Autenticação de dois fatores (2FA): Como ativar no WordPress

Aprenda a fortalecer a segurança do seu site WordPress com a autenticação de dois fatores. Veja o passo a passo para implementação.

  • 15 min. de leitura
Foto de Lucas Tavares
Autenticação de dois fatores no WordPress

Segurança é uma preocupação enorme no mundo digital. Afinal de contas, você não quer perder anos de trabalho e dedicação que teve ao seu site, não é mesmo? Pensando nisso, decidimos mostrar como ativar a autenticação de dois fatores

Por que? Porque esse é um dos métodos mais seguros e precisos para garantir que ninguém tenha acesso ao seu site, além de você, é claro.

Mostraremos como fazer isso passo a passo. Explicaremos também o que é a autenticação de dois fatores, como utilizar um autenticador e como ativar tudo isso no seu site da forma mais simples e fácil possível. 

O que é autenticação de dois fatores?

A autenticação de dois fatores (2FA) é um método de segurança que requer duas formas distintas de verificação antes de conceder acesso a uma conta ou sistema. Em vez de depender apenas de uma senha, a 2FA adiciona uma camada extra de proteção, geralmente usando algo que o usuário sabe (como uma senha) e algo que o usuário possui (como um código enviado por SMS, um token de segurança gerado por um aplicativo autenticador ou uma chave física).

Esse processo reduz significativamente o risco de acesso não autorizado, já que mesmo se uma senha for comprometida, o invasor ainda precisará do segundo fator para entrar na conta. A autenticação de dois fatores é amplamente recomendada para aumentar a segurança das contas online e proteger informações sensíveis contra ataques cibernéticos.


Quando você acessa uma conta online, como a do seu site WordPress, primeiro insere sua senha. Em seguida, o sistema solicita um segundo código, normalmente enviado para o seu celular ou gerado por um aplicativo.

Essa abordagem adiciona uma camada extra de segurança, garantindo que, mesmo que a primeira barreira seja ultrapassada, ainda haja uma segunda linha de defesa para proteger suas informações importantes.

Além disso, a autenticação de dois fatores é altamente recomendada por especialistas em segurança cibernética como uma medida essencial para proteger suas contas contra ataques de hackers. Ela é especialmente útil em um momento em que os vazamentos de dados e as violações de segurança são cada vez mais comuns.

Ao implementar a autenticação de dois fatores, você aumenta significativamente a segurança das suas informações pessoais e profissionais, tornando mais difícil para os invasores acessarem suas contas, mesmo que obtenham suas senhas.

Plugins de autenticação de dois fatores

Existem vários plugins disponíveis no WordPress que permitem adicionar essa funcionalidade ao seu site. Alguns plugins populares incluem:

1. Wordfence Security

wordfence autenticação de dois fatores

O Wordfence Security é amplamente reconhecido como o plugin de segurança mais popular para WordPress, e por boas razões. Com uma ampla gama de funcionalidades, ele oferece uma defesa ativa para proteger os sites contra ameaças cibernéticas, incluindo ataques de malware e invasões de hackers.

Uma das características mais importantes do Wordfence é sua capacidade de realizar scanners abrangentes em busca de invasões e alterações maliciosas. Esse recurso permite uma detecção precoce de ameaças, ajudando os administradores a agir rapidamente para proteger seus sites antes que ocorram danos graves.

Além disso, o Wordfence oferece uma funcionalidade de autenticação de dois fatores (2FA), que é uma camada adicional de segurança essencial. Com a 2FA ativada, os usuários precisam fornecer não apenas uma senha, mas também um segundo fator de autenticação, geralmente gerado por um aplicativo instalado em seus dispositivos móveis. Isso torna muito mais difícil para os hackers acessarem ilegalmente as contas, mesmo se conseguirem obter as senhas.

Essa combinação de recursos avançados faz do Wordfence Security uma escolha confiável para quem valoriza a segurança do site WordPress. Ao oferecer proteção ativa, scanners eficazes e autenticação de dois fatores, o Wordfence ajuda os administradores de sites a manterem suas plataformas online seguras em um ambiente digital cada vez mais perigoso.

2. MiniOrange's Google Authenticator

Miniorange's google authenticator 2fa

O miniOrange's Google Authenticator é um plugin essencial para reforçar a segurança de sites WordPress. Uma de suas principais funcionalidades é a integração com o Google Authenticator, permitindo aos usuários gerar códigos de autenticação temporários para acesso seguro às suas contas.

