Grandes sites, como o Facebook e o Google, levam a segurança a sério e pedem que você use a autenticação de dois fatores (2FA) para proteger sua conta. Isso porque a 2FA adiciona uma camada extra de segurança que, em nossa experiência, torna muito mais difícil a entrada de hackers.
Agora, você pode tornar seu site WordPress igualmente seguro. Adicionar a autenticação de dois fatores para seus usuários do WordPress é uma medida inteligente, quer você administre um pequeno blog ou uma loja on-line movimentada.
Este artigo o guiará na configuração da 2FA em seu site WordPress usando um plug-in e um aplicativo autenticador. É mais fácil do que você imagina e faz uma grande diferença para manter seu site seguro.
Por que adicionar a autenticação de dois fatores no WordPress?
Um dos truques mais comuns usados pelos hackers é chamado de ataques de força bruta. Durante um desses ataques, eles usam scripts automatizados que tentam adivinhar o nome de usuário e a senha corretos para que possam fazer login no seu site WordPress.
Um ataque de força bruta bem-sucedido pode dar aos hackers acesso à área de administração do seu site. Eles podem instalar malware, roubar informações do usuário e excluir tudo do seu site.
Uma das maneiras mais fáceis de proteger seu site WordPress contra senhas roubadas é adicionar a autenticação de dois fatores (2FA). Com essa configuração, você precisará digitar sua senha e um código secundário (de um aplicativo, e-mail ou mensagem de texto) para fazer login no seu site.
Dessa forma, mesmo que alguém roubasse sua senha, ainda assim seria necessário inserir um código de segurança do seu telefone para obter acesso.
O que é um aplicativo autenticador?
Há várias maneiras de configurar o login em duas etapas no WordPress. No entanto, o método mais seguro e fácil é usar um aplicativo autenticador.
Um aplicativo autenticador é um aplicativo para smartphone que gera uma senha temporária de uso único para as contas que você salva nele.
Basicamente, o aplicativo e o seu servidor usam uma chave secreta para criptografar informações e gerar códigos de uso único que você pode usar como a segunda camada de proteção.
Há muitos aplicativos disponíveis gratuitamente:
- O aplicativo mais popular é o Google Authenticator, mas ele não é a melhor opção. Isso porque, se você perder seu telefone, não há como recuperar suas contas, a menos que você crie uma cópia de backup com antecedência.
- Recomendamos o uso do Authy, pois é um aplicativo gratuito e fácil de usar que também permite salvar suas contas na nuvem em um formato criptografado. Dessa forma, se você perder seu telefone, basta digitar sua senha mestra para restaurar todas as suas contas.
- Outros gerenciadores de senhas, como o LastPass e o 1Password, vêm com sua própria versão de autenticador. Eles são melhores que o Google Authenticator, pois permitem que você restaure as chaves.
Para fins deste tutorial, usaremos o Authy. Você pode seguir nosso tutorial usando um aplicativo diferente, se quiser, pois todos funcionam da mesma maneira.
Dito isso, vamos dar uma olhada em como adicionar a 2FA no WordPress. Basta clicar nos links abaixo para ir para o método que você preferir:
Agora, vamos dar uma olhada em como adicionar facilmente a verificação de dois fatores à sua tela de login do WordPress gratuitamente.
Método 1: adicionar autenticação de dois fatores usando o WP 2FA
Esse método é fácil e recomendado para todos os usuários. Ele é flexível e permite que você aplique a autenticação de dois fatores a todos os usuários.
Primeiro, você precisa instalar e ativar o plug-in WP 2FA – Two-factor Authentication. Para obter mais detalhes, consulte nosso guia passo a passo sobre como instalar um plug-in do WordPress.
Após a ativação, o assistente de configuração do WPA 2FA será iniciado automaticamente. Caso contrário, visite a página Usuários ” Seu perfil e role para baixo até a seção “Configurações do WP 2FA”.
