Aprenda a proteger seu site com a autenticação de dois fatores WordPress. Guia completo de instalação para aumentar a segurança do site.
Saber como configurar a autenticação de dois fatores (2FA) no WordPress é essencial para quem tem ou administra um site, um blog ou uma loja virtual.
O motivo é que essa configuração ajuda a proteger o painel administrativo contra invasões por hackers e acessos não autorizados.
A autenticação de dois fatores é uma medida de segurança que exige duas formas de verificação: no caso, uma senha mais um código, que pode ser enviado por SMS ou gerado por um aplicativo, por exemplo. Assim, ela ajuda a proteger o acesso a contas online.
Mesmo que uma senha seja descoberta, o segundo fator de verificação dificulta a invasão da conta e reduz significativamente os riscos de comprometimento do site. Afinal, é preciso de ambos para fazer o acesso.
Neste conteúdo, saiba mais sobre o assunto e veja como configurar a autenticação de dois fatores (2FA) no WordPress passo a passo!
Resumo do artigo
- A autenticação de dois fatores no WordPress é um recurso que adiciona uma camada extra de segurança a logins, dificultando o acesso de invasores
- Configurar a 2FA no WordPress proporciona mais proteção e tranquilidade para donos, administradores e usuários de sites
- A configuração da autenticação de dois fatores no WordPress é um processo que pode ser feito por meio de plugins gratuitos, levando poucos minutos
- A autenticação de dois fatores complementa outras boas práticas, como senhas fortes e atualizações frequentes
- É recomendável salvar códigos de recuperação para evitar problemas caso o celular seja perdido ou trocado
Como configurar autenticação de dois fatores (2FA) no WordPress (tutorial)
A forma mais simples de configurar a autenticação 2FA no WordPress é utilizar um plugin desenvolvido para essa finalidade.
A seguir, veja como fazer esse processo na prática por meio do plugin WP 2FA!
Acesse o WordPress
Em primeiro lugar, acesse o painel de administração do WordPress. Em seguida, no menu lateral esquerdo, clique em “Plugins” e depois selecione “Adicionar plugin”.

Pesquise pelo WP 2FA
No campo de buscas da área de plugins, digite “WP 2FA”, clique no botão “Instalar agora” ao lado do programa e depois vá em “Ativar”.

Após a ativação, será exibida a página do assistente de configuração do WP 2FA. No próximo tópico, mostraremos como configurar o plugin.
Faça as configurações iniciais no WP 2FA no WordPress
Com a tela inicial do plugin aberta, clique em “Let’s get started!” para iniciar a configuração.

Agora, marque os métodos de 2FA que você deseja utilizar. É válido saber que existem diferentes tipos de autenticação de dois fatores que adicionam camadas de segurança ao processo de login.
Os principais (e que estão disponíveis no plugin WP 2FA), são:
- One-Time Password (OTP): senha de uso único gerada para uma única sessão ou transação. Ela é válida apenas uma vez e expira após o uso;
- Time-Based One-Time Password (TOTP): tipo de OTP que gera códigos temporários baseados no tempo. A cada poucos segundos, um novo código é gerado com base no horário atual e uma chave secreta. O código muda periodicamente, aumentando a segurança;
- HMAC-Based One-Time Password (HOTP): tipo de OTP que gera códigos baseados em um contador. A cada nova tentativa de autenticação, o contador é incrementado, gerando um novo código. Diferente do TOTP, que depende do tempo, o HOTP depende do contador e não muda automaticamente.
O TOTP é a opção mais segura e recomendada, pois utiliza um aplicativo externo para realizar a autenticação no WordPress. Portanto, deixe apenas ela marcada e clique no botão “Continue setup”.

Na tela seguinte, deixe a opção de backup de códigos (tokens) marcada para que os usuários possam logar no WordPress usando uma opção de autenticação alternativa.
Essa opção funciona como um código de emergência de uso único, possibilitando o login em caso de impossibilidade de gerar um token de acesso único do 2FA. Na sequência, clique mais uma vez em “Continue setup”.

Configure os usuários no WP 2FA
Após avançar, a etapa seguinte é selecionar os usuários que devem usar o 2FA. Essas são as opções disponíveis.
- All users: todos os usuários são obrigados a usar a autenticação de dois fatores;
- Only for specific users and roles: permite selecionar usuários específicos ou funções de usuários que devem ativar obrigatoriamente o 2FA para logar no site;
- Do not enforce on any users: nenhum usuário é obrigado a usar o 2FA, ele configura se desejar (opção não recomendada).
Para garantir a segurança total do site, selecione a opção “All users”. Em seguida, clique no botão “All done” para seguir para a próxima etapa.

Caso esteja impondo a autenticação de dois fatores (2FA) para todos os usuários, mas deseja criar exceções, você pode definir regras específicas para isso.
Esse recurso do plugin possibilita criar exceções para usuários individuais ou para grupos de usuário baseado em sua função no WordPress.
Por exemplo, é possível configurar uma regra para que usuários com a função de “leitor” não sejam obrigados a configurar o 2FA para login.
Isso se justifica pelo fato de que esses usuários têm permissões limitadas dentro do WordPress, tornando desnecessária a exigência de 2FA para suas atividades. Utilizando ou não essa opção, clique em “Continue setup”.

Agora, selecione o período de carência para utilização do 2FA. Você pode estabelecer uma regra que permita aos usuários continuarem acessando o site normalmente por um período determinado, seja em dias (days) ou horas (hours).
O ideal é oferecer pelo menos uma semana para que os usuários possam configurar a autenticação de dois fatores (2FA).
Esse prazo proporciona tempo suficiente para que eles compreendam o funcionamento do 2FA e completem a configuração com tranquilidade antes de ser obrigatório configurar a autenticação de dois fatores.
Terminando essa parte, clique no botão “All done” para finalizar o assistente de configuração.