Além disso, o plugin oferece suporte para autenticação de dois fatores através de SMS, Telegram e e-mail, proporcionando opções flexíveis para receber códigos de autenticação, garantindo uma proteção adicional contra acessos não autorizados. Com essas características, o miniOrange's Google Authenticator oferece uma solução abrangente e eficaz para aprimorar a segurança dos websites WordPress.

3. Two Factor Authentication

two factor authentication

O plugin Two Factor Authentication é uma ferramenta que oferece uma variedade de funcionalidades para autenticação de dois fatores (2FA). Compatível com Google Authenticator, Authy e outros aplicativos, o plugin utiliza os protocolos TOTP + HOTP para gerar códigos de autenticação temporários, proporcionando uma camada adicional de proteção contra acessos não autorizados.

Além disso, o plugin oferece a conveniência de permitir que os administradores ativem ou desativem o 2FA para cada usuário individualmente, dando controle preciso sobre a segurança das contas de seus sites WordPress. Com essas características robustas, o Two Factor Authentication se destaca como uma solução confiável para proteger informações sensíveis e garantir a integridade do WordPress.

4. Two-Factor

two factor autenticação de dois fatores no wordpress

O plugin Two-Factor para WordPress oferece uma camada adicional de segurança através da autenticação de dois fatores. Ele permite aos usuários escolherem entre métodos seguros de autenticação, como e-mail e TOTP (senhas de uso único baseadas em tempo).

Além disso, o plugin inclui a funcionalidade de código de backup, garantindo o acesso às contas mesmo se o usuário perder o dispositivo de autenticação. Essas características combinadas tornam o Two-Factor uma opção confiável para proteger as contas dos usuários contra acessos não autorizados.

Dispositivo secundário com autenticador instalado

Para a segunda camada de segurança, você precisará de um dispositivo secundário. Isso pode ser um smartphone com um aplicativo autenticador instalado, um número de celular que possa receber SMS, ou uma chave de segurança de hardware, dependendo do método que você escolher.

Sobre os autenticadores, falaremos melhor sobre os principais a seguir: 

Google Authenticator

Google Authenticator

O Google Authenticator é amplamente reconhecido como um dos autenticadores mais populares devido à sua simplicidade e eficácia. Disponível para Android, iOS e como uma extensão para o navegador Chrome, ele gera códigos de verificação em duas etapas para aumentar a segurança do acesso a contas online, adicionando uma camada extra além da senha habitual.

Este aplicativo gratuito permite aos usuários escanear um código QR fornecido pelo serviço desejado para proteção. A partir daí, o Google Authenticator gera um novo código de seis dígitos a cada trinta segundos, mesmo offline, o que elimina o risco de interceptação de mensagens, comum em autenticações por SMS.

Em 2023, uma importante funcionalidade foi adicionada: a sincronização com a nuvem. Isso permite que os usuários restaurem seus códigos de autenticação em um novo dispositivo, proporcionando praticidade e segurança adicional em casos de perda ou troca de celular.

Microsoft Authenticator

Microsoft Authenticator


O Microsoft Authenticator, embora compartilhe semelhanças com o Google Authenticator, oferece recursos adicionais que o tornam uma escolha diferenciada. Disponível gratuitamente para iOS e Android, ele não apenas gera códigos de autenticação, mas também suporta notificações push para uma experiência de login sem senha, adicionando conveniência ao processo de autenticação.

Sua integração completa com os serviços da Microsoft, como Outlook, OneDrive e Microsoft 365, destaca-se como uma vantagem significativa. Isso garante um processo de login quase instantâneo e altamente seguro, aumentando a eficiência e a proteção das contas dos usuários.

Além disso, o Microsoft Authenticator oferece backup na nuvem, facilitando a recuperação das credenciais em caso de mudança de dispositivo, uma vantagem crucial que o diferencia do Google Authenticator e garante uma transição tranquila entre dispositivos.

Authy

Authy

Authy se destaca como um autenticador robusto, especialmente pela sua sincronização entre dispositivos, estando disponível para Android, iOS e como aplicativo de desktop. Sua funcionalidade permite que os usuários acessem seus códigos de qualquer dispositivo autorizado, solucionando o desafio comum de transferência de tokens entre diferentes dispositivos.

