Como adicionar autenticação de dois fatores no WordPress (método gratuito)

Você notou como sites populares como Facebook e Google solicitam que você adicione autenticação de dois fatores para melhorar a segurança?

Bem, agora você pode adicionar autenticação de dois fatores ao seu site WordPress. Isso garante segurança máxima para o seu site WordPress e todos os seus usuários registrados.

Neste artigo, mostraremos como adicionar autenticação de dois fatores para WordPress usando um plugin e um aplicativo autenticador.

Por que adicionar autenticação de dois fatores no WordPress?

Um dos truques mais comuns usados ​​pelos hackers é chamado de ataques de força bruta. Durante um desses ataques, eles usam scripts automatizados que tentam adivinhar o nome de usuário e a senha corretos para que possam fazer login no seu site WordPress.

Um ataque de força bruta bem-sucedido pode dar aos hackers acesso à área administrativa do seu site. Eles podem instalar malware, roubar informações do usuário e excluir tudo do seu site.

Uma das maneiras mais fáceis de proteger seu site WordPress contra senhas roubadas é adicionar autenticação de dois fatores (2FA). Com esta configuração, você precisará inserir sua senha e um código secundário (de um aplicativo, e-mail ou mensagem de texto) para fazer login no seu site.

Dessa forma, mesmo que alguém roube sua senha, ainda será necessário inserir um código de segurança do seu telefone para obter acesso.

O que é um aplicativo autenticador?

Existem várias maneiras de configurar o login em duas etapas no WordPress. No entanto, o método mais seguro e fácil é usar um aplicativo autenticador.

Um aplicativo autenticador é um aplicativo de smartphone que gera uma senha temporária de uso único para as contas que você salva nele.

Basicamente, o aplicativo e seu servidor usam uma chave secreta para criptografar informações e gerar códigos únicos que você pode usar como segunda camada de proteção.

Existem muitos aplicativos disponíveis gratuitamente:

• O aplicativo mais popular é o Google Authenticator, mas não é a melhor escolha. Isso porque se você perder seu telefone, não há como recuperar suas contas a menos que você crie uma cópia de segurança com antecedência.

• Recomendamos o uso do Authy por ser um aplicativo gratuito e fácil de usar que também permite salvar suas contas na nuvem em formato criptografado. Dessa forma, se você perder seu telefone, basta inserir sua senha mestra para restaurar todas as suas contas.

• Outros gerenciadores de senhas, como LastPass e 1Password, vêm com sua própria versão de autenticador. Eles são melhores que o Google Authenticator, pois permitem restaurar chaves.

Para este tutorial, usaremos Authy. Você pode seguir nosso tutorial usando um aplicativo diferente, se desejar, pois todos funcionam da mesma maneira.

Dito isso, vamos dar uma olhada em como adicionar 2FA no WordPress. Basta clicar nos links abaixo para ir para o método de sua preferência:

Agora, vamos dar uma olhada em como adicionar facilmente a verificação de dois fatores à tela de login do WordPress gratuitamente.

Método 1: Adicionar autenticação de dois fatores usando WP 2FA

Este método é fácil e recomendado para todos os usuários. É flexível e permite impor autenticação de dois fatores para todos os usuários.

Primeiro, você precisa instalar e ativar o plugin WP 2FA – Autenticação de dois fatores. Para obter mais detalhes, consulte nosso guia passo a passo sobre como instalar um plugin do WordPress.

Após a ativação, o assistente de configuração WPA 2FA será iniciado automaticamente. Caso contrário, você pode visitar a página Usuários »Seu perfil e rolar para baixo até a seção ‘Configurações WP 2FA’.

Clicar no botão ‘Configurar autenticação de dois fatores (2FA)’ iniciará o assistente de configuração.

O assistente de configuração WP 2FA

Basta clicar em 'Vamos começar!' botão para começar a configurar o plugin.

Na próxima página, você será solicitado a escolher um método de autenticação.

Existem duas opções:

• Código único gerado com o aplicativo 2FA de sua escolha (recomendado)
• Código único enviado a você por e-mail

Recomendamos que você escolha a autenticação pelo método 2FA app (TOTP), por ser mais seguro e confiável.

Depois de fazer sua escolha, você pode clicar no botão ‘Continuar configuração’ para ir para a próxima página do assistente de configuração.

Você será questionado sobre quais métodos alternativos de 2FA você gostaria que seus usuários usassem se o método 2FA principal falhar, como se eles perdessem o telefone.

No plano gratuito, apenas o método de código de backup estará disponível. Se desejar métodos 2FA mais alternativos, você precisará atualizar para WP 2FA Premium.

Basta clicar no botão 'Continuar configuração' para passar para a próxima página.