Configure o 2FA no seu celular
Sempre que um usuário fizer login no WordPress será mostrada uma página perguntando se deseja configurar o 2FA.
Para iniciar a configuração do 2FA, clique no botão “Configure 2FA now”, exibido após o login.

Na sequência, instale em seu celular um aplicativo para gerenciar os tokens do 2FA. Para o conteúdo, utilizamos o Google Authenticator. Porém, você também pode baixar o Microsoft Authenticator ou o 2FAS, por exemplo.
Com o app instalado, acesse ele e selecione a opção “Adicionar um código”. Depois, escolha a opção “Ler código QR”.

Aponte a câmera do seu celular para o QR code mostrado na página de login do WordPress. Após a leitura, clique no botão “I’m Ready”, exibido no WordPress.

Agora, informe o token gerado pelo Google Authenticator no campo “Authentication Code” e depois clique no botão “Validate & Save” para confirmar a ativação do 2FA.

Na tela seguinte você pode gerar os códigos de acesso alternativos ou clicar para gerar depois. Eles são usados para fazer o login caso perca o acesso ao dispositivo com os tokens de login.
Pronto, agora o 2FA está configurado! Agora, sempre que fizer login no WordPress, você será direcionado para uma tela que solicita o código de autenticação.
Nela, basta inserir o código gerado pelo Google Authenticator e depois clicar no botão “Log in” para completar o processo e acessar o WordPress, conforme mostra a imagem:

Por que ativar o 2FA no WordPress?
O painel administrativo do WordPress concentra praticamente todo o gerenciamento do site. É nele que ficam conteúdos, usuários, plugins, temas, configurações e informações relevantes do projeto. Por esse motivo, proteger o acesso deve ser uma prioridade.
Nesse sentido, a autenticação de dois fatores oferece benefícios importantes. Por exemplo, ela:
- dificulta invasões mesmo quando a senha é comprometida;
- reduz riscos de ataques automatizados ao painel;
- protege contas de administradores, editores e colaboradores;
- ajuda a preservar dados, conteúdos e arquivos hospedados.
Mesmo pequenos negócios podem ser alvo de ataques automatizados que procuram páginas de login vulneráveis. Assim, a autenticação em dois fatores cria uma barreira adicional contra esse tipo de ameaça.

Outras medidas relevantes para proteger sites no WordPress
A autenticação de dois fatores no WordPress representa uma camada extra de proteção. Porém, existem algumas outras boas práticas e cuidados que você deve ter para manter seu projeto seguro.
Saiba mais sobre eles!
Contrate uma boa hospedagem
A contratação de uma boa hospedagem é fundamental para garantir a segurança e proteção do WordPress.
Algumas medidas de segurança devem ser adotadas para reforçar a segurança do WordPress, no entanto, nada substitui a contratação de uma hospedagem segura e confiável.
O motivo é que boas empresas de hospedagem adotam uma série de medidas para proteção do servidor web, incluindo patches de segurança e firewall, para impedir a exploração de vulnerabilidades em seu site ou aplicação.
Utilize HTTPS no site
A utilização do HyperText Transfer Protocol Secure (HTTPS) protege a privacidade dos visitantes, mas também aumenta a proteção de sites, principalmente na área de login do WordPress.
Para utilizar o HTTPS, basta ter um certificado Secure Sockets Layer (SSL) e uma hospedagem compatível, como a HostGator.
Se você utilizar uma conexão insegura (HTTP) em seu site, ao informar o seu usuário e senha no painel de controle do WordPress, hackers podem interceptar o tráfego de rede facilmente e, consequentemente, roubar seu login e senha.
Por outro lado, ao utilizar o protocolo HTTPS, todo o tráfego é protegido de invasores por meio de uma camada de criptografia TLS/SSL. Desse modo, é praticamente impossível um ataque que intercepte a senha ou os cookies da página de login.
Evite usar o FTP
O File Transfer Protocol (FTP) não oferece nenhum tipo de criptografia e sofre dos mesmos problemas que uma conexão sem HTTPS. Portanto, ele também possibilita ataques onde o invasor captura as senhas e rouba os dados do seu site.
Por se tratar uma conexão com o servidor onde os dados e arquivos são transportados em texto simples, um atacante pode até, em tese, modificar os arquivos enviados por meio do FTP.
Por esse motivo, procure utilizar o FTPS, que é a versão criptografada do FTP. Ele adiciona uma camada de criptografia Secure Shell (SSH) que garante que nenhum dado ou arquivo seja modificado ou interceptado.
Outras dicas importantes
- utilize sempre senhas longas e exclusivas;
- mantenha o WordPress, os plugins e os temas sempre atualizados;
- remova plugins não utilizados;
- limite tentativas de login;
- realize backups frequentes.
Quando essas medidas trabalham em conjunto, o nível de proteção do site aumenta significativamente.
Considerações finais
A autenticação de dois fatores (2FA) no WordPress representa uma solução simples, rápida e bastante eficiente para proteger o painel administrativo contra acessos indevidos. Portanto, vale configurá-lo no seu site.
Em poucos minutos, é possível adicionar uma camada extra de segurança que reduz de forma significativa os riscos de invasão e ajuda a preservar a integridade do site.
Continue explorando o blog da HostGator para aprender mais sobre segurança e WordPress. Veja algumas sugestões de conteúdos que separamos:

