{"id":1049,"date":"2024-07-01T22:30:00","date_gmt":"2024-07-02T01:30:00","guid":{"rendered":"https:\/\/kangaroo.host\/blog\/autenticacao-de-dois-fatores-2fa\/"},"modified":"2025-07-14T16:40:00","modified_gmt":"2025-07-14T19:40:00","slug":"autenticacao-de-dois-fatores-2fa","status":"publish","type":"post","link":"https:\/\/kangaroo.host\/blog\/autenticacao-de-dois-fatores-2fa\/","title":{"rendered":"Autentica\u00e7\u00e3o de dois fatores (2FA) no WordPress"},"content":{"rendered":"\n

A seguran\u00e7a do WordPress<\/a> \u00e9 sempre uma quest\u00e3o que deve ser levada muito a s\u00e9rio pelos donos de site, n\u00e3o \u00e9 mesmo, Kangaroozinho? Sendo a plataforma de cria\u00e7\u00e3o de sites mais utilizada em todo o mundo, ela tamb\u00e9m se torna a mais visada para ataques, j\u00e1 que a maioria dos sites a utiliza.<\/p>\n\n\n\n

Ataques como o de brute force, que explicamos neste outro artigo<\/a>, utilizam bots para tentar incessantemente descobrir as credenciais de acesso de um site, o que poderia at\u00e9 mesmo conceder acesso total se o ataque for bem sucedido. Por isso, a autentica\u00e7\u00e3o de dois fatores surge como uma camada extra de prote\u00e7\u00e3o, que pode ajudar a contornar esse problema.<\/p>\n\n\n\n

Sum\u00e1rio<\/h3>\n\n\n\n
    \n
  1. O que \u00e9?<\/li>\n\n\n\n
  2. Como ativar no WordPress?<\/li>\n\n\n\n
  3. Conclus\u00e3o<\/li>\n<\/ol>\n\n\n\n

    O que \u00e9 a autentica\u00e7\u00e3o de dois fatores?<\/h2>\n\n\n\n

    Alguma vez, tentou acessar um site e ele pediu que voc\u00ea confirmasse um c\u00f3digo enviado via e-mail ou SMS? Essa \u00e9 uma pr\u00e1tica que tem se tornado cada vez mais comum, e \u00e9 exatamente o que configura uma autentica\u00e7\u00e3o de segundo fator, ou tamb\u00e9m chamada de 2FA (Two-Factor Authentication).<\/p>\n\n\n\n

    Em suma, ela consiste em adicionar uma verifica\u00e7\u00e3o extra, fazendo com que apenas acertar