Plugin WordPress (SysRadar)
SysRadar é o plugin oficial do SysWP Radar para WordPress. ~16 KB, GPL-2.0, zero dependências. Faz duas coisas: (1) injeta o pixel JS no <head> de todas as páginas do front via hook wp_head, e (2) dispara um beacon server-side em endpoints que o pixel JS não enxerga — /wp-json/, xmlrpc.php, wp-login.php, admin-ajax.php e probes diretos a wp-admin — sem adicionar latência ao visitante.
Disponível agora. Versão 1.1 — ↓ baixar syswp-radar.zip (~16 KB)
Instalação (3 minutos)
- Baixar
syswp-radar.zip - WP Admin → Plugins → Adicionar novo → Enviar plugin → escolher o
.zip→ Instalar agora → Ativar. - WP Admin → Settings → SysRadar → cole seu Site ID de 12 caracteres (encontre em radar.syswp.com.br/sites).
- Salve. Pronto — pixel injetado e beacon server-side ativo automaticamente.
O que o plugin faz
1. Pixel JS no front-end
- Injeta o tracker (1 linha de JS, <2 KB minificado, async) no
<head>via hookwp_headcom prioridade 99 — depois de todos os outros plugins, para nunca interferir. - Captura visitantes humanos com Web Vitals reais (LCP, FCP, TTFB, CLS, INP), atribuição UTM, rage clicks e JS errors.
- Compatível com
<script async>— nunca bloqueia render.
2. Beacon server-side (NOVO em v1.1+)
O pixel JS só dispara em páginas que renderizam HTML com <head>. Isso deixa um blind spot enorme: o WordPress sofre ataques diários em endpoints que nunca renderizam HTML — e portanto nunca disparam o pixel JS. O beacon server-side fecha esse gap. Captura:
/wp-json/*— REST API. Heavy attacker target (user enumeration, plugin probes)./xmlrpc.php— XML-RPC. Brute-force surface preferida.admin-ajax.phphit por usuário não-autenticado (legítimo por logado é atividade interna; unauth é probe).wp-admin/*probes por não-autenticados (looking for vuln entry points).wp-login.php— alvo #1 de brute-force WordPress globalmente.
O beacon é fire-and-forget: fastcgi_finish_request() + blocking=false no wp_remote_post — o visitante nunca espera pela chamada. Latência adicionada: zero.
3. Auto-detecção de plataformas
Detecta automaticamente: WooCommerce, Elementor, Yoast SEO, Rank Math, Contact Form 7, BuddyPress, LearnDash, bbPress, All-in-One SEO, WP Recipe Maker, e SysWP Shield (sibling do ecossistema). Esses metadados ajudam o classifier do Radar a entender melhor o contexto de cada hit.
4. Auto-exclusão inteligente
- Cron jobs (
DOING_CRON) — nunca rastreados. - WP-CLI — nunca rastreado.
- Admin/editor logado — opt-in (default ON), exclui ambos pixel E beacon pra você não inflar suas próprias métricas.
- DNT: 1 — opcional, respeita preferência do visitante quando habilitado.
5. Resolução de IP (Cloudflare-aware)
Cascade automático: CF-Connecting-IP → X-Forwarded-For (primeiro válido) → REMOTE_ADDR. Se seu site está atrás de Cloudflare ou outro proxy, o IP correto chega no Radar mesmo assim.
Configurações
WP Admin → Settings → SysRadar:
- Site ID — 12 caracteres alfanuméricos, copiados do painel Radar.
- Tracking ativo — desligar temporariamente sem desinstalar.
- Não rastrear admins/editors — recomendado on (default), pra você não inflar suas próprias métricas. Aplica-se ao pixel JS E ao beacon server-side.
- Honor DNT — respeitar header
DNT: 1dos visitantes. - URL base — só mude se você usa domínio customizado (Pro+): ex
analytics.seusite.com.
Performance
- Sem queries adicionais ao DB do WP — settings ficam em
wp_options. - O JS é assíncrono (
<script async>) — nunca bloqueia o render. - Beacon server-side fire-and-forget:
fastcgi_finish_request()flusha+fecha a conexão antes do POST → o visitante nunca espera. - Tamanho do snippet inline: ~80 bytes; o tracker JS propriamente dito é cacheado pelo browser por 1h.
- Hook
wp_headcom prioridade 99 — não interfere com plugins de SEO/cache que rodam antes. - Cumpre o contrato "zero impacto em LCP/FCP" do ecossistema SysWP.
Compatibilidade
- WordPress 5.5+ (testado até 6.9)
- PHP 7.4+
- Compatível com cache plugins: WP Rocket, W3 Total Cache, LiteSpeed Cache, Cloudflare APO.
- Compatível com WooCommerce, Elementor, Divi, Astra, GeneratePress, Kadence.
- Multisite: instale em network → cada subsite usa seu próprio Site ID nos settings locais. Cada subsite tem dashboard separado no Radar.
SysRadar vs SysWP Radar — qual a diferença?
O plugin chama-se SysRadar. O SaaS que ele alimenta com dados chama-se SysWP Radar (radar.syswp.com.br). O plugin foi renomeado em 2026-05-09 por orientação do WordPress.org Plugin Review Team — o diretório oficial não permite "WP" em nomes de plugin. A funcionalidade é idêntica; só o nome do pacote mudou. Usuários da v1.0 ("SysWP Radar") são migrados automaticamente: o plugin novo detecta o antigo, oferece um botão de "Desativar plugin antigo" com 1 clique, e migra as configurações para a nova chave de options sem perder dados.
Privacidade & LGPD
- IPs são anonimizados (último octeto zerado) antes de persistir no Radar.
- First-party cookies apenas (
_rdid,_rds) — sem cross-site tracking, sem fingerprinting. - GDPR/LGPD-friendly: sem data brokers, sem leilão de impressões, sem persona-building.
- Servidores no Brasil. Sem dependência de Google, Facebook ou ad-tech vendor.
- Honor DNT opcional.
Próximas versões
- v1.2 (Q3 2026) — Mini-dashboard no admin do WP com últimas 24h. Web Vitals widget direto no admin.
- v1.3 (Q3 2026) — Auto-detecção de SysWP Shield + login único via SSO HMAC. Integração nativa com a API SysRadar para fetch de config remoto.
- v1.4 (Q4 2026) — Eventos S2S puros (sem pixel JS) para casos de adblocker mais agressivo. Bloqueio opcional de AI crawlers diretamente do plugin.