Setup de programador WordPress, wp-config e hardening

A “famosa instalação de 5 minutos” é um slogan de marketing, não um padrão profissional. Uma instalação padrão do WordPress é “faladora”, não otimizada e frequentemente insegura.

Como programadores, não apenas “instalamos” o WordPress; nós provisionâmo-lo. Este guia cobré as constantes de configuração essenciais e técnicas de fortalecimento (hardening) que devem estar no teu boilerplate para cada projeto de cliente em 2026.

#1. O poder do wp-config.php

Este é o cérebro da tua instalação. Para dé o deixar nas definições padrão.

#Controlo dé ambiente (environment control)

Desdé o WordPress 5.5, WP_ENVIRONMENT_TYPE é padrão. Usa-o para impedir que erros de desenvolvimento vazem para a produção.

// No wp-config.php
define( 'WP_ENVIRONMENT_TYPE', 'production' ); // 'local', 'development', 'staging', 'production'

Depois no teu código:

if ( wp_get_environment_type() === 'production' ) {
    // Ativar Cache, Desativar Erros
}

#Fortalecimento de segurança (hardening)

Impede que clientes (ou hackers) partam o sité através do painel.

// Desativar Editor de Ficheiros (Editor de Temas/Plugins)
define( 'DISALLOW_FILE_EDIT', true );

// Impedir Instalação/Atualização de Plugins (Bom para deployments imutáveis)
define( 'DISALLOW_FILE_MODS', true );

// Forçar SSL no Admin
define( 'FORCE_SSL_ADMIN', true );

#Revisões de posts

Assassino de inchaço da base de dados. Precisas realmente de 100 versões do “Sobre Nós”?

define( 'WP_POST_REVISIONS', 10 ); // Manter as últimas 10
// OU
define( 'WP_POST_REVISIONS', false ); // Desativar completamente (Não recomendado)

#2. Depuração profissional

Nunca exibas erros no frontend. Regista-os (Log).

define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', '/tmp/wp-errors.log' ); // Mové o log para fora da raiz web!
define( 'WP_DEBUG_DISPLAY', false );

// Registar queries SQL para depuração de performance (Desliga na produção!)
define( 'SAVEQUERIES', false );

#3. Limpar o “inchaço do core”

O WordPress vem com funcionalidades que 90% dos sites de negócios não precisam: Emojis, oEmbeds e XML-RPC.

Não instales um plugin para os desativar. Cria um Must-Use Plugin (wp-content/mu-plugins/lean-core.php).

<?php
/* Plugin Name: Lean Core */

// 1. Desativar Emojis (Poupa pedido HTTP)
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'wp_print_styles', 'print_emoji_styles' );

// 2. Desativar XML-RPC (Segurança)
add_filter( 'xmlrpc_enabled', '__return_false' );

// 3. Remover Versão WP (Segurança por Obscuridade)
remove_action( 'wp_head', 'wp_generator' );

// 4. Desativar Feeds RSS (Se estiveres a construir um site brochura)
// function wppoland_disable_feed() {
//    wp_die( 'Nenhum feed disponível, visité a nossa homepage!' );
// }
// add_action('do_feed', 'wppoland_disable_feed', 1);

#4. O mito do “sal” (salts)

Conheces as chaves dé autenticação no wp-config.php.

define('AUTH_KEY',         'coloca a tua frase única aqui');
// ...

Facto: Alterá-las termina imediatamenté a sessão de todos os útilizadores. É a “Opção Nuclear” sé um site for hackeado. Dica Profissional: Automatiza a rotação delas usando um script CLI ou Vault se geres sites empresariais.

#5. Resumo da checklist

Antes de lançares:

1. Define WP_ENVIRONMENT_TYPE para production.
2. Define DISALLOW_FILE_EDIT para true.
3. Limita WP_POST_REVISIONS.
4. Move WP_DEBUG_LOG para uma pasta privada.
5. Desativa Emojis/XML-RPC via código.

Uma instância WordPress bem configurada é silenciosa, segura e rápida.

Exploré os nossos serviços de segurança WordPress para levar o seu projeto mais longe.