Nginx ou Apache para WordPress — qual é melhor?

Para WordPress em VPS com configuração adequada, Nginx com PHP-FPM tem tipicamente melhor performance: menor uso de memória, melhor handling de conexões concorrentes e servir ficheiros estáticos mais rapidamente. Apache é preferído quando os sites dependem muito de .htaccess (algumas aplicações usam .htaccess extensivamente). Para a maioria dos WordPress modernos, Nginx é a escolha de melhor performance.

O que é PHP-FPM e porque é recomendado?

PHP-FPM (FastCGI Process Manager) é a forma mais eficiente de executar PHP num servidor web. Em vez de cada request criar um novo processo PHP, o FPM mantém um pool de processos PHP prontos a responder. Resulta em melhor performance, menor uso de memória e possibilidade de ter pools PHP separados por site com usuário próprio para isolamento de segurança.

Como configurar Nginx para WordPress corretamente?

A configuração Nginx para WordPress requer: server block com listen 80/443, SSL com ciphers seguros, try_files para WordPress rewrite rules, localizações para bloquear acesso a ficheiros sensíveis (wp-config.php, xmlrpc.php), passagem correta de headers para PHP-FPM (X-Forwarded-For, proto), gzip para texto e cabeçalhos de cache para estáticos. Uma má configuração pode expor ficheiros sensíveis ou deixar vulnerabilidades abertas.

Como ativar HTTP/2 no Nginx e Apache?

No Nginx: adicionar http2 na diretiva listen (listen 443 ssl http2). No Apache: ativar o módulo mod_http2 e adicionar Protocols h2 http/1.1 no VirtualHost. HTTP/2 requer SSL/TLS — não funciona em HTTP. Os benefícios incluem multiplexing (múltiplos requests por ligação), header compression e server push, resultando em carregamentos mais rápidos especialmente para páginas com muitos recursos.

O que são security headers e como configurá-los no Nginx?

Security headers são cabeçalhos HTTP que instruem o browser a aplicar políticas de segurança: X-Frame-Options (anti-clickjacking), X-Content-Type-Options (anti-MIME sniffing), Strict-Transport-Security (força HTTPS), Referrer-Policy e Content-Security-Policy (controla recursos que a página pode carregar). No Nginx são configurados com diretivas add_header no server block ou em include files reutilizáveis.

Servidores & Infraestrutura

Configuração Nginx e Apache:
web server otimizado e seguro para WordPress em produção

Configuração profissional de Nginx ou Apache para WordPress com PHP-FPM, virtual hosts, SSL, HTTP/2, gzip, security headers e bloqueio de acesso a ficheiros sensíveis. Performance e segurança no servidor web.

Configurar web server Ver o que está incluído →

Nginx ou Apache com PHP-FPM SSL + HTTP/2 configurados Security headers incluídos Compatível com WooCommerce

Configuração de virtual hosts — server blocks Nginx ou VirtualHosts Apache corretamente configurados para cada domínio, com redirect www/non-www e HTTP para HTTPS.

PHP-FPM otimizado — pools PHP-FPM por site ou partilhado com processo manager dinâmico, max_children e memória ajustados ao hardware e tráfego esperado.

SSL/TLS com ciphers seguros — configuração de TLS 1.2/1.3, ciphers modernos, HSTS, OCSP stapling e HTTP/2 para A+ no SSL Labs.

Compressão Gzip/Brotli — ativação e configuração de compressão para HTML, CSS, JS e outros tipos de texto, reduzindo o tamanho de transferência em 60-80%.

Cache de ficheiros estáticos — headers de cache (Cache-Control, Expires) para imagens, CSS, JS e outros assets estáticos para maximizar o uso de cache do browser.

Security headers — X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security, Referrer-Policy e Content-Security-Policy configurados para a vossa stack.

Bloqueio de acesso a ficheiros sensíveis — regras para bloquear acesso a wp-config.php, xmlrpc.php, .env, .git e outros ficheiros que não devem ser públicos.

Logs e monitorização — configuração de access e error logs com rotação automática e integração com ferramentas de monitorização quando aplicável.

Ficheiros sensíveis expostos

wp-config.php, .env e outros ficheiros de configuração com credenciais de base de dados acessíveis via browser — erro comum em configurações Nginx incorretas.

Performance deficiente

Sem compressão, sem cache de browser e sem HTTP/2, o mesmo servidor é várias vezes mais lento do que devia. Configuração correta transforma a experiência de utilizador sem mudar o hardware.

SSL mal configurado

SSL instalado mas com ciphers desatualizados, sem HSTS ou com erros mixed content que degradam a segurança e podem causar warnings no browser nos visitantes.

PHP-FPM mal dimensionado

max_children muito baixo (site dá error 502 sob carga) ou muito alto (servidor fica sem memória). Dimensionamento correto é crítico para estabilidade em produção.

xmlrpc.php exposto

xmlrpc.php é um vetor de brute force e DDoS amplification muito comum em WordPress. Deve ser bloqueado ao nível do web server, não apenas por plugin, para máxima eficiência.

Redirect loops

Redirect de HTTP para HTTPS mal configurado com WordPress trás Cloudflare ou proxy criando loops infinitos que tornam o site inacessível até diagnosticar.

O vosso web server está corretamente configurado para WordPress em produção?

Auditoria gratuita da configuração atual. Identificação de problemas de segurança e performance em 48 horas.

Auditoria gratuita WhatsApp

Auditoria da configuração atual

Análise das configurações existentes de Nginx/Apache e PHP-FPM, identificação de problemas de segurança, performance e erros de configuração.

Configuração base segura

Virtual hosts, SSL com ciphers modernos, HTTP/2, HSTS e bloqueio de acesso a ficheiros sensíveis — segurança primeiro.

Otimização de performance

Compressão, cache de browser, PHP-FPM bem dimensionado e configurações específicas para WordPress e WooCommerce.

Testes e validação

Testes de SSL (SSL Labs), security headers (securityheaders.com), performance (PageSpeed) e funcionalidade de todos os sites hospedados.

Documentação e transferência

Documentação das configurações aplicadas, localização dos ficheiros de configuração e procedimentos para adicionar novos sites ou alterar configurações.

Configuração Nginx e Apache:
web server otimizado e seguro para WordPress em produção

Tudo o que recebe na configuração do web server

Configurações de web server que afetam performance e segurança

Ficheiros sensíveis expostos

Performance deficiente

SSL mal configurado

PHP-FPM mal dimensionado

xmlrpc.php exposto

Redirect loops

O vosso web server está corretamente configurado para WordPress em produção?

Da auditoria ao web server otimizado e seguro

Web server configurado para performance e segurança em produção

Configuração Nginx e Apache:web server otimizado e seguro para WordPress em produção

Tudo o que recebe na configuração do web server

Configurações de web server que afetam performance e segurança

Ficheiros sensíveis expostos

Performance deficiente

SSL mal configurado

PHP-FPM mal dimensionado

xmlrpc.php exposto

Redirect loops

O vosso web server está corretamente configurado para WordPress em produção?

Da auditoria ao web server otimizado e seguro

Web server configurado para performance e segurança em produção

Configuração Nginx e Apache:
web server otimizado e seguro para WordPress em produção