A “famosa instalação de 5 minutos” é um slogan de marketing, não um padrão profissional. Uma instalação padrão do WordPress é “faladora”, não otimizada e frequentemente insegura.
Como programadores, não apenas “instalamos” o WordPress; nós provisionâmo-lo. Este guia cobre as constantes de configuração essenciais e técnicas de fortalecimento (hardening) que devem estar no teu boilerplate para cada projeto de cliente em 2026.
1. O poder do wp-config.php
Este é o cérebro da tua instalação. Para de o deixar nas definições padrão.
Controlo de ambiente (environment control)
Desde o WordPress 5.5, WP_ENVIRONMENT_TYPE é padrão. Usa-o para impedir que erros de desenvolvimento vazem para a produção.
// No wp-config.php
define( 'WP_ENVIRONMENT_TYPE', 'production' ); // 'local', 'development', 'staging', 'production'Depois no teu código:
if ( wp_get_environment_type() === 'production' ) {
// Ativar Cache, Desativar Erros
}Fortalecimento de segurança (hardening)
Impede que clientes (ou hackers) partam o site através do painel.
// Desativar Editor de Ficheiros (Editor de Temas/Plugins)
define( 'DISALLOW_FILE_EDIT', true );
// Impedir Instalação/Atualização de Plugins (Bom para deployments imutáveis)
define( 'DISALLOW_FILE_MODS', true );
// Forçar SSL no Admin
define( 'FORCE_SSL_ADMIN', true );Revisões de posts
Assassino de inchaço da base de dados. Precisas realmente de 100 versões do “Sobre Nós”?
define( 'WP_POST_REVISIONS', 10 ); // Manter as últimas 10
// OU
define( 'WP_POST_REVISIONS', false ); // Desativar completamente (Não recomendado)2. Depuração profissional
Nunca exibas erros no frontend. Regista-os (Log).
define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', '/tmp/wp-errors.log' ); // Move o log para fora da raiz web!
define( 'WP_DEBUG_DISPLAY', false );
// Registar queries SQL para depuração de performance (Desliga na produção!)
define( 'SAVEQUERIES', false );3. Limpar o “inchaço do core”
O WordPress vem com funcionalidades que 90% dos sites de negócios não precisam: Emojis, oEmbeds e XML-RPC.
Não instales um plugin para os desativar. Cria um Must-Use Plugin (wp-content/mu-plugins/lean-core.php).
<?php
/* Plugin Name: Lean Core */
// 1. Desativar Emojis (Poupa pedido HTTP)
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'wp_print_styles', 'print_emoji_styles' );
// 2. Desativar XML-RPC (Segurança)
add_filter( 'xmlrpc_enabled', '__return_false' );
// 3. Remover Versão WP (Segurança por Obscuridade)
remove_action( 'wp_head', 'wp_generator' );
// 4. Desativar Feeds RSS (Se estiveres a construir um site brochura)
// function wppoland_disable_feed() {
// wp_die( 'Nenhum feed disponível, visite a nossa homepage!' );
// }
// add_action('do_feed', 'wppoland_disable_feed', 1);4. O mito do “sal” (salts)
Conheces as chaves de autenticação no wp-config.php.
define('AUTH_KEY', 'coloca a tua frase unica aqui');
// ...Facto: Alterá-las termina imediatamente a sessão de todos os utilizadores. É a “Opção Nuclear” se um site for hackeado. Dica Profissional: Automatiza a rotação delas usando um script CLI ou Vault se geres sites empresariais.
5. Resumo da checklist
Antes de lançares:
- Define
WP_ENVIRONMENT_TYPEpara production. - Define
DISALLOW_FILE_EDITpara true. - Limita
WP_POST_REVISIONS. - Move
WP_DEBUG_LOGpara uma pasta privada. - Desativa Emojis/XML-RPC via código.
Uma instância WordPress bem configurada é silenciosa, segura e rápida.
