🚀 Instalação

Método 1: Upload Manual

1. Baixe o arquivo anti-bot-firewall.php
2. Acesse wp-content/plugins/ via FTP
3. Crie a pasta anti-bot-firewall
4. Faça upload do arquivo para dentro da pasta
5. Ative em Plugins > Plugins Instalados

Método 2: Upload pelo Admin

1. Vá em Plugins > Adicionar Novo > Enviar Plugin
2. Faça upload do arquivo ZIP
3. Clique em “Ativar Plugin”

⚙️ Configuração

Acesse Configurações > Anti-Bot Firewall no painel do WordPress.

🌍 Geo Whitelist

Permite acesso apenas de países específicos.

⚠️ IMPORTANTE: Arquivos públicos como robots.txt, sitemap.xml, ads.txt são sempre acessíveis (crítico para SEO e Google Ads).

Exemplo de configuração:

Países Permitidos: BR, PT, US, AR

Códigos de países comuns:

• 🇧🇷 BR (Brasil)
• 🇵🇹 PT (Portugal)
• 🇺🇸 US (Estados Unidos)
• 🇦🇷 AR (Argentina)
• 🇲🇽 MX (México)
• 🇪🇸 ES (Espanha)
• 🇬🇧 GB (Reino Unido)
• 🇩🇪 DE (Alemanha)
• 🇫🇷 FR (França)
• 🇮🇹 IT (Itália)

🍯 Honeypot & Login Lock

Proteção contra bots e ataques de força bruta.

Como funciona:

• Honeypot: Campos ocultos via CSS (left: -9999px) que apenas bots preenchem
• Login Lock: Após N tentativas falhas, o IP é bloqueado temporariamente

Configuração recomendada:

Falhas: 3-5 (mais restritivo)
Bloqueio: 15-30 minutos

🎭 Custom Login URL

Oculta o wp-login.php padrão para dificultar ataques automatizados.

⚠️ ATENÇÃO CRÍTICA:

1. Após salvar, sua nova URL será: https://seusite.com/seu-slug
2. O acesso direto a wp-login.php será BLOQUEADO (retorna 404)
3. SALVE A NOVA URL EM LOCAL SEGURO!

Exemplo:

Slug: painel-secreto-2024
Nova URL: https://meusite.com/painel-secreto-2024

✅ Boas práticas para o slug:

• Use algo único e difícil de adivinhar
• Misture letras e números: admin-xyz-2024
• Evite palavras óbvias: admin, login, painel
• Recomendado: 15-25 caracteres

❌ Evite:

• admin (muito óbvio)
• login123 (fácil de adivinhar)
• Seu nome ou nome da empresa

Recuperação de emergência (se esquecer a URL):

Via FTP:

1. Acesse /wp-content/plugins/
2. Renomeie anti-bot-firewall para anti-bot-firewall-disabled
3. Faça login normalmente no wp-login.php
4. Reative e reconfigure

Via phpMyAdmin:

UPDATE wp_options 
SET option_value = '' 
WHERE option_name = 'abf_options';

⏱️ Rate Limiting

Limita rajadas de requisições em endpoints sensíveis.

Endpoints protegidos:

• wp-login.php (login)
• wp-comments-post.php (comentários)
• admin-ajax.php (AJAX)
• Registro de usuários
• Recuperação de senha
• WooCommerce checkout/AJAX

Exemplo de cálculo:

Janela: 60 segundos
Limite: 30 requisições
= Máximo 30 POSTs por minuto, por IP

Configuração por tipo de site:

🔒 Outras Proteções

Security Headers aplicados:

X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: geolocation=(), microphone=(), camera=()

Por que desativar XML-RPC?