Nesta página, você pode tornar o login de dois fatores obrigatório para alguns ou todos os usuários. Recomendamos isso, especialmente se você administra um site WordPress multiusuário, como um site de membros.

Se desejar aplicar 2FA para todos os usuários do seu site, basta selecionar a opção ‘Todos os usuários’ e clicar em ‘Continuar configuração’.

Agora todos os seus usuários serão obrigados a usar 2FA.

No entanto, talvez haja alguns usuários em seu site que você não deseja forçar a usar 2FA. A próxima página permite que você digite os nomes de usuário ou funções de usuário desses membros da equipe.

Depois de fazer isso, clicar no botão ‘Continuar configuração’ o levará a uma página onde você pode decidir quando seus usuários precisam começar a usar 2FA.

Você pode exigir que eles comecem imediatamente ou pode conceder-lhes um período de carência de, digamos, 3 dias, para que tenham tempo de configurar as coisas. Basta clicar na opção que deseja usar em seu site.

Se quiser dar um período de carência, você pode escolher quantas horas ou dias será. A configuração padrão de 3 dias funcionará bem para a maioria dos sites.

Também há opções sobre o que fazer após o término do período de carência, caso alguns usuários não tenham configurado o 2FA. Você pode permitir que eles entrem, mas não permitir que acessem o painel ou impedi-los de fazer login. Para a maioria dos sites, a primeira opção será a melhor.

Depois de fazer sua escolha, você pode clicar em ‘Tudo Concluído’ para sair do assistente de configuração. Parabéns, você configurou a autenticação de dois fatores em seu site!

Você verá a tela Setup Finish com uma mensagem de parabéns. Você também verá um botão que permitirá configurar 2FA para sua própria conta de usuário. Você deve clicar no botão ‘Configurar 2FA agora’.

Configurando a autenticação de dois fatores para sua própria conta de usuário

Um novo assistente de configuração será iniciado para ajudá-lo a configurar a autenticação de dois fatores para sua própria conta de usuário. Outros usuários do seu site serão solicitados a fazer o mesmo.

A primeira coisa que você precisa decidir é qual método 2FA deseja usar. Você deverá ver a opção de um código único por meio de um aplicativo autenticador. Você também pode ver outras opções dependendo das escolhas feitas durante o assistente de configuração.

Basta escolher a opção ‘Código único via aplicativo 2FA’ e clicar no botão ‘Próxima etapa’.

O plugin agora mostrará um código QR e um código de texto.

Você precisará escanear o código QR usando um aplicativo autenticador. Alternativamente, você pode digitar o código de texto no aplicativo manualmente.

Agora você terá que pegar seu dispositivo móvel e abrir seu aplicativo autenticador preferido. As capturas de tela abaixo usam Authy, mas outros aplicativos funcionam de maneira semelhante.

Primeiro, clique no botão ‘+’ ou ‘Adicionar conta’ em seu aplicativo autenticador.

O aplicativo então pedirá permissão para acessar a câmera do seu telefone.

Você precisa permitir essa permissão e, em seguida, tocar no botão ‘Scan QR Code’ para poder escanear o código QR mostrado na página de configurações do plugin em seu computador.

Assim que o aplicativo reconhecer o código QR, ele começará automaticamente a salvar a conta.

Depois disso, você pode editar o logotipo e o apelido padrão da conta. Quando estiver pronto, você deve tocar no botão ‘Salvar’.

O aplicativo autenticador agora salvará sua conta do site.

Em seguida, começará a mostrar uma senha de uso único. Você precisará inserir isso nas configurações do plugin no seu computador.

Agora você precisa voltar para o seu computador.

No assistente de configuração do plugin, clique no botão ‘Estou pronto’ para continuar.

O plugin agora solicitará que você verifique sua senha de uso único.

Basta digitar o código do seu aplicativo móvel no campo “Código de autenticação” antes que ele expire.

Depois disso, você deve clicar no botão ‘Validar e Salvar’ para finalizar a configuração.

A seguir, você terá a opção de gerar e salvar uma lista de códigos de backup. Esses códigos podem ser usados ​​caso você não tenha acesso ao seu telefone.

Você deve clicar no botão ‘Gerar lista de códigos de backup’.

Os códigos de backup serão gerados e exibidos.

Você pode baixar esses códigos de backup para um local seguro em seu computador, imprimi-los e colocá-los em um local seguro ou enviá-los para você mesmo por e-mail. Certifique-se de mantê-los em algum lugar onde você possa chegar caso não tenha seu telefone.

Depois disso, você pode clicar no botão ‘Estou pronto, fechar o assistente’ para sair do assistente de configuração.

Usando autenticação de dois fatores ao fazer login

Na próxima vez que seus usuários fizerem login, eles verão uma notificação informando que precisam configurar a autenticação de dois fatores, juntamente com a data limite no final do período de carência.

