SysWP Shield está no ar — e estamos te mostrando exatamente que tipo de tráfego seu site recebe

Todo dono de site já se fez a mesma pergunta: das requisições chegando no meu site agora, quantas são humanos reais? Quantas são scrapers? Quantas são bots de IA queimando minha banda? Quantas são ataques de verdade?

Nos últimos 15 anos a resposta tem sido a mesma: ninguém sabe, porque nenhum plugin mostra. O Wordfence te mostra bloqueios. O Sucuri te mostra bloqueios. O Cloudflare te mostra bloqueios. Ninguém mostra a divisão completa.

Acabamos de lançar o plugin que faz isso. SysWP Shield está no ar, grátis, e pronto para WordPress 7 desde o primeiro dia.

O que construímos

SysWP Shield é um firewall comportamental + rede de inteligência de ameaças cross-stack. O plano grátis já inclui o motor completo de detecção de 16 sinais. Premium adiciona a rede cross-site, gerenciamento multi-site e relatórios mais ricos.

O que faz diferente — e o que nenhum outro plugin de segurança de WordPress faz hoje:

1. O donut de Tipo de Tráfego

Cada requisição que chega no seu site é classificada em uma de seis categorias, visível em um relance tanto no seu wp-admin QUANTO no seu dashboard SaaS:

• 🟢 Humanos — visitantes reais
• 🟪 Crawlers — Googlebot, Bingbot, Facebook, Apple, etc. — verificados por Forward-Confirmed Reverse DNS (o padrão ouro, não apenas um match de UA string)
• 🟣 Bots de IA — GPTBot, ClaudeBot, CCBot, PerplexityBot, Bytespider, Meta-ExternalAgent, +15 mais
• 🔵 SysWP — nossos próprios scanners de infraestrutura (para que quando você auditar seus access logs não os confunda com atacantes)
• 🟧 Bots — scrapers throttleados (suspeitos mas não bloqueados)
• 🟥 Ataques — tráfego malicioso bloqueado

O tráfego interno do admin (wp-cron, AJAX do Gutenberg, polling do seu próprio admin) é excluído. Os percentuais refletem o que seus visitantes reais estão fazendo.

2. Bots de IA classificados corretamente — não jogados todos juntos

Cada plugin de bots de IA que avaliamos os trata como um único bucket: “bloquear bots de IA: sim/não.” Essa é uma forma terrível de tomar essa decisão porque bots de IA não são todos iguais.

Nós os dividimos em três toggles independentes:

• Crawlers de treinamento (GPTBot, ClaudeBot, CCBot, Bytespider…) — scrapeiam para treinar futuros LLMs. Zero retorno direto pro seu site. A maioria dos publishers quer estes bloqueados.
• Crawlers de busca/respostas (OAI-SearchBot, PerplexityBot, Amazonbot, YouBot…) — indexam seu site para que a IA cite ele em respostas em tempo real. O equivalente moderno do SEO. A maioria dos sites deveria deixar estes ON.
• Iniciados pelo usuário (ChatGPT-User, Perplexity-User, Claude-Web) — disparam quando um humano real cola sua URL no ChatGPT ou Perplexity. Bloquear estes bloqueia usuários reais.

Você vê a contagem de hits das últimas 24 horas ao lado de cada toggle, então pode decidir baseado no seu tráfego real, não em conselhos genéricos.

3. Inteligência de rede cross-site

Quando um atacante toca um site da nossa rede, todos os outros sites podem bloqueá-lo em minutos — sem gastar um único ciclo de CPU em detecção. O motor de consensus promove IPs que 2+ sites independentes marcam como maliciosos dentro de uma janela de 24 horas. Melhor signal-to-noise que uma reputation list de um único site.

4. Compatibilidade day-one com WordPress 7

WordPress 7 sai em menos de um mês. Já estamos testando contra RC2 em produção local há semanas. Cada admin tab renderiza, cada hook dispara, cada cron agenda, cada endpoint REST responde. O plugin já declara Tested up to: 7.0.

A maioria dos plugins de segurança vai chegar 30+ dias atrasada no launch. Nós chegamos prontos.

5. Scanning de vulnerabilidades

Seus plugins instalados, themes e versão do WP são comparados contra o banco de dados CVE do Wordfence em cada heartbeat. Quando uma vuln crítica aparece, você vê um aviso persistente do admin em cada página do wp-admin (dismissable, mas reaparece quando uma NOVA crítica chega). Mais um email de resumo semanal sumarizando o que está aberto e o que foi resolvido.

Passo a passo: como é sua primeira hora

Se você é cético (deveria ser — todo plugin promete tudo), aqui está o que realmente acontece quando você instala:

Passo 1 — Instalar (30 segundos)

Baixe em shield.syswp.pro/plugin. Instale + ative. O plano grátis funciona imediatamente, sem necessidade de conta.

Passo 2 — Opcional: conectar ao SaaS (2 minutos)

O plano grátis protege seu site sem nenhuma conta paga. Para desbloquear o feed da rede, dashboard multi-site, gerenciamento de bots de IA e scanning de vulnerabilidades, cadastre-se em shield.syswp.pro, adicione seu site, copie a api_key + api_secret mostradas UMA vez, cole em Shield → Settings → Connection, clique Testar conexão. Deve ficar verde em segundos.