Clicar no botão “Configure Two-factor authentication (2FA)” (Configurar autenticação de dois fatores) iniciará o assistente de configuração.
O assistente de configuração do WP 2FA
Basta clicar no botão “Let’s Get Started!” (Vamos começar!) para iniciar a configuração do plug-in.
Na próxima página, você será solicitado a escolher um método de autenticação.
Há duas opções:
- Código único gerado com o aplicativo 2FA de sua preferência (recomendado)
- Código único enviado a você por e-mail
Recomendamos que você escolha o método de autenticação por meio do aplicativo 2FA (TOTP), pois ele é mais seguro e confiável.
Depois de fazer sua escolha, você pode clicar no botão “Continue Setup” (Continuar configuração) para ir para a próxima página do assistente de configuração.
Você será questionado sobre quais métodos alternativos de 2FA gostaria que seus usuários usassem se o método 2FA principal falhar, por exemplo, se eles perderem o telefone.
No plano gratuito, apenas o método de código de backup estará disponível. Se você quiser mais métodos alternativos de 2FA, precisará fazer upgrade para o WP 2FA Premium.
Basta clicar no botão “Continue Setup” (Continuar configuração) para ir para a próxima página.
Nesta página, você pode tornar o login de dois fatores obrigatório para alguns ou todos os usuários. Recomendamos isso, especialmente se você administra um site WordPress com vários usuários, como um site de associação.
Se quiser aplicar a 2FA a todos os usuários do seu site, basta selecionar a opção “All users” (Todos os usuários) e clicar em “Continue Setup” (Continuar configuração).
Agora, todos os seus usuários precisarão usar a 2FA.
No entanto, talvez haja alguns usuários em seu site que você não queira forçar a usar a 2FA. A próxima página permite que você digite os nomes de usuário ou as funções de usuário desses membros da equipe.
Depois de fazer isso, clicar no botão “Continue Setup” (Continuar configuração) o levará a uma página em que você poderá decidir quando os usuários precisarão começar a usar a 2FA.
Você pode exigir que eles comecem imediatamente ou pode dar a eles um período de carência de, digamos, 3 dias, para que tenham tempo de configurar as coisas. Basta clicar na opção que deseja usar em seu site.
Se quiser dar um período de carência, você poderá escolher quantas horas ou dias serão. A configuração padrão de 3 dias funcionará bem para a maioria dos sites.
Também há opções sobre o que fazer após o término do período de carência se alguns usuários não tiverem configurado a 2FA. Você pode deixá-los entrar, mas não deixá-los acessar o painel, ou bloqueá-los para que não consigam fazer login. Para a maioria dos sites, a primeira opção é a melhor.
Depois de fazer sua escolha, você pode clicar em “All Done” para sair do assistente de configuração. Parabéns, você configurou a autenticação de dois fatores em seu site!
Você verá a tela Setup Finish (Conclusão da configuração) com uma mensagem de parabéns. Você também verá um botão que lhe permitirá configurar a 2FA para a sua própria conta de usuário. Você deve clicar no botão “Configure 2FA Now” (Configurar 2FA agora).
Configuração da autenticação de dois fatores para sua própria conta de usuário
Um novo assistente de configuração será iniciado para ajudá-lo a configurar a autenticação de dois fatores para sua própria conta de usuário. Outros usuários do seu site serão solicitados a fazer o mesmo.
A primeira coisa que você precisará decidir é qual método 2FA deseja usar. Você deverá ver a opção de um código único por meio de um aplicativo autenticador. Você também poderá ver outras opções, dependendo das escolhas que fez durante o assistente de configuração.
Basta escolher a opção ‘One-time code via 2FA app’ e clicar no botão ‘Next Step’.
O plug-in agora mostrará um código QR e um código de texto.
Você precisará digitalizar o código QR usando um aplicativo autenticador. Como alternativa, você pode digitar o código de texto no aplicativo manualmente.
Agora você terá que pegar seu dispositivo móvel e abrir o aplicativo autenticador de sua preferência. As capturas de tela abaixo estão usando o Authy, mas outros aplicativos funcionam de maneira semelhante.
Primeiro, clique no botão “+” ou “Adicionar conta” em seu aplicativo autenticador.
O aplicativo solicitará permissão para acessar a câmera do seu telefone.
Você precisa permitir essa permissão e, em seguida, tocar no botão “Scan QR Code” para que possa digitalizar o código QR mostrado na página de configurações do plug-in em seu computador.
Quando o aplicativo reconhecer o código QR, ele começará automaticamente a salvar a conta.
Depois disso, você pode editar o logotipo e o apelido padrão da conta. Quando estiver pronto, você deve tocar no botão “Save” (Salvar).
O aplicativo autenticador agora salvará sua conta do site.
Em seguida, ele começará a exibir uma senha de uso único. Você precisará digitá-la nas configurações do plug-in em seu computador.
Agora você precisa voltar para o computador.
No assistente de configuração do plug-in, clique no botão “I’m Ready” (Estou pronto) para continuar.
O plug-in agora solicitará que você verifique sua senha de uso único.
Basta digitar o código do seu aplicativo móvel no campo “Código de autenticação” antes que ele expire.
Depois disso, você deve clicar no botão “Validate & Save” (Validar e salvar) para finalizar a configuração.
Em seguida, você terá a opção de gerar e salvar uma lista de códigos de backup. Esses códigos podem ser usados caso você não tenha acesso ao seu telefone.
Você deve clicar no botão “Generate List of Backup Codes” (Gerar lista de códigos de backup).
Os códigos de backup serão gerados e exibidos.
Você pode fazer download desses códigos de backup em um local seguro do seu computador, imprimi-los e colocá-los em um local seguro ou enviá-los para si mesmo por e-mail. Certifique-se de mantê-los em um local de fácil acesso se não estiver com seu telefone.
Depois disso, você pode clicar no botão “I’m Ready, Close the Wizard” (Estou pronto, fechar o assistente) para sair do assistente de configuração.
Usando a autenticação de dois fatores ao fazer login
Na próxima vez que seus usuários fizerem login, eles verão uma notificação de que precisam configurar a autenticação de dois fatores, juntamente com a data limite no final do período de carência.
Eles podem clicar em um botão para configurar a 2FA agora ou optar por serem lembrados em seu próximo login.
Quando eles clicarem no botão “Configure 2FA now” (Configurar 2FA agora), eles serão conduzidos pelas mesmas etapas de quando você configurou a 2FA para a sua própria conta de usuário na seção anterior.
Ao fazer login depois de configurar a autenticação de dois fatores, o usuário verá a tela de login do WordPress normalmente. No entanto, ao inserir o nome de usuário e a senha, uma segunda tela será exibida, solicitando o código do aplicativo autenticador.
Ele precisará digitar o código do aplicativo em seu telefone antes de fazer o login. Como alternativa, ele pode inserir um código de backup se não estiver com o telefone.
Isso torna seu site mais seguro. Se um hacker souber o nome de usuário e a senha de um dos seus usuários, ele não poderá fazer login, a menos que também tenha acesso ao telefone dele.
Dica: se o seu site WordPress usar uma página de formulário de login personalizada, você também poderá criar uma página personalizada na qual os usuários possam gerenciar as configurações do autenticador de dois fatores sem acessar a área de administração do WordPress.
Método 2: Adicionar autenticação de dois fatores Usando a autenticação de dois fatores
Esse método é menos flexível, pois não permite que você aplique logins de dois fatores a todos os usuários. Cada usuário terá de configurá-la por conta própria e poderá desativá-la em seu perfil. No entanto, é um método rápido e fácil se você quiser apenas configurar a 2FA para sua própria conta.
Primeiro, você precisa instalar e ativar o plug-in Two-Factor. Para obter mais detalhes, consulte nosso guia passo a passo sobre como instalar um plug-in do WordPress.
Após a ativação, você precisa visitar a página Usuários ” Perfil e rolar para baixo até a seção “Opções de dois fatores”.
A partir daí, você precisa escolher uma opção de login de dois fatores. O plug-in permite que você use e-mail, um aplicativo autenticador e os métodos FIDO U2F Security Keys.
Recomendamos usar o método do aplicativo autenticador. Basta digitalizar o código QR na tela usando um aplicativo autenticador como o Google Authenticator, Authy ou LastPass Authenticator.
Depois de digitalizar o código QR, o aplicativo mostrará um código de verificação que você precisa inserir nas opções do plug-in e clicar no botão “Submit” (Enviar).
O plug-in agora definirá a chave secreta. Você pode redefinir essa chave a qualquer momento na página de configurações para verificar novamente o código QR.
Não se esqueça de clicar no botão “Update Profile” (Atualizar perfil) na parte inferior da página para salvar suas configurações.
Agora, sempre que fizer login no site do WordPress, será solicitado que você insira o código de autenticação gerado pelo aplicativo no seu telefone.
Perguntas frequentes sobre a autenticação de dois fatores (2FA) no WordPress
Aqui estão algumas respostas para algumas das perguntas mais comuns sobre o uso do login em duas etapas no WordPress.
1. Como faço login com a 2FA se não tenho acesso ao meu telefone?
Se você estiver usando um aplicativo autenticador com uma opção de backup na nuvem, como o Authy, também poderá instalar o aplicativo no seu laptop.
Isso lhe dá acesso aos códigos de autenticação mesmo quando você não está com o telefone. Também permite restaurar facilmente suas chaves secretas quando você compra um novo telefone.
Muitos aplicativos autenticadores também permitem que você gere códigos de backup. Esses códigos podem ser usados como senhas de uso único quando você não tem acesso ao seu telefone.
2. Como fazer login sem nenhum código do meu aplicativo autenticador?
Se você não tiver acesso ao seu telefone, laptop ou códigos de backup, só poderá fazer login desativando o plug-in 2FA.
Consulte nosso guia sobre como desativar todos os plug-ins do WordPress quando não for possível acessar a área de administração.
Depois de desativar todos os plug-ins, você também desativará o plug-in de autenticação de dois fatores e poderá fazer login no site do WordPress. Uma vez conectado, você poderá reativar os plug-ins e redefinir a configuração da autenticação de dois fatores.
3. Preciso proteger a pasta de administração do WordPress com senha?
A segurança do site funciona melhor quando você tem várias camadas de segurança para proteger seu site, começando com o básico, como o uso de HTTPS e hospedagem segura do WordPress.
A verificação de dois fatores torna seu login do WordPress seguro, mas você pode torná-lo ainda mais seguro protegendo com senha o diretório de administração do WordPress. Isso significa que os usuários não poderão acessar a página de login, a menos que primeiro digitem um nome de usuário e uma senha.
Guias de especialistas sobre como proteger o login do WordPress
Agora que você sabe como adicionar a verificação de dois fatores ao WordPress, talvez queira ver outros artigos relacionados a tornar o login do WordPress mais seguro.
- Como e por que você deve limitar as tentativas de login no WordPress
- Como adicionar um URL de login personalizado no WordPress (passo a passo)
- Como adicionar CAPTCHA no formulário de login e registro do WordPress
- Como adicionar perguntas de segurança à tela de login do WordPress
- Como desativar as dicas de login nas mensagens de erro de login do WordPress
- Como proteger seu diretório de administração do WordPress (wp-admin) com senha
- Como limitar o acesso por IP ao seu arquivo wp-login.php no WordPress
- Como adicionar login sem senha no WordPress com Magic Links
- Como proteger seu site WordPress contra ataques de força bruta
Esperamos que este artigo tenha ajudado você a adicionar a verificação de dois fatores ao login do WordPress. Talvez você também queira ver nosso guia sobre como obter um certificado SSL gratuito para seu site WordPress ou nossa seleção especializada dos melhores plug-ins de segurança do WordPress.
Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Felix
Cloud Syncing feature is now available at Google Authenticator. So, you won’t lose your accounts even if the phone is lost. For me, personally, I use Google Authenticator because it’s more convenient for me as a Google user.
Moinuddin Waheed
two factor authentication is a must have things for the security of the websites.
I have used it after learning a horrible lesson from a shared hosting account. my website was corrupted and malfunctioned and I had no clue what to do.
when I made fresh installation the first thing I did to enable two factor authentication.
this might at times seem an additional thing to do while logging in but it saves from a large headache that may cause if account is compromised.
I want to know how the hackers or brute force attackers target a website?
do they have database of websites stolen from hosting providers or just they do it randomly?
WPBeginner Support
There are different ways that sites are targeted but in the long run it is random.
Administrador
Jiří Vaněk
I use two-factor authentication for administration integrated into the Wordfence plugin, which also serves for overall website protection. Additionally, I would recommend changing the URL address from wp-admin to something custom for added security.
WPBeginner Support
While that can be done we would warn against it. If you change the wp-admin url it can cause conflicts with some plugins and can make any site troubleshooting more difficult.
Administrador
Jiří Vaněk
Okay, thank you for the advice. I’ve changed the URL on many websites, and so far, I’ve never had any issues with it. It might also be because I use a very similar, trusted series of plugins on many of these sites that I’m familiar with. Nevertheless, thanks for the warning.
J P Welch
I’d like to use 2FA on one link to several pages of data, but not the entire site. Is that possible?
WPBeginner Support
While possible, we don’t have a recommended plugin to achieve that at the moment, we will be sure to keep an eye out!
Administrador
Skye
What if you migrate your website to a different domain- will your 2FA be linked to the old domain? Would you have to deactivate it before migrating your website to the new host and domain?
Bikash Rai
How to remove two factor authentication that I get every time I login. I want to simply get rid of this thing.
Thanks in advance!
WPBeginner Support
It would depend on which method you used to set it up, if you used the plugin then you would remove the plugin to remove the two factor authentication. Should you be unable to remove it, if you reach out to your hosting provider they should be able to assist.
Administrador
MuZa
Hey please update this post. This plugin is too old and not tested on three major updates of WordPress.
WPBeginner Support
Thank you for letting us know about the plugin not being updated we’ll be sure to take a look at it. The Two Factor SMS plugin is the only one not updated, the first plugin has been updated
Administrador
Lisa Smith
Found this to be really helpful related to Two Factor, but FYI – the Two Factor SMS plugin hasn’t been updated in several WP versions.
WPBeginner Support
Thank you for letting us know, we’ll be sure to take a look into this for other plugin options
Administrador
Harman
You can simply do it via wordpress.com.
Anna Walton
I’ve followed your exact instructions just now to set up 2FA with Twilio. I logged out after finishing the set-up as per the article, and now I can’t get back into my site! I get the code from Twilio, but it says there’s an error! Unfortunately, I’d not yet set up the 2FA with the authenticator app, as I followed the steps in the article, which was to log out first to see it working. Can you advise please? I’ve checked your article https://www.wpbeginner.com/wp-tutorials/locked-out-of-wordpress-admin/, but this doesn’t seem to cover getting locked out due to 2FA error. I use your site loads, and think your guidance is great! Please help on this one!!
WPBeginner Support
Hi Anna,
You can manually delete the plugin using FTP. Connect to your website and go to /wp-content/plugins/ folder and then delete two-factor and two-factor-sms folders. You can always reinstall the plugins after login.
Administrador
Patrick Bartkus
FreeOTP is an Open Source alternative to Google Authenticator. It is not controlled by Google and is maintained by Red Hat under the Apache 2.0 license. It is available for iOS and Android. It also works on Google sites.