Como ativar a autenticação de dois fatores no seu site WordPress

Publicados: 2023-05-24

Um login + uma senha. Conectar-se à interface de administração do WordPress é muito simples, desde que você se lembre desses dois elementos.

Do ponto de vista da pessoa ou robô mal-intencionado que deseja acessar seu site, é igualmente simples.

Se eles encontrarem seu login e senha, eles se tornarão o capitão do navio, sem sua permissão .

Um cachorro dirige um jet ski.
Será divertido para eles, muito menos para você.

Este é um cenário de desastre e, infelizmente, não acontece apenas com os outros. Para se proteger, pode ser uma boa ideia ativar a autenticação de dois fatores no WordPress .

Se você ainda não está familiarizado com este método de proteção, ou se deseja configurá-lo, este artigo explicará tudo para você.

Depois de lê-lo, você saberá por que usar a autenticação de dois fatores e como habilitá-la em sua instalação do WordPress usando dois métodos diferentes (ambos usando um plugin).

Visão geral

  1. O que é a autenticação de dois fatores?
    1. Por que você deve ativar a autenticação de dois fatores no WordPress?
      1. Como ativar a autenticação dupla no WordPress
        1. Conclusão

          Seus melhores projetos WordPress precisam do melhor host!

          WPMarmite recomenda Bluehost: ótimo desempenho, ótimo suporte. Tudo o que você precisa para um ótimo começo.

          Experimente Bluehost
          CTA Bluehost WPMarmite

          O que é a autenticação de dois fatores?

          Como funciona a autenticação de dois fatores?

          A autenticação de dois fatores é um método de proteger uma conta de usuário . No WordPress, permite proteger o acesso à interface de administração (back office) adicionando uma camada adicional de proteção à autenticação de senha.

          Veja como funciona:

          1. Primeiro, você insere seu nome de usuário e senha na página de login de administração . Isso é o que você normalmente faz sempre que deseja acessar seu site WordPress.
          2. Em seguida, você terá que se identificar uma segunda vez para poder acessar o admin , usando um dispositivo ou serviço em sua posse. Pode ser um smartphone, por exemplo, no qual você valida a tentativa de conexão inserindo um código.

          É por isso que chamamos de autenticação dupla: para se conectar ao WordPress, você precisa se identificar duas vezes.

          Um homem levanta dois dedos.
          Isso mesmo, duas vezes.

          A grande vantagem desse método é que, se alguém hackear sua senha, não será suficiente para acessar sua conta.
           Se a pessoa ou bot mal-intencionado não tiver mais nada seu para fazer login (por exemplo, seu dispositivo móvel), ele ou ela não poderá fazer login.

          Aliás, esse é um serviço que você provavelmente já utilizou no seu dia a dia. Muitos sites famosos o utilizam, como Google, Facebook e PayPal .

          Isso também vale para o seu banco. Para validar um pagamento (especialmente de grandes quantias), muitas vezes é solicitado que você o valide em seu aplicativo bancário, no qual você deve fazer login.

          Vários nomes são usados ​​para se referir à autenticação de dois fatores. Também podemos dizer identificação de dois fatores, autenticação dupla ou até 2FA .

          Quais são as opções para a segunda forma de autenticação?

          Antes de continuar, vamos dar uma olhada rápida nos métodos de identificação que podem ser oferecidos a você durante a segunda etapa de identificação.

          Este segundo fator pode assumir várias formas, tais como:

          • Um código de segurança enviado por mensagem de texto ou e-mail
          • Um aplicativo de autenticação (por exemplo, Google Authenticator) que gera um código de segurança único, válido apenas por um determinado período de tempo
          • Um token USB , que é inserido na porta USB do seu computador
          • Uma notificação push
          • Uma impressão digital ou varredura de retina

          Por que você deve ativar a autenticação de dois fatores no WordPress?

          Embora a autenticação dupla acrescente uma etapa extra ao processo de login, ela ainda tem uma grande vantagem: torna o acesso à sua interface administrativa muito mais seguro .

