o banco de dados. Corrigir significa achar a consulta vulnerável, usar consultas preparadas com $wpdb->prepare() e atualizar o plugin ou tema que abriu a falha.
Como proteger contra ataques de forca bruta no login do WordPress
Um ataque de forca bruta no WordPress tenta adivinhar usuário e senha enviando milhares de combinacoes ao wp-login.php. A proteção combina limitar tentativas, exigir senha forte com 2FA e bloquear ou esconder a página de login.
Como remover malware de um site WordPress
Remover malware do WordPress significa localizar e apagar o código malicioso injetado em arquivos e no banco, restaurar os arquivos do núcleo a partir de cópias limpas e fechar a falha que permitiu a invasão, para o site não reinfectar.
Como corrigir os falsos positivos do File Change Detection do AIOS no WordPress
Os falsos positivos do File Change Detection do AIOS acontecem quando o scanner de mudanca de arquivos do All in One Security registra alterações legitimas (atualização de plugin, tema ou nucleo, cache e logs) como suspeitas e dispara o alerta de e-mail, sem que tenha havido invasao.
Como desativar o XML-RPC com segurança no WordPress
Desativar o XML-RPC no WordPress significa bloquear o arquivo xmlrpc.php, uma interface antiga de acesso remoto que invasores abusam para força bruta amplificada e ataques de pingback. Em sites que não usam app móvel nem Jetpack clássico, desligá-lo remove uma superfície de ataque inteira sem perda de função.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