O formulário de cadastro pré-preenche seu idioma preferido baseado na sua localização — visitantes brasileiros recebem Português, países de língua hispânica Espanhol, todos os outros Inglês. O preço é mostrado em USD com o valor aproximado na sua moeda local à cotação do dia.

Passo 3 — Primeiro heartbeat (dentro de 5 minutos)

O plugin envia seu primeiro heartbeat ao SaaS. Seu site aparece no dashboard com status last-seen-just-now. Sua stack instalada de plugins/themes é escaneada contra o banco de vulnerabilidades. Se algo voltar como crítico ou alto, o aviso persistente do admin aparece no seu próximo carregamento de página do wp-admin.

Passo 4 — Primeiros dados do Traffic Mix (dentro de 1 hora)

O cron horário do agregador do plugin roda e o donut se preenche com números reais. Atualize sua aba Shield → Dashboard e você verá seu tráfego dividido pela primeira vez. A maioria dos donos de sites se surpreende — acontece que 15-30% do “seu tráfego” são na verdade bots sobre os quais você não tinha visibilidade.

Passo 5 — Primeiro bot de IA detectado (tipicamente dentro de 24 horas)

A maioria dos sites ativos recebe crawls de GPTBot, ClaudeBot, CCBot ou PerplexityBot dentro de um dia. A fatia de bots de IA do donut se preenche. Abra Shield → Bot Management e você verá as contagens de hits por propósito. Decida quais bloquear.

Passo 6 — Primeiro ataque bloqueado (timing varia)

Se seu site tem qualquer superfície pública, você já está recebendo probes — força-bruta de wp-login, abuso de /xmlrpc.php, scans de padrões de exploits. A fatia de Ataques do donut cresce. Verifique Shield → Logs para detalhes.

Passo 7 — Opcional: adicionar o footer badge (30 segundos)

Settings → General → Footer badge → escolha uma variante → Salvar. Um pequeno link “Protegido pelo SysWP Shield” aparece no rodapé do seu site, com atribuição de referrals. Se um visitante clica e se cadastra, seu site recebe o crédito. Os top referrers aparecem no leaderboard do super-admin.

Passo 8 — É isso

O plugin roda desatendido a partir daí. Manutenção diária, agregação horária de tráfego, emails de resumo semanal, comandos push em tempo real do SaaS para desbloqueios de emergência — tudo automático. Você só toca quando quer ajustar comportamento.

O que NÃO está no plugin (intencionalmente)

Estamos orgulhosos do que deixamos DE FORA:

• Sem bundles externos de CSS/JS — o wp-admin renderiza com classes utility do Tailwind inlined. Sem Chart.js, sem React, sem adicionar jQuery.
• Sem dependências Composer — PHP puro, ships em um zip de 1.5MB.
• Sem ciclo de bloqueio de banco de dados — se nosso SaaS estiver inalcançável, o plugin continua protegendo seu site. O plano grátis funciona completo offline.
• Sem ads, sem modais de upsell — a única UI de “compre isso” é uma card em Settings, e só quando você excede os limites do plano grátis.
• Sem timers de contagem regressiva falsos, sem padrões obscuros de escassez.

Preço que não insulta sua inteligência

• Free: 1 site, detecção de 16 sinais, attack mode, escalation. Feed de rede incluído.
• Starter ($9 USD/mês, ≈ R$ 45 BRL): 1 sites, retenção de logs 30 dias, dashboard multi-site.
• Pro ($39 USD/mês, ≈ R$ 203 BRL): 5 sites, retenção 90 dias, resumos semanais, gerenciamento de bots de IA.
• Agency ($69 USD/mês, ≈ R$ 359 BRL): 10 sites, badge white-label, suporte prioritário.

Preço em USD em todos os planos (Stripe cobra em USD). A aproximação em BRL é mostrada para visitantes brasileiros à cotação do dia para que não haja surpresas no checkout.

O que vem a seguir

Phase 0 (scanning de vulnerabilidades, sync do Wordfence) shipped hoje. Próximo no roadmap:

• 2FA TOTP per-user — incluído no plugin, sem necessidade de MiniOrange/Wordfence Premium
• Geração de Regras com IA — o SaaS propõe novas regras de firewall dentro de horas da divulgação de um CVE, valida elas em um sandbox Browserless, depois faz push-deploy para todos os sites
• Expansão multi-stack — módulo Drupal, package Laravel, middleware Next.js, Cloudflare Worker. Mesma inteligência de rede, cada stack.

Não pré-anunciamos datas. Quando algo sai, você vê no changelog.

Teste

Baixar o plugin — funciona em minutos, plano grátis sem cartão.

Ler as docs — cada feature explicada, em Inglês, Espanhol e Português.

Página de readiness para WordPress 7 — o que testamos, o que mudou, por que estamos confiantes.

Se você encontrar um bug, o rescue token em Settings → Connection é sua saída de emergência. Documentamos cada caminho de recovery via cPanel + phpMyAdmin (sem SSH necessário) porque é assim que o hosting dos clientes realmente funciona.

Bem-vindo à rede.

— A equipe SysWP