          Usando este método:

          • Você limita os ataques de força bruta . Quando ocorrem ataques de força bruta, os bots visitam sua página de login do WordPress e tentam descobrir o nome de usuário e a senha da conta de administrador do seu site, testando diferentes combinações, a fim de assumir o controle. Se eles tiverem sucesso, a autenticação dupla os impedirá de acessar seu administrador do WordPress.
          • Você fortalece a segurança da sua conta de administrador . Mesmo se você usar uma senha fraca como 123456 ou amor - não faça isso - você terá uma medida extra de proteção com o segundo fator de autenticação.
          • Você reduz o risco de hacking e protege melhor alguns dados confidenciais (informações pessoais ou dados bancários de seus clientes, se você vender em uma loja WooCommerce).

          O valor da autenticação de dois fatores é mais claro? Agora vamos ao que interessa. Continue lendo para descobrir como configurar a autenticação dupla no WordPress em alguns minutos.

          Um homem beija seus dedos.

          Como ativar a autenticação dupla no WordPress

          Em primeiro lugar, recomendo que você faça backup do seu site. Em caso de problema, você poderá dar a volta por cima e restaurá-lo facilmente. Para fazer isso, você pode ativar o plugin UpdraftPlus, por exemplo, ou usar o módulo de backup de uma ferramenta de manutenção como WP Umbrella (link afiliado) ou ManageWP .

          Quais opções você tem?

          A maneira mais fácil e rápida de ativar a autenticação de dois fatores no WordPress é usar um plug-in. Existem duas opções para isso.

          Primeiro, você pode escolher um plugin dedicado à autenticação dupla no WordPress . O diretório oficial do WordPress tem dezenas deles.

          Entre os mais populares (mais de 5.000 instalações ativas), você encontrará:

          • Dois fatores ( mais de 50 mil instalações ativas)
          • WP 2FA – Autenticação de dois fatores para WordPress ( mais de 40 mil instalações ativas)
          • Google Authenticator ( mais de 30 mil instalações ativas)
          • Autenticação de dois fatores ( mais de 20 mil instalações ativas)
          • Google Authenticator do miniOrange ( mais de 20 mil instalações ativas)
          • Autenticação dupla de dois fatores ( mais de 9 mil instalações ativas)

          A outra opção é aproveitar um recurso de autenticação dupla oferecido por um plug-in de segurança de uso geral, como SecuPress, iThemes Security ou Wordfence Security.

          Vamos descobrir como implementá-los em detalhes.

          Como ativar a autenticação dupla no WordPress com o plugin WP 2FA

          Se você deseja usar um plug-in dedicado à autenticação dupla no WordPress, o plug-in WP 2FA é uma opção confiável e eficaz por vários motivos:

          • É o plugin mais popular depois do Two-Factor. E, ao contrário do Two-Factor, o WP 2FA permite configurar a autenticação de dois fatores para todos os usuários (com o Two-Factor, cada usuário terá que configurá-lo sozinho).
          • É um dos mais bem avaliados.
          • É frequentemente atualizado .
          • É fácil de usar e aprender.
          • Vários métodos de segunda autenticação são oferecidos : e-mail, texto, aplicativo de autenticação, código de recuperação, etc.
          • É desenvolvido e mantido por uma empresa especializada em segurança WordPress: WP White Security também oferece o excelente plug-in WP Activity Log.
          • Seus usuários podem configurar a autenticação de dois fatores sem fazer login na administração . Eles podem fazer isso a partir do front-end, o que é muito conveniente para os clientes de uma loja online (o WP 2FA se integra ao WooCommerce), uma área de membros, etc.

          Sem transição, vamos aprender como configurá-lo em algumas etapas rápidas.

          WP 2FA – Autenticação de dois fatores para banner do WordPress

          Passo 1: Instale e ative o plugin WP 2FA

          Primeiro, instale e ative o plug-in na interface de administração do WordPress. Para fazer isso, vá para o menu Plugins > Adicionar novo .

          Instalando o WP 2FA, um plug-in de autenticação de dois fatores para WordPress.

          Etapa 2: selecione um método de autenticação para seus usuários

          Assim que o plug-in for ativado, um assistente de configuração será iniciado automaticamente em sua tela. Clique no botão azul “Vamos começar” para começar:

          O plug-in WP 2FA oferece um assistente de configuração para ajudá-lo a começar.