Além da autenticação de dois fatores, o Authy oferece proteção adicional por senha para acesso ao aplicativo, aumentando a segurança das contas. Uma característica única é sua política de segurança transparente e robusta, com criptografia aplicada a todos os dados sincronizados entre dispositivos.

Esses recursos combinados tornam o Authy uma opção confiável para garantir a segurança e conveniência na autenticação de contas online.

Como ativar a autenticação de dois fatores (2FA) no WordPress

Abaixo, segue o passo a passo para configurar a 2FA no seu WordPress.

1. Instale um aplicativo autenticador no seu celular

Existem vários, um dos mais citados é o Google Authenticator. Basta instalar ele no seu smartphone. Depois do processo de instalação, não é necessário fazer nada. Não agora, pelo menos.

2. Instale um plugin de autenticação de dois fatores (2FA)

Para nosso tutorial, instalaremos MiniOrange’s Google Authenticator. Mas a configuração de diferentes plugins tende a ser a mesma.

  1. Acesse o painel de controle do WordPress.
  2. Clique em Plugins > Adicionar novo.
  3. Pesquise por "miniOrange's Google Authenticator".
  4. Clique em Instalar e depois em Ativar.

3. Configure a autenticação de dois fatores

No menu lateral do WordPress, vá em MiniOrange → Two Factor e Setup 2FA for me e, com o Google Authenticator (que você instalou no seu smartphone) e leia o QR Code. Isso irá configurar o vínculo entre seu site e o app da Google.

scaneiar QR code

Ainda no Google Authenticator, pegue o código gerado, digite no campo “Enter OTP” e clique em Verify. Assim a configuração será finalizada.

inserir código otp autenticação em dois fatores

Faça isso até a mensagem abaixo aparecer. 

mensagem do google authenticator

Assim, na próxima vez que tentar entrar no seu site, além da senha, será solicitado um código para finalizar o processo de login.

autenticação em dois fatores

E onde esse código está? No Google Authenticator. Basta digitar o código que aparece lá vinculado ao seu site e pronto, você entrará com sucesso no painel do WordPress.

aplicativo autenticador

A autenticação de dois fatores é realmente segura?

A segurança do WordPress é uma questão complexa e em constante evolução. Quando se trata de autenticação de dois fatores (2FA), é importante reconhecer que, embora seja uma medida mais robusta do que depender apenas de senhas, não é imune a falhas.

A maior fraqueza na segurança online geralmente está na própria conduta dos usuários. Mesmo com a 2FA, se os usuários forem descuidados com seus dispositivos ou compartilharem informações confidenciais, isso pode comprometer a eficácia da autenticação de dois fatores.

No entanto, a 2FA é amplamente considerada uma medida valiosa para proteger contas online. Ela adiciona uma camada adicional de segurança, exigindo não apenas algo que o usuário saiba (a senha), mas também algo que o usuário possua (como um dispositivo autenticador). Isso torna mais difícil para os invasores obterem acesso não autorizado às contas, mesmo se conseguirem obter as senhas.

Vantagens da autenticação de dois fatores

A autenticação de dois fatores (2FA) oferece várias vantagens, sendo uma escolha popular para proteger contas e informações online. Dentre as principais vantagens, se tem:

Mais segurança

Ao pedir dois tipos de informação para o acesso, a 2FA diminui drasticamente o risco de acesso não autorizado. Mesmo que uma senha seja comprometida (os famosos vazamentos), o segundo fator ajuda a prevenir que intrusos acessem a conta.

Redução de fraudes e roubos de identidade

 A 2FA pode de maneira efetiva bloquear tentativas de fraude, já que o invasor precisaria de acesso ao dispositivo físico do usuário (como um celular ou token) para receber o segundo fator de autenticação.

Diversos métodos disponíveis

Existem vários métodos de 2FA disponíveis, desde SMS e e-mails até aplicativos autenticadores e chaves de segurança físicas. Isso permite escolher o método que melhor se adapta às suas necessidades e nível de segurança desejado.

Fácil de configurar

Comparado com outras medidas de segurança mais invasivas ou complexas, a 2FA é relativamente fácil de implementar e gerenciar, e muitas soluções são acessíveis (como veremos) ou mesmo gratuitas.

Desvantagens da autenticação de dois fatores

A autenticação de dois fatores (2FA) aumenta a segurança, mas também pode trazer alguns desafios. Vamos detalhar os pontos principais:

Inconveniência

Usar a 2FA pode ser um pouco incômodo. Às vezes, pode haver atrasos para receber o código de segurança, ou pode ser necessário usar dispositivos extras, o que torna o acesso mais lento e menos direto.

No entanto, essa inconveniência é muito necessária para garantir a segurança do seu site.

Dependência dos dispositivos

A 2FA geralmente requer um dispositivo como um smartphone. Se esse dispositivo estiver perdido, quebrado ou sem bateria, o acesso às contas pode ser bloqueado temporariamente, causando transtornos.

Parece ser difícil para usuários iniciantes

Usuários que não são tão familiarizados com tecnologia moderna podem encontrar dificuldades em entender ou operar sistemas de 2FA, especialmente se envolvem aplicativos autenticadores ou dispositivos físicos. 

Mas você verá que é bem mais simples do que está pensando.

Quais as melhores práticas para autenticação de dois fatores?

Para tirar o máximo proveito da autenticação de dois fatores (2FA) e realmente aumentar a segurança, aqui estão algumas dicas práticas:

Escolha métodos mais seguros

Prefira usar aplicativos de autenticação como o Google Authenticator ou chaves físicas como YubiKey, que são mais seguros que o SMS ou e-mail. Esses últimos podem ser interceptados, enquanto os outros não (exceto em situações muitíssimo específicas).

Lembre de como recuperar sua conta em uma emergência

Estabeleça um método seguro e eficiente caso você perca acesso ao segundo autenticador. Isso pode ser feito via códigos de backup ou verificação por múltiplas formas. 

A principal recomendação é via códigos, sendo esses códigos impressos e guardados de forma física na sua casa.

Deixe tudo atualizado

Garanta que os aplicativos e dispositivos usados na 2FA estejam sempre com as últimas atualizações de segurança para evitar vulnerabilidades.

Não descuide das senhas

Mesmo com a 2FA, ainda é de mega importância usar senhas fortes e únicas para cada conta, porque isso adiciona uma camada extra de segurança.

Seguindo essas dicas, você pode fazer com que a 2FA trabalhe de maneira efetiva para proteger não apenas o acesso às contas, mas também operações importantes, garantindo uma segurança ainda maior.

O que acontece se você perder acesso ao Google Authenticator?

O plugin te dá a opção de receber códigos por e-mail. Mas lembre-se que isso pode ser utilizado para tentarem acesso a sua conta também, então tome cuidado.

autenticação em dois fatores

No pior dos casos, se não conseguir recuperar de forma alguma, uma possível solução é acessar o gerenciador de arquivos da sua hospedagem de sites ou servidor FTP e ir em wp-content/plugins/ e renomear o nome da pasta do plugin de “miniorange-2-factor-authentication” para qualquer outro nome.

Isso faz com que o plugin seja desativado e se consiga logar novamente no sistema do WordPress.

Conclusão

A autenticação de dois fatores, conhecida como 2FA, é uma técnica importante para proteger seus acessos online, como as entradas no seu site

Ela utiliza duas formas de verificação para garantir segurança extra: mesmo que alguém descubra sua senha, ainda precisará de um segundo código, normalmente gerado em seu celular, para acessar a conta.

Para adicionar essa camada de segurança em um site WordPress, por exemplo, você só precisa seguir alguns passos. 

Primeiro, instale um aplicativo de autenticação, como o Google Authenticator, no seu smartphone. Depois, instale um plugin de 2FA no seu site que trabalhe com esse aplicativo.

A 2FA traz muitos benefícios: 

  • Diminui muito as chances de alguém acessar sua conta sem permissão.
  • Reduz fraudes.
  • Oferece várias opções de métodos de autenticação para se ajustar ao que você precisa. 

Apesar de ser mais seguro, o uso de 2FA pode ser um pouco inconveniente, pois você depende de um dispositivo para gerar ou receber os códigos de acesso. 

Porém, a segurança que proporciona é considerada essencial, e o processo para configurá-la é simples

Você prentende implementar a autenticação de dois fatores no seu WordPress? Nos deixe saber nos comentários.

Obrigado por ler até aqui. Nos vemos no próximo conteúdo.