Eles podem clicar em um botão para configurar 2FA agora ou optar por ser lembrados no próximo login.

Quando eles clicarem no botão ‘Configurar 2FA agora’, eles seguirão as mesmas etapas de quando você configurou 2FA para sua própria conta de usuário na seção anterior.

Ao fazer login após configurar a autenticação de dois fatores, eles verão a tela de login do WordPress normalmente. Porém, ao inserir seu nome de usuário e senha, uma segunda tela será exibida, solicitando o código do aplicativo autenticador.

Eles precisarão inserir o código do aplicativo em seu telefone antes de fazer login. Como alternativa, eles podem inserir um código de backup se não estiverem com o telefone.

Isso torna seu site mais seguro. Se um hacker descobrir o nome de usuário e a senha de um de seus usuários, ele não conseguirá fazer login, a menos que também tenha acesso ao telefone.

Método 2: Adicionar autenticação de dois fatores usando dois fatores

Este método é menos flexível, pois não permite impor logins de dois fatores para todos os usuários. Cada usuário terá que configurá-lo por conta própria e poderá desativá-lo em seu perfil. No entanto, é um método rápido e fácil se você deseja apenas configurar 2FA para sua própria conta.

Primeiro, você precisa instalar e ativar o plugin Two-Factor. Para obter mais detalhes, consulte nosso guia passo a passo sobre como instalar um plugin do WordPress.

Após a ativação, você precisa visitar a página Usuários »Perfil e rolar para baixo até a seção 'Opções de dois fatores'.

A partir daqui, você precisa escolher uma opção de login de dois fatores. O plugin permite que você use e-mail, um aplicativo autenticador e os métodos FIDO U2F Security Keys.

Recomendamos usar o método do aplicativo autenticador. Basta escanear o código QR na tela usando um aplicativo autenticador como Google Authenticator, Authy ou LastPass Authenticator.

Depois de digitalizar o código QR, o aplicativo mostrará um código de verificação que você precisa inserir nas opções do plugin e clicar no botão ‘Enviar’.

O plugin irá agora definir a chave secreta. Você pode redefinir essa chave a qualquer momento na página de configurações para digitalizar novamente o código QR.

Não se esqueça de clicar no botão ‘Atualizar perfil’ na parte inferior da página para salvar suas configurações.

Agora, cada vez que você fizer login no seu site WordPress, será solicitado que você insira o código de autenticação gerado pelo aplicativo no seu telefone.

Perguntas frequentes sobre autenticação de dois fatores (2FA) no WordPress

Aqui estão algumas respostas para algumas das perguntas mais frequentes sobre o uso do login em duas etapas no WordPress.

1. Como faço login com 2FA se não tenho acesso ao meu telefone?

Se você estiver usando um aplicativo autenticador com opção de backup na nuvem como o Authy, também poderá instalar o aplicativo em seu laptop.

Isso lhe dá acesso aos códigos de autenticação mesmo quando você não está com seu telefone. Ele também permite que você restaure facilmente suas chaves secretas ao comprar um novo telefone.

Muitos aplicativos autenticadores também permitem gerar códigos de backup. Esses códigos podem ser usados ​​como senhas únicas quando você não tiver acesso ao seu telefone.

2. Como fazer login sem nenhum código do meu aplicativo autenticador?

Se você não tiver acesso ao seu telefone, laptop ou códigos de backup, você só poderá fazer login desativando o plug-in 2FA.

Você pode ver nosso guia sobre como desativar todos os plug-ins do WordPress quando não conseguir acessar a área de administração.

Depois de desativar todos os plug-ins, o plug-in de autenticação de dois fatores também será desativado e você poderá fazer login no seu site WordPress. Uma vez logado, você pode reativar os plug-ins e redefinir a configuração da autenticação de dois fatores.

3. Preciso proteger com senha a pasta de administração do WordPress?

A segurança do site funciona melhor quando você tem várias camadas de segurança para proteger seu site, começando com o básico, como usar HTTPS e hospedagem segura do WordPress.

A verificação de dois fatores torna seu login do WordPress seguro, mas você pode torná-lo ainda mais seguro protegendo com senha o diretório de administração do WordPress. Isso significa que os usuários não poderão acessar sua página de login a menos que primeiro insiram um nome de usuário e uma senha.

Esperamos que este artigo tenha ajudado você a adicionar a verificação de dois fatores para login do WordPress. Você também pode consultar nosso guia sobre como obter um certificado SSL gratuito para seu site WordPress ou nossa seleção especializada dos melhores plug-ins de segurança para WordPress.

Se você gostou deste artigo, inscreva-se em nosso canal no YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.