          Você será solicitado a escolher um método de autenticação para seus usuários. Você tem duas opções para o segundo fator de autenticação:

          • Usando um aplicativo como Google Authenticator ou Authy
          • Enviando um código por e-mail . Nesse caso, o WP 2FA recomenda ativar o plug-in WP Mail SMTP para melhorar a capacidade de entrega dos e-mails enviados pelo WordPress.

          Se você deseja oferecer essas duas opções aos seus usuários, deixe as duas caixas marcadas.

          Caso contrário, desmarque a caixa de sua escolha se não quiser oferecer um dos métodos de autenticação. Clique em “Continue Setup” para continuar a configuração:

          O plug-in WP 2FA oferece dois métodos para autenticação dupla.

          Na próxima etapa, você também pode optar por enviar um código de backup de uso único , caso o método de autenticação anterior (por aplicativo ou e-mail) não funcione.

          Para escolher esta opção, deixe marcada a caixa “Códigos de backup” e clique em “Continuar configuração”:

          O WP 2FA oferece um código de backup de uso único caso a autenticação dupla falhe para os usuários.

          Etapa 3: definir quais funções de usuário usarão autenticação dupla no WordPress

          Na terceira etapa, o WP 2FA solicita que você escolha quem usará autenticação dupla em seu site WordPress. Existem três opções:

          • Todos os usuários : neste caso, todos terão que se autenticar duas vezes para fazer login, independentemente de sua função de usuário (administrador, autor, editor, colaborador e assinante).
          • Certos usuários e/ou funções definidas (“Apenas para usuários e funções específicos”). Aqui você pode restringir o uso da autenticação de dois fatores a determinados usuários e funções.
          • Não imponha a nenhum usuário . Neste caso, cada usuário terá liberdade para ativá-lo ou não.

          Prossiga para a próxima etapa clicando em “Continuar configuração”:

          O WP 2FA permite que você escolha quais usuários precisarão de autenticação dupla.

          Etapa 4: configurar um período de tolerância

          Se você optar por aplicar a autenticação de dois fatores a todos ou alguns de seus usuários, poderá dar a eles a opção de configurar a autenticação de dois fatores dentro de um determinado período de carência.

          O WP 2FA permite que você:

          • Forçar seus usuários a configurar a autenticação de dois fatores imediatamente (“Os usuários precisam configurar o 2FA imediatamente”)
          • Defina um período de carência para configurar 2FA (“Dar aos usuários um período de carência para configurar 2FA”) que pode ser definido em dias ou horas.

          Se você decidir definir um atraso de configuração, terá que escolher o que acontecerá se o usuário não agir durante o atraso:

          • Eles não poderão acessar o painel ou a página do usuário (“Não deixe que eles acessem o painel/página do usuário”) até que configurem o login duplo no WordPress
          • Ou a conta do usuário será bloqueada (“Bloquear o usuário”). Apenas um administrador poderá desbloqueá-lo.

          Finalize clicando em “Tudo pronto”:

          O WP 2FA permite que você dê aos seus usuários um período de tolerância para configurar o 2FA.

          Etapa 5: escolha o método de login duplo no WordPress para sua conta de usuário

          A última etapa é configurar a autenticação dupla para sua conta de usuário. Para fazer isso, clique no botão “Configurar 2FA agora”:

          Finalizando o assistente de configuração do WP 2FA.

          Uma janela destacada será aberta na tela solicitando que você escolha qual método de autenticação deseja usar:

          • Autenticação via app (“Código único via app 2FA”). Este é o método que vou escolher aqui.
          • Autenticação via e-mail (“Código único via e-mail”).
          Você pode optar por autenticar por meio de um código no aplicativo 2FA ou usando um código enviado para seu e-mail.

          Etapa 6: gerar um código de autenticação em um aplicativo de autenticação de dois fatores

          Para autenticar por meio de um aplicativo, você precisa escolher um. WP 2FA é compatível com os seguintes aplicativos:

          • Google Authenticator
          • Authy
          • Microsoft Authenticator
          • Duo
          • Última passagem
          • FreeOTP
          • okta

          Para este teste, vou contar com o Google Authenticator, que é provavelmente o mais famoso .

          Baixe este aplicativo em seu smartphone. Abra-o e escaneie o código QR oferecido pelo plug-in WP 2FA em sua interface de administração. Quando terminar, clique no botão “Estou pronto”.

          O WP 2FA inclui um código inteligente para configurar o aplicativo de autenticação.

          Em seguida, insira o código gerado pelo aplicativo Google Authenticator e lembre-se de validar clicando no botão correspondente (“Validar e Salvar”):

          Você deve validar um código para concluir a configuração do WP 2FA.

          Passo 7: Conecte-se ao WordPress

          Para verificar se tudo está funcionando corretamente, saia da interface de administração do WordPress.

          Na página de login do administrador, digite seu nome de usuário e senha como de costume. Se tudo estiver bem, você será solicitado a inserir um código único gerado pelo aplicativo que usará .

          A página de login de um site WordPress protegido por autenticação de dois fatores.

          No caso do Google Authenticator, este é um código de 6 dígitos que é regenerado a cada 30 segundos.

          E pronto, seu site agora está muito mais seguro. Parabéns!

          Você também pode personalizar o texto do e-mail que enviará um código de autenticação (se você escolher este método nas configurações do plug-in), através do menu WP 2FA > Configurações > E-mails e modelos. Por fim, também é possível alterar o texto que é exibido na página de login quando você precisa inserir seu código de autenticação.

          Junte-se aos assinantes do WPMarmite

          Obtenha as últimas postagens do WPMarmite (e também recursos exclusivos).

          INSCREVA-SE AGORA
          Boletim informativo em inglês da WPMarmite

          Como ativar a autenticação de dois fatores com um plug-in de segurança geral

          Se você mesmo passou pelo processo de configuração da autenticação de dois fatores no WordPress, pode ter achado as etapas relativamente simples.

          Por outro lado, você pode ter achado um pouco demorado para implementar. O plug-in WP 2FA possui várias opções de configuração, o que pode tornar as coisas um pouco complicadas.

          Se você quiser ir um pouco mais rápido - embora com menos opções nas configurações - há outro jeito.

          Este é o uso de um plug-in de segurança de uso geral. A maioria deles oferece uma opção para ativar a autenticação dupla em seu site WordPress.

          O WPMarmite dedicou tutoriais detalhados a três dos plugins de segurança mais famosos, nos quais você descobrirá como configurar a autenticação dupla. Estes são os seguintes plugins:

          • Wordfence Security (incluído na versão gratuita). Se você não quiser aproveitar todos os recursos oferecidos pelo Wordfence, observe que ele também oferece um plug-in mais leve e com menos opções (Wordfence Login Security), que inclui autenticação dupla.
          • Segurança iThemes (incluído na versão gratuita)
          • SecuPress também oferece autenticação de dois fatores (2FA), mas apenas em sua versão Pro. O SecuPress oferece um método interessante a esse respeito: Passwordless . Para fazer login, o usuário não precisa digitar uma senha. Eles apenas inserem seu endereço de e-mail na página de login do WordPress e, em seguida, recebem um e-mail com um link exclusivo que permitirá que eles façam login apenas uma vez.

          Se você optar por usar um plug-in de segurança de uso geral, não habilite um plug-in de autenticação de dois fatores dedicado como WP 2FA ou um de seus concorrentes ao mesmo tempo. Isso seria contraproducente e você se exporia a riscos de incompatibilidade.

          Deseja aumentar a segurança do seu site #WordPress ativando a autenticação de dois fatores? Confira nosso guia!

          Clique para Tweetar

          Conclusão

          A autenticação dupla no WordPress é uma forma eficaz de fortalecer a segurança do seu site . Por exemplo, permite que você proteja melhor seu site contra ataques de força bruta.

          Ao longo dessas linhas, você descobriu dois métodos principais para ativá-lo em sua instalação do WordPress:

          1. Com um plugin dedicado como WP 2FA .
          2. Com um plug-in de segurança de uso geral, como Wordfence, iThemes Security ou SecuPress.

          No entanto, não confie apenas na autenticação de dois fatores para proteger seu site. Considere o uso de senhas fortes, por exemplo, bem como um plug-in anti-spam como o Akismet.

          Você implementou login duplo em seu site? Em caso afirmativo, que feedback você pode compartilhar conosco? Dê sua opinião aos leitores do WPMarmite postando um comentário.