• Usado em ataques DDoS de amplificação
• Permite brute force em lote
• Raramente necessário (a menos que use apps móveis antigos)

🎯 Casos de Uso

1. Site Brasileiro – Máxima Segurança

✅ Geo Whitelist: BR
✅ Permitir bots legítimos: Ativo
✅ Custom Login: painel-br-xyz-2024
✅ Honeypot: Ativo
✅ Login Lock: 3 tentativas / 30 minutos
✅ Rate Limit: 20 req / 60s
✅ XML-RPC: Desativado
✅ Security Headers: Ativo

2. E-commerce Mercosul

✅ Geo Whitelist: BR, AR, UY, PY
✅ Permitir bots legítimos: Ativo
✅ Custom Login: loja-admin-2024
✅ Rate Limit: 40 req / 60s (mais permissivo para checkout)
✅ Login Lock: 5 tentativas / 15 minutos

3. Blog Português Internacional

✅ Geo Whitelist: BR, PT, US, GB, ES
✅ Permitir bots legítimos: Ativo
✅ Custom Login: blog-acesso-seguro
✅ Honeypot: Ativo
✅ Rate Limit: 25 req / 60s

4. Site com Google Ads

✅ Geo Whitelist: BR
✅ Permitir bots legítimos: ⚠️ OBRIGATÓRIO
✅ Custom Login: Ativo
(robots.txt e ads.txt sempre acessíveis automaticamente)

5. Landing Page com Formulários

✅ Geo Whitelist: BR, US
✅ Honeypot: Ativo (anti-spam em formulários)
✅ Rate Limit: 15 req / 60s (poucos envios esperados)
✅ wp_mail Protection: Ativo (previne spam)

🔧 Funcionalidades Técnicas

Geo-Blocking Inteligente

Provider: ipapi.co (gratuito, sem API key)
Cache: 7 dias por IP
Fail-Open: Se o serviço estiver offline, libera acesso (não derruba o site)

Exceções automáticas:

• ✅ 127.0.0.1 e ::1 (localhost – desenvolvimento)
• ✅ Bots legítimos: Googlebot, AdsBot, Bingbot, etc
• ✅ Arquivos públicos: robots.txt, sitemap.xml, ads.txt
• ✅ .well-known/ (certificados SSL, Apple Pay, etc)
• ✅ WP-Cron e WP-CLI

Escopo de bloqueio:

• ✅ Bloqueia: Login, admin, POST em formulários
• ❌ Não bloqueia: Navegação pública do site (permite SEO e crawlers)

Lista completa de bots permitidos:

Googlebot (todos os tipos)
AdsBot-Google (crítico para Google Ads)
Mediapartners-Google (AdSense)
APIs-Google
bingbot
msnbot
Slurp (Yahoo)
DuckDuckBot
Baiduspider
YandexBot
facebookexternalhit
Twitterbot
LinkedInBot
WhatsApp

Rate Limiting

Armazenamento: Transients do WordPress
Granularidade: Por IP
Reset: Automático após o período configurado

Lógica interna:

if (requests_in_window > limit) {
    HTTP 429 Too Many Requests
    wp_die('Muitas requisições. Aguarde.')
}

Detecção de IP:

1. HTTP_CF_CONNECTING_IP (Cloudflare)
2. HTTP_X_REAL_IP (Nginx)
3. HTTP_X_FORWARDED_FOR (Proxy)
4. REMOTE_ADDR (padrão)

Honeypot

Técnica: Campos HTML ocultos via CSS absoluto

Implementação:

<p style="position:absolute; left:-9999px;">
  <input type="text" name="abf_hp" value="" autocomplete="off" tabindex="-1">
</p>

Campos protegidos:

• Login (wp-login.php)
• Registro de usuários
• Comentários

Ação quando bot detectado:

1. Define cookie abf_bot=1 (válido por 1 hora)
2. Bloqueia ação imediatamente (HTTP 403)
3. Previne envios de e-mail via wp_mail()

Custom Login URL

Método: Rewrite interno do REQUEST_URI
Bloqueio: Hook wp_loaded com verificação de $pagenow

Exceções permitidas:

• Logout (?action=logout)
• Postback do formulário ($_POST['log'] presente)

Fluxo interno:

// Usuário acessa: seusite.com/meu-slug
↓
// Plugin intercepta e reescreve para:
$_SERVER['SCRIPT_NAME'] = '/wp-login.php';
require ABSPATH . 'wp-login.php';

🐛 Troubleshooting

❌ Perdi acesso ao painel (Custom Login esquecido)

Solução 1: Via FTP (Recomendado)

1. Conecte-se via FTP ao seu servidor
2. Navegue até /wp-content/plugins/
3. Renomeie a pasta: anti-bot-firewall → anti-bot-firewall-OFF
4. Acesse seusite.com/wp-login.php normalmente
5. Ative o plugin novamente e reconfigure

Solução 2: Via phpMyAdmin

-- Acesse phpMyAdmin
-- Selecione seu banco WordPress
-- Execute:

UPDATE wp_options 
SET option_value = REPLACE(
    option_value, 
    '"custom_login_slug";s:20:"seu-slug-aqui"', 
    '"custom_login_slug";s:0:""'
) 
WHERE option_name = 'abf_options';

Solução 3: Via wp-config.php

// Adicione temporariamente em wp-config.php:
define('ABF_EMERGENCY_DISABLE', true);

// Faça login normalmente
// Depois remova essa linha

❌ Geo-blocking bloqueando todos os acessos

Diagnóstico:

1. Verifique se o IP está sendo detectado:

// Adicione temporariamente no arquivo do plugin:
error_log('IP detectado: ' . $this->client_ip());

2. Teste o ipapi.co manualmente:

curl https://ipapi.co/SEU_IP/country/
# Deve retornar: BR (ou outro código)

3. Verifique configuração de países:

• Use apenas códigos ISO2 em MAIÚSCULO
• Separados por vírgula: BR, PT, US
• ❌ Errado: Brasil, Portugal
• ✅ Correto: BR, PT

Soluções:

• Se estiver atrás de proxy/CDN (Cloudflare), certifique-se que os headers corretos estão sendo enviados
• Aumente o cache para reduzir chamadas: 7 * DAY_IN_SECONDS
• Desative temporariamente para testar: desmarque “Ativar Geo Whitelist”

❌ Rate Limit bloqueando usuários legítimos

Sintomas:

• Usuários recebem “Muitas requisições”
• Checkout do WooCommerce falhando
• Formulários de contato bloqueados

Soluções:

1. Aumente os limites:

Janela: 120 segundos (ao invés de 60)
Limite: 50 requisições (ao invés de 30)

2. Para e-commerce:

Janela: 60s
Limite: 60 requisições
(checkout pode gerar múltiplos POSTs)

3. Desative temporariamente para diagnosticar:

• Desmarque “Ativar Rate Limit”
• Teste o processo que estava falhando
• Se funcionar, ajuste os limites gradualmente

❌ Google Ads bloqueando campanhas

Causa: Geo-blocking impedindo AdsBot de acessar ads.txt ou rastrear conversões

Sintomas:

• Campanhas pausadas automaticamente
• Erro: “Unable to crawl your site”
• Políticas de anúncios violadas

Solução:

1. Certifique-se de ativar “Permitir bots legítimos” ✅
2. Teste manualmente:

curl -A "AdsBot-Google" https://seusite.com/ads.txt
# Deve retornar o conteúdo do arquivo, não 403

3. Verifique se ads.txt está na lista de arquivos públicos:

// Deve estar em is_public_safe_route():
'/ads.txt'
'/app-ads.txt'

4. Teste outros recursos:

curl -A "AdsBot-Google" https://seusite.com/
curl -A "Googlebot" https://seusite.com/sitemap.xml

❌ Honeypot bloqueando usuários reais

Causas possíveis:

• Autocomplete do navegador preenchendo o campo oculto
• Gerenciador de senhas preenchendo todos os campos
• JavaScript desabilitado (campo pode ficar visível)

Soluções:

1. Adicione autocomplete="off" nos campos (já incluído)
2. Use tabindex="-1" para navegação por teclado (já incluído)
3. Se o problema persistir, desative temporariamente:

Desmarque "Ativar Honeypot"

❌ XML-RPC necessário mas está bloqueado

Cenários onde XML-RPC é necessário:

• Apps móveis oficiais do WordPress (antigos)
• Jetpack (usa XML-RPC para conexão)
• Pingbacks/Trackbacks entre sites

Solução:

1. Para Jetpack:

Desmarque "Desativar XML-RPC"
(Jetpack precisa dele)

2. Para apps móveis modernos:

• Atualize para o app oficial mais recente
• Use a REST API ao invés de XML-RPC

3. Alternativa mais segura:

• Mantenha XML-RPC desativado
• Use autenticação por aplicativo
• Configure allowlist de IPs se absolutamente necessário

❌ Site lento após ativar o plugin

Causas:

• Muitas chamadas ao ipapi.co (sem cache)
• Rate limiting verificando a cada request

Soluções:

1. Cache de geolocalização está ativo:

// Verifica se o cache está funcionando:
// Cache padrão: 7 dias por IP
set_transient($key, $country, 7 * DAY_IN_SECONDS);

2. Verifique slow query log:

-- Transients não devem causar lentidão
-- Se houver muitos expirados, limpe:
DELETE FROM wp_options 
WHERE option_name LIKE '_transient_abf_%' 
AND option_value < UNIX_TIMESTAMP();

3. Use CDN/proxy que passa headers corretos:

• Cloudflare: HTTP_CF_CONNECTING_IP
• Nginx: HTTP_X_REAL_IP

📊 Logs e Monitoramento

O plugin não armazena logs por padrão (performance). Para monitorar:

Opção 1: Debug Log do WordPress

// Em wp-config.php:
define('WP_DEBUG', true);
define('WP_DEBUG_LOG', true);
define('WP_DEBUG_DISPLAY', false);

// Logs salvos em: wp-content/debug.log

Opção 2: Plugins de Log

• WP Activity Log (gratuito)
• Simple History (gratuito)
• WP Security Audit Log (freemium)

Opção 3: Server-Level

# Apache error log
tail -f /var/log/apache2/error.log | grep abf

# Nginx error log
tail -f /var/log/nginx/error.log | grep abf

Métricas importantes para monitorar:

• ✅ Tentativas de login falhadas por IP
• ✅ IPs bloqueados por país
• ✅ Rate limits atingidos
• ✅ Honeypots ativados

🔐 Melhores Práticas

✅ Configuração Padrão Recomendada

Geo Whitelist: BR
Permitir bots legítimos: ✅ Ativo
Custom Login: site-admin-xyz-2024
Honeypot: ✅ Ativo
Login Lock: 5 tentativas / 15 minutos
Rate Limit: 30 req / 60s
XML-RPC: ❌ Desativado
Security Headers: ✅ Ativo
wp_mail Protection: ✅ Ativo

🔒 Segurança Máxima (Paranóica)

Geo Whitelist: BR
Custom Login: slug-muito-complexo-aleatorio-2024-xyz
Login Lock: 3 tentativas / 30 minutos
Rate Limit: 15 req / 60s
Todos os outros: ✅ Ativo

⚖️ Balanceada (Usabilidade + Segurança)

Geo Whitelist: BR, US, PT
Custom Login: painel-admin
Login Lock: 5 tentativas / 15 minutos
Rate Limit: 40 req / 60s

🛒 E-commerce Internacional

Geo Whitelist: ❌ Desativado (ou lista ampla de países)
Permitir bots legítimos: ✅ Ativo
Custom Login: ✅ Ativo
Rate Limit: 60 req / 60s (checkout intensivo)

Outras recomendações:

1. Sempre use HTTPS (SSL ativo)
2. Mantenha WordPress atualizado
3. Faça backups regulares (diários se possível)
4. Use senhas fortes (20+ caracteres)
5. Limite tentativas de login (3-5 máximo)
6. Monitore logs regularmente
7. Teste em staging primeiro