Configuração WordPress para programadores e fortalecimento do wp-config

A “famosa instalação de 5 minutos” é um slogan de marketing, não um padrão profissional. Uma instalação WordPress padrão e faladora, não otimizada e frequentemente insegura.

Saiba mais sobre serviços de segurança WordPress na WPPoland. Como programadores, não apenas “instalamos” o WordPress; nos provisionamo-lo. Este guia cobre as constantes de configuração essenciais e técnicas de fortalecimento que devem estar no seu boilerplate para cada projeto de cliente em 2026.

#1. O poder do wp-config.php

Este é o cerebro da sua instalação. Pare de deixa-lo nos valores padrão.

#Controlo de ambiente

Desde o WordPress 5.5, WP_ENVIRONMENT_TYPE e padrão. Use-o para prevenir que erros de desenvolvimento cheguem a produção.

// No wp-config.php
define( 'WP_ENVIRONMENT_TYPE', 'production' ); // 'local', 'development', 'staging', 'production'

Depois no seu código:

if ( wp_get_environment_type() === 'production' ) {
    // Ativar caching, desativar erros
}

#Fortalecimento de segurança

Previna que clientes (ou hackers) estraguem o site via dashboard.

// Desativar editor de ficheiros (editor de temas/plugins)
define( 'DISALLOW_FILE_EDIT', true );

// Prevenir instalação/atualização de plugins/temas (bom para implementacoes imutaveis)
define( 'DISALLOW_FILE_MODS', true );

// Forcar SSL no admin
define( 'FORCE_SSL_ADMIN', true );

#Revisoes de artigos

Assassino do inchacos da base de dados. Precisa realmente de 100 versões de “Sobre nos”?

define( 'WP_POST_REVISIONS', 10 ); // Manter as ultimas 10
// OU
define( 'WP_POST_REVISIONS', false ); // Desativar completamente (não recomendado)

#2. Depuracao profissional

Nunca exiba erros no frontend. Registe-os.

define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', '/tmp/wp-errors.log' ); // Mova o log para fora da raiz web!
define( 'WP_DEBUG_DISPLAY', false );

// Registar queries SQL para depuracao de desempenho (desative em producao!)
define( 'SAVEQUERIES', false );

#3. Limpeza do “bloat do núcleo”

O WordPress vem com funcionalidades que 90% dos sites empresariais não precisam: Emojis, oEmbeds e XML-RPC.

Não instalé um plugin para os desativar. Crie um plugin Must-Use (wp-content/mu-plugins/lean-core.php).

<?php
/* Plugin Name: Lean Core */

// 1. Desativar Emojis (poupa um pedido HTTP)
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'wp_print_styles', 'print_emoji_styles' );

// 2. Desativar XML-RPC (segurança)
add_filter( 'xmlrpc_enabled', '__return_false' );

// 3. Remover versão WP (segurança por obscuridade)
remove_action( 'wp_head', 'wp_generator' );

#4. O mito dos “salts”

Conhece as chaves de autenticação no wp-config.php.

define('AUTH_KEY',         'coloque a sua frase única aqui');
// ...

Facto: Altera-las imediatamente termina a sessao de todos os utilizadores. E a “opção nuclear” se um site for hackeado. Dica pro: Automatizé a sua rotacao usando um script CLI ou Vault se gere sites empresariais.

#5. Lista de verificação resumo

Antes de lancar:

1. Defina WP_ENVIRONMENT_TYPE para production.
2. Defina DISALLOW_FILE_EDIT para true.
3. Limite WP_POST_REVISIONS.
4. Mova WP_DEBUG_LOG para uma pasta privada.
5. Desative Emojis/XML-RPC via código.

Uma instância WordPress bem configurada e silenciosa, segura e rápida.