10 Dicas de Segurança e Performance no n8n

Uso n8n todo dia em produção, assim como ajudo algumas pessoas com o n8n, e aprendi na marra que segurança e performance não são “coisa de depois”. São o que separa um workflow que roda liso de um que vira dor de cabeça (ou pior, brecha) e separei 10 Dicas de Segurança e Performance no n8n.

Antes de mergulhar nas dicas, se você quer aprender tudo isso com vídeos, templates prontos e suporte direto, clica aqui neste curso completo.

Vamos às dicas. Escolha uma por dia e aplique. Uma dica colocada em prática vale mais que dez salvas nos favoritos.

1. Atualize o n8n toda semana (sem exceção) Versões antigas acumulam problemas. Atualizar é o jeito mais simples e eficaz de manter tudo seguro e rápido.

Faça assim:

1. Abra o terminal no servidor.
2. Rode docker pull n8nio/n8n:latest (ou a tag específica da sua versão).
3. Pare o container antigo: docker compose down.
4. Suba de novo: docker compose up -d.
5. Verifique a versão nova no painel (canto inferior esquerdo).

Ressalva: sempre teste em um ambiente de staging antes de colocar em produção.

2. Coloque o n8n atrás de um reverse proxy (Nginx ou Traefik) Expor direto na internet é convite para problema. Proxy resolve SSL, rate limiting e bloqueia ataques na hora.

Passo a passo (com Nginx):

1. Instale o Nginx: sudo apt install nginx.
2. Crie o arquivo /etc/nginx/sites-available/n8n e cole:
   server {
       listen 443 ssl;
       server_name seu-dominio.com;
       location / {
           proxy_pass http://127.0.0.1:5678;
           proxy_set_header Host $host;
           proxy_set_header X-Real-IP $remote_addr;
       }
   }
3. Ative o site: sudo ln -s /etc/nginx/sites-available/n8n /etc/nginx/sites-enabled/.
4. Rode sudo certbot –nginx para pegar SSL grátis.
5. Restart: sudo systemctl restart nginx.

Pronto. Seu n8n agora fica protegido e com HTTPS automático.

3. Ative o Queue Mode com Redis (o maior salto de performance) Workflows pesados travam o servidor inteiro? Queue Mode separa o trabalho e usa Redis como fila. Resultado: 5x a 10x mais rápido em produção.

Como configurar em 5 minutos (Docker Compose):

1. Adicione Redis no seu docker-compose.yml:
   redis:
     image: redis:7-alpine
     ports: ["6379:6379"]
2. No service do n8n, adicione as variáveis:
   EXECUTIONS_MODE: queue
   QUEUE_BULL_REDIS_HOST: redis
3. Crie workers extras: duplique o service do n8n e adicione N8N_MODE: worker.
4. Suba tudo: docker compose up -d.

Teste disparando 10 workflows ao mesmo tempo. Você vai sentir a diferença na hora.

4. Troque SQLite por PostgreSQL SQLite é ótimo para teste, mas morre com mais de 5 execuções simultâneas. PostgreSQL aguenta carga real sem piscar.

Passos:

1. Crie um banco Postgres (DigitalOcean, Render ou local).
2. No docker-compose.yml adicione as variáveis:
   DB_TYPE: postgresdb
   DB_POSTGRESDB_HOST: seu-postgres
   DB_POSTGRESDB_PORT: 5432
   DB_POSTGRESDB_DATABASE: n8n
   DB_POSTGRESDB_USER: n8n
   DB_POSTGRESDB_PASSWORD: sua-senha
3. Rode migração automática na primeira subida.
4. Delete o arquivo SQLite antigo (backup antes!).

Performance sobe imediatamente.

5. Nunca deixe credenciais expostas nos nodes Hardcode de API key é erro clássico. Use o gerenciador de credenciais do n8n + criptografia.

Faça assim:

1. Vá em Credentials → Create New.
2. Preencha os dados (API Key, senha etc.).
3. Salve e use no workflow via variável {{ $credentials.nomeDaCredencial }}.
4. Defina uma N8N_ENCRYPTION_KEY forte no .env (guarde em lugar seguro).

Ressalva: nunca compartilhe workflows com credenciais dentro.

