InspectWP Logo
Boas práticas

Lançando um novo site WordPress — o que verificar

8 de fevereiro de 2026 Atualizado em 19 de abr. de 2026

Lançar um novo site WordPress sem uma revisão pré-lançamento minuciosa é como abrir uma loja sem verificar se as portas trancam ou se as luzes funcionam. Muitos problemas que aparecem após o lançamento, de vulnerabilidades de segurança a configurações incorretas de SEO, são significativamente mais difíceis e constrangedores de corrigir depois que visitantes reais e motores de busca já chegaram. Esta lista de verificação cobre tudo o que você precisa verificar antes de virar a chave, organizada por categoria. Uma única varredura do InspectWP pode verificar a maioria desses itens automaticamente.

Checklist de segurança WordPress pré-lançamento

Lacunas de segurança no lançamento são particularmente problemáticas porque bots automatizados varrem novas instalações WordPress e podem explorar configurações padrão em horas.

  • Certificado SSL instalado e verificado: Abra seu site no navegador e confirme que o ícone de cadeado aparece. Clique nele para verificar se o certificado é válido, não expirado e emitido para o domínio correto. Teste tanto https://example.com quanto https://www.example.com (qualquer um que você use).
  • Redirecionamento HTTP-para-HTTPS funcionando: Digite manualmente http://seudominio.com no navegador e confirme que ele redireciona para a versão HTTPS com um redirecionamento 301 (permanente), não 302 (temporário). Teste com variantes www e não-www.
  • Cabeçalhos de segurança configurados: Verifique se os seguintes cabeçalhos estão presentes nas respostas do seu servidor: HSTS (Strict-Transport-Security), X-Frame-Options, X-Content-Type-Options, Referrer-Policy e Permissions-Policy. Um Content-Security-Policy é opcional no lançamento, mas deve estar em seu roadmap. O InspectWP verifica todos eles automaticamente.
  • Núcleo do WordPress, todos os plugins e todos os temas totalmente atualizados: Mesmo que você tenha instalado tudo há uma semana, verifique se há atualizações. Desenvolvedores do WordPress e de plugins lançam patches de segurança com frequência. Vá para Painel > Atualizações e certifique-se de que tudo esteja atualizado.
  • Nome de usuário padrão "admin" alterado: Se você criou a conta de usuário inicial com o nome de usuário "admin", crie uma nova conta de administrador com um nome de usuário diferente, reatribua todo o conteúdo e apague a conta "admin" antiga. Invasores tentam esse nome de usuário primeiro em ataques de força bruta.
  • Senhas fortes e únicas em todas as contas: Cada conta de usuário deve ter uma senha de pelo menos 16 caracteres, gerada aleatoriamente e não reutilizada de qualquer outro site. Use um gerenciador de senhas. Habilite a autenticação de dois fatores (2FA) para todas as contas de administrador.
  • XML-RPC desabilitado se não for necessário: A menos que você use o Jetpack ou o aplicativo móvel WordPress, desabilite o XML-RPC inteiramente. É um alvo comum para ataques de amplificação de força bruta. Bloqueie-o no nível do servidor ou com um plugin de segurança.
  • Endpoint de usuário da REST API restrito: Teste visitando seudominio.com/wp-json/wp/v2/users em seu navegador. Se ele retornar uma lista de nomes de usuário, você precisa restringir esse endpoint apenas a usuários autenticados.
  • Edição de arquivos no admin desabilitada: Adicione define('DISALLOW_FILE_EDIT', true); ao seu wp-config.php. Isso impede que qualquer um (incluindo invasores que ganham acesso de admin) edite arquivos de tema ou plugin pelo painel do WordPress.
  • debug.log não acessível publicamente: Navegue para seudominio.com/wp-content/debug.log em seu navegador. Se você ver a saída do log, ou apague o arquivo ou bloqueie o acesso a ele via configuração do servidor. Em produção, defina WP_DEBUG como false e WP_DEBUG_LOG como false em seu wp-config.php.
  • Conteúdo padrão desnecessário removido: Apague o post de exemplo "Olá, mundo!", a página de exemplo e o comentário de exemplo. Remova temas não utilizados (mantenha apenas seu tema ativo e um tema padrão como fallback). Remova quaisquer plugins que você instalou para teste, mas não precisa em produção.
  • Solução de backup configurada e testada: Configure backups automatizados antes do lançamento, não depois. Configure um plugin como UpdraftPlus para fazer backup em um local externo (Amazon S3, Google Drive, Dropbox). Execute um backup de teste e verifique se você consegue restaurar a partir dele.

Configuração SEO pré-lançamento do WordPress

Configurações erradas de SEO no lançamento podem ter consequências duradouras. Se os motores de busca indexarem seu site incorretamente nas primeiras semanas, pode levar meses para se recuperar.

  • Sitemap XML criado e enviado: Instale um plugin de SEO (Yoast SEO, Rank Math ou SEOPress) e confirme que ele gera um sitemap. Envie a URL do sitemap ao Google Search Console. Se seu site ainda não está no Search Console, adicione-o agora e verifique a propriedade.
  • robots.txt revisado: Visite seudominio.com/robots.txt e verifique se ele não está bloqueando nenhum conteúdo importante. Um erro comum é deixar regras do ambiente de staging que bloqueiam todo o rastreamento. Seu robots.txt deve incluir uma referência ao seu sitemap.
  • "Desencorajar motores de busca" está DESMARCADO: Vá para Configurações > Leitura em seu painel WordPress. Certifique-se de que "Desencorajar mecanismos de busca de indexar este site" não esteja marcado. Esta caixa de seleção é frequentemente habilitada durante o desenvolvimento e esquecida no lançamento. Quando habilitada, o WordPress adiciona uma meta tag noindex a todas as páginas e bloqueia motores de busca via robots.txt.
  • Meta descrições definidas para todas as páginas-chave: No mínimo, escreva meta descrições únicas para sua página inicial, página sobre, páginas de serviço/produto e quaisquer outras páginas de alta prioridade. Esses são os snippets que aparecem nos resultados de busca e influenciam diretamente as taxas de cliques.
  • Uma tag H1 por página com hierarquia de cabeçalhos correta: Verifique sua página inicial e todas as páginas principais. Certifique-se de que cada página tenha exatamente um H1 (tipicamente o título da página) e que os cabeçalhos sigam a hierarquia correta (H1 > H2 > H3, sem pular). Alguns temas e page builders criam problemas de cabeçalho que não são óbvios no editor visual.
  • Tags canônicas presentes em todas as páginas: Verifique se cada página inclui uma tag <link rel="canonical"> apontando para sua própria URL. A maioria dos plugins de SEO lida com isso automaticamente, mas verifique algumas páginas para confirmar. Tags canônicas incorretas podem fazer com que motores de busca ignorem suas páginas inteiramente.
  • Dados estruturados JSON-LD adicionados: No mínimo, adicione o schema Organization (para sua empresa ou marca) e o schema Article (para posts de blog). O schema Breadcrumb também é valioso para sites com navegação intensa. Teste seus dados estruturados usando a ferramenta Rich Results Test do Google.
  • Tags Open Graph e Twitter Card configuradas: Compartilhe um link para seu site no Facebook e Twitter (X) e verifique se a prévia parece correta: título, descrição e imagem destacada adequados. Use o Sharing Debugger do Facebook e o Card Validator do Twitter para testar e limpar caches se necessário.
  • Permalinks definidos para estrutura amigável ao SEO: Vá para Configurações > Links Permanentes e selecione "Nome do post" (a estrutura /%postname%/). Evite estruturas baseadas em data ou numéricas. Se você alterar essa configuração depois que o conteúdo for publicado, configure redirecionamentos 301 das URLs antigas para as novas.
  • Sem tags noindex acidentais: Verifique a fonte HTML de suas páginas-chave em busca de <meta name="robots" content="noindex">. Alguns plugins de SEO permitem definir noindex em páginas individuais, e isso às vezes é aplicado acidentalmente durante a criação de conteúdo.

Otimização de desempenho WordPress pré-lançamento

As primeiras impressões importam. Se os visitantes chegarem a um site lento no lançamento, eles sairão e podem não retornar.

  • Plugin de cache instalado e configurado: O cache de página é a otimização de desempenho mais impactante. Instale o WP Rocket, LiteSpeed Cache ou WP Super Cache e verifique se está funcionando, conferindo os cabeçalhos de resposta ou a fonte da página em busca de indicadores de cache. Veja o guia de desempenho (KB-58) para instruções detalhadas de configuração.
  • Compressão Gzip ou Brotli habilitada: Verifique seus cabeçalhos de resposta em busca de Content-Encoding: gzip ou Content-Encoding: br. A maioria dos plugins de cache habilita a compressão automaticamente. Se não, configure-a no nível do servidor.
  • Imagens otimizadas antes do lançamento: Passe todas as imagens enviadas por um plugin de otimização (ShortPixel, Imagify, Smush). Converta para o formato WebP onde possível. Habilite o lazy loading para imagens abaixo da dobra. Verifique se nenhuma imagem superdimensionada está sendo servida, conferindo as dimensões da imagem nas ferramentas de desenvolvedor do navegador.
  • HTTP/2 habilitado: Isso geralmente é automático quando o HTTPS está ativo. Verifique conferindo a coluna de protocolo na aba de rede do seu navegador ou executando uma varredura do InspectWP. Se você ainda está em HTTP/1.1, contate seu provedor de hospedagem.
  • Sem plugins desnecessários instalados: Revise sua lista de plugins uma última vez. Remova quaisquer plugins que foram instalados para fins de desenvolvimento, teste ou avaliação. Cada plugin desnecessário adiciona tempo de carregamento, aumenta sua superfície de ataque e cria sobrecarga de manutenção.
  • Core Web Vitals passando: Teste suas páginas-chave com o Google PageSpeed Insights. Mire em Largest Contentful Paint (LCP) abaixo de 2,5 segundos, Interaction to Next Paint (INP) abaixo de 200ms e Cumulative Layout Shift (CLS) abaixo de 0,1. Corrija quaisquer problemas importantes antes do lançamento.
  • CSS e JavaScript minificados: Habilite a minificação em seu plugin de cache e verifique se seu site ainda funciona corretamente. Teste formulários, sliders, accordions e quaisquer elementos interativos para garantir que a minificação não tenha quebrado a funcionalidade JavaScript.

Conformidade pré-lançamento com GDPR e privacidade

Acertar a privacidade desde o primeiro dia é crítico. Correções retroativas após uma reclamação ou multa são muito mais caras e estressantes do que configurar as coisas corretamente desde o início.

  • Banner de consentimento de cookies instalado e adequadamente configurado: Instale um plugin de gerenciamento de consentimento (Complianz, Real Cookie Banner ou Cookiebot). Verifique se cookies e scripts não essenciais são realmente bloqueados antes que o consentimento seja dado. Teste abrindo seu site em uma janela anônima, recusando todos os cookies e verificando a aba de rede do navegador em busca de requisições de terceiros.
  • Google Fonts hospedadas localmente: Abra a aba de rede do seu navegador e procure por requisições a fonts.googleapis.com ou fonts.gstatic.com. Se alguma aparecer, mude para fontes hospedadas localmente. Plugins como OMGF ou Local Google Fonts lidam com isso automaticamente.
  • Gravatar desabilitado ou configurado para carregamento baseado em consentimento: Verifique Configurações > Discussão. Ou desabilite o Gravatar inteiramente ou use um plugin que mostra um placeholder local e só carrega imagens do Gravatar após consentimento.
  • Página de política de privacidade publicada e linkada: Crie uma política de privacidade abrangente que cubra todo o processamento de dados em seu site. Faça link com ela no rodapé de cada página e em qualquer formulário que colete dados pessoais. Defina-a como a página de política de privacidade em Configurações > Privacidade.
  • Página de Aviso Legal / Imprint publicada (Alemanha/Áustria): Se seu site tem como alvo visitantes alemães ou austríacos, você deve ter uma página de Impressum com seu nome legal completo, endereço postal, e-mail e número de telefone. Torne-a acessível de cada página via um link no rodapé ou cabeçalho.
  • Sem recursos externos carregando sem consentimento: Além do Google Fonts e Gravatar, verifique se há jQuery hospedado em CDN, Font Awesome, Google Analytics, Google Maps, pixel do Facebook, vídeos incorporados do YouTube e quaisquer outros serviços externos. Cada um precisa ou de um mecanismo de consentimento ou de uma alternativa de hospedagem local.
  • Formulários de contato incluem avisos de privacidade: Cada formulário que coleta dados pessoais deve incluir uma caixa de seleção desmarcada com um link para sua política de privacidade. Configure seu plugin de formulário para incluir um campo de consentimento de processamento de dados.

Teste de funcionalidade pré-lançamento

Perfeição técnica não significa nada se recursos básicos não funcionam para seus visitantes.

  • Todos os links internos funcionando: Clique pelo seu site sistematicamente ou use uma ferramenta como o Broken Link Checker para encontrar erros 404. Preste atenção especial aos menus de navegação, links de rodapé e links no conteúdo. Corrija ou redirecione quaisquer URLs quebradas.
  • Formulários de contato enviando e-mails corretamente: Envie entradas de teste por cada formulário em seu site. Verifique se os e-mails de confirmação chegam à caixa de entrada pretendida (não à pasta de spam). Teste com múltiplos provedores de e-mail (Gmail, Outlook, e-mail corporativo). Se os e-mails dos formulários não estão chegando, instale o WP Mail SMTP para rotear e-mails através de um servidor SMTP adequado em vez de PHP mail.
  • Design responsivo móvel verificado em dispositivos reais: Não dependa apenas das ferramentas de desenvolvedor do navegador para testes móveis. Teste em telefones e tablets reais, se possível. Verifique se o texto é legível sem zoom, se os botões são grandes o suficiente para tocar e se nenhum scroll horizontal ocorre. Teste tanto orientações retrato quanto paisagem.
  • Testes cross-browser concluídos: Teste seu site em Chrome, Firefox, Safari e Edge no mínimo. Preste atenção a fontes, layout, formulários e funcionalidade JavaScript. Se sua audiência inclui usuários corporativos, considere testar versões de navegador mais antigas.
  • Solução de backup configurada e primeiro backup concluído: Não lance sem um backup funcional. Configure backups diários automáticos para um local externo. Execute o primeiro backup manualmente e verifique se o arquivo de backup está completo e baixável. Teste a restauração em um ambiente de staging, se possível.
  • Análises configuradas com consentimento adequado: Configure o Google Analytics, Matomo ou sua ferramenta preferida de análise atrás do seu mecanismo de consentimento de cookies. Verifique se o rastreamento só ativa após o visitante dar consentimento. Verifique se as visualizações de página estão sendo registradas corretamente, visitando seu site e revisando o painel de análises em tempo real.
  • Página de erro 404 personalizada: A página 404 padrão do WordPress é genérica e pouco útil. Crie uma página 404 personalizada que inclua a navegação do seu site, uma barra de busca e links para seu conteúdo mais importante. Isso ajuda os visitantes a encontrar o que procuram em vez de saírem.
  • Notificações por e-mail configuradas: Verifique se o e-mail do administrador do WordPress está correto (Configurações > Geral). Teste se você recebe notificações para envios de formulário, registros de usuário, alertas de atualização e alertas de plugin de segurança. Essas notificações são seu sistema de aviso antecipado para problemas.

Execute uma varredura do InspectWP antes de entrar no ar

Antes de virar a chave, execute uma varredura abrangente do InspectWP em seu site. Ela verifica configuração SSL, cabeçalhos de segurança HTTP, versão e configuração do WordPress, plugins instalados, meta tags de SEO e estrutura de cabeçalhos, métricas de desempenho incluindo compressão e versão HTTP, recursos externos relevantes ao GDPR, e muito mais. Tudo em uma única varredura que leva menos de um minuto. Isso lhe dá um check-up completo de saúde do seu site antes que visitantes reais cheguem, para que você possa corrigir quaisquer problemas remanescentes enquanto os riscos ainda são baixos. Após o lançamento, configure varreduras automáticas para monitorar seu site continuamente e receber alertas quando algo mudar.

Artigo anterior

Guia de otimização de desempenho do WordPress

Artigos relacionados

Guia de otimização de desempenho do WordPress

Checklist de SEO do WordPress

Checklist de conformidade com o GDPR no WordPress

Ver todos os artigos

Verifique seu site WordPress agora

O InspectWP analisa seu site WordPress em busca de problemas de segurança, problemas de SEO, conformidade com GDPR e desempenho — gratuitamente.

Analise seu site grátis