6. Ative 2FA e limite acessos por IP Login simples é porta aberta. 2FA + IP whitelist fecha isso rapidinho.

Passos:

1. No painel → Settings → Security → Two-Factor Authentication.
2. Ative e escaneie o QR Code com seu app (Authy ou Google Authenticator).
3. No reverse proxy (Nginx), adicione: allow seu-ip; deny all; dentro do location.
4. Restart o proxy.

Agora só você (ou IPs liberados) entra.

7. Configure firewall e bloqueie portas desnecessárias Deixe só 443 aberta. O resto fica escondido.

No Ubuntu:

1. sudo ufw allow 443/tcp
2. sudo ufw allow 22/tcp (SSH, se precisar)
3. sudo ufw enable
4. Verifique: sudo ufw status.

Simples e efetivo.

8. Otimize workflows antes de escalar hardware Muitos nodes desnecessários e loops matam performance. Limpe antes de comprar mais VPS.

Dica prática:

1. Use “Code” node em vez de 10 nodes simples.
2. Ative “Execute Once” em nodes de trigger.
3. Coloque “Set” nodes para limpar dados grandes.
4. Teste com “Manual Trigger” e veja o tempo de execução.

Reduz 70% do tempo em muitos casos.

9. Monitore com métricas simples Não espere o servidor cair. Monitore fila e tempo de execução.

Passo a passo:

1. Adicione Prometheus + Grafana no mesmo docker-compose.
2. Ative no n8n: N8N_METRICS=true.
3. Crie dashboard com métricas: queue length, execution time, memory usage.

Você vai ver o problema antes que ele aconteça.

10. Use Workers dedicados para tarefas pesadas Separe execuções manuais e webhooks pesados.

Como fazer:

1. Crie um novo service no docker-compose chamado “worker-heavy”.
2. Adicione N8N_MODE: worker e limite de concurrency baixo.
3. Rode workflows pesados marcando “Offload to Worker”.

Seu servidor principal fica leve e responde rápido.

Você não precisa aplicar as 10 hoje. Escolha a que mais te incomoda agora (geralmente atualização + proxy) e coloque em prática amanhã. Uma dica funcionando vale mais que um servidor inteiro parado.

Template completo de docker-compose.yml pronto para produção, incorporando todas as dicas

Vamos usar:

• PostgreSQL (em vez de SQLite)
• Redis + Queue Mode ativado
• Múltiplos workers (main + 2 workers dedicados, você pode escalar mais)
• N8N_ENCRYPTION_KEY para criptografar credenciais
• Volumes persistentes para dados
• Portas expostas só no localhost (para usar com reverse proxy como Nginx/Traefik)
• Configurações básicas de performance e segurança (graceful shutdown, etc.)
• Pronto para rodar com docker compose up -d

Crie um arquivo chamado docker-compose.yml e cole isso:

version: '3.8'

services:
  postgres:
    image: postgres:16-alpine
    container_name: n8n-postgres
    restart: unless-stopped
    environment:
      - POSTGRES_USER=n8n
      - POSTGRES_PASSWORD=sua-senha-forte-aqui  # Mude isso!
      - POSTGRES_DB=n8n
    volumes:
      - postgres_data:/var/lib/postgresql/data
    healthcheck:
      test: ["CMD-SHELL", "pg_isready -U n8n"]
      interval: 10s
      timeout: 5s
      retries: 5

  redis:
    image: redis:7-alpine
    container_name: n8n-redis
    restart: unless-stopped
    volumes:
      - redis_data:/data
    healthcheck:
      test: ["CMD", "redis-cli", "ping"]
      interval: 10s
      timeout: 5s
      retries: 5

  n8n-main:
    image: docker.n8n.io/n8nio/n8n:latest
    container_name: n8n-main
    restart: unless-stopped
    ports:
      - "127.0.0.1:5678:5678"  # Só localhost → use reverse proxy para expor!
    environment:
      - N8N_HOST=seu-dominio.com  # Mude para seu domínio real
      - N8N_PORT=5678
      - N8N_PROTOCOL=https  # Se usar HTTPS no proxy
      - WEBHOOK_URL=https://seu-dominio.com/  # Importante para webhooks
      - EXECUTIONS_MODE=queue
      - QUEUE_BULL_REDIS_HOST=redis
      - QUEUE_BULL_REDIS_PORT=6379
      - DB_TYPE=postgresdb
      - DB_POSTGRESDB_HOST=postgres
      - DB_POSTGRESDB_PORT=5432
      - DB_POSTGRESDB_DATABASE=n8n
      - DB_POSTGRESDB_USER=n8n
      - DB_POSTGRESDB_PASSWORD=sua-senha-forte-aqui  # Mesma do postgres
      - N8N_ENCRYPTION_KEY=sua-chave-secreta-muito-longa-e-forte-aqui  # Gere uma forte (ex: openssl rand -base64 32)
      - N8N_BASIC_AUTH_ACTIVE=true  # Ativa auth básico (opcional, mas recomendado antes do proxy)
      - N8N_BASIC_AUTH_USER=seuusuario
      - N8N_BASIC_AUTH_PASSWORD=suasenha
      - N8N_GRACEFUL_SHUTDOWN_TIMEOUT=30
      - N8N_METRICS=true  # Ativa métricas Prometheus (para monitoramento)
    volumes:
      - n8n_data:/home/node/.n8n
    depends_on:
      postgres:
        condition: service_healthy
      redis:
        condition: service_healthy

  n8n-worker-1:
    image: docker.n8n.io/n8nio/n8n:latest
    container_name: n8n-worker-1
    restart: unless-stopped
    command: worker
    environment:
      - EXECUTIONS_MODE=queue
      - QUEUE_BULL_REDIS_HOST=redis
      - QUEUE_BULL_REDIS_PORT=6379
      - DB_TYPE=postgresdb
      - DB_POSTGRESDB_HOST=postgres
      - DB_POSTGRESDB_PORT=5432
      - DB_POSTGRESDB_DATABASE=n8n
      - DB_POSTGRESDB_USER=n8n
      - DB_POSTGRESDB_PASSWORD=sua-senha-forte-aqui
      - N8N_ENCRYPTION_KEY=sua-chave-secreta-muito-longa-e-forte-aqui  # MESMA CHAVE do main!
      - N8N_GRACEFUL_SHUTDOWN_TIMEOUT=30
    volumes:
      - n8n_data:/home/node/.n8n  # Compartilha o .n8n para configs
    depends_on:
      - n8n-main
      - postgres
      - redis

  n8n-worker-2:
    image: docker.n8n.io/n8nio/n8n:latest
    container_name: n8n-worker-2
    restart: unless-stopped
    command: worker
    environment:
      - EXECUTIONS_MODE=queue
      - QUEUE_BULL_REDIS_HOST=redis
      - QUEUE_BULL_REDIS_PORT=6379
      - DB_TYPE=postgresdb
      - DB_POSTGRESDB_HOST=postgres
      - DB_POSTGRESDB_PORT=5432
      - DB_POSTGRESDB_DATABASE=n8n
      - DB_POSTGRESDB_USER=n8n
      - DB_POSTGRESDB_PASSWORD=sua-senha-forte-aqui
      - N8N_ENCRYPTION_KEY=sua-chave-secreta-muito-longa-e-forte-aqui  # MESMA CHAVE!
      - N8N_GRACEFUL_SHUTDOWN_TIMEOUT=30
    volumes:
      - n8n_data:/home/node/.n8n
    depends_on:
      - n8n-main
      - postgres
      - redis

volumes:
  postgres_data:
  redis_data:
  n8n_data:

1. Crie uma pasta nova: mkdir n8n-producao && cd n8n-producao
2. Crie o arquivo docker-compose.yml e cole o conteúdo acima.
3. Edite as partes em negrito/itálico:
   • senhas (postgres e encryption key – gere uma forte!)
   • domínio (N8N_HOST, WEBHOOK_URL)
   • auth básico (opcional – desative se usar Nginx com auth)
4. Rode docker compose up -d
5. Acesse http://localhost:5678 (ou seu domínio via proxy)
6. Configure o reverse proxy (Nginx/Traefik) apontando para 127.0.0.1:5678 com HTTPS + rate limit + IP whitelist (como na dica 2 e 6).

Dicas extras de segurança/performance:

• Nunca exponha a porta 5678 diretamente na internet.
• Use firewall (ufw allow 443, deny 5678).
• Backup regular dos volumes (especialmente n8n_data e postgres_data).
• Para mais workers: copie o service n8n-worker-X e aumente o número.
• Monitore com Prometheus/Grafana adicionando um service extra (se quiser, peço que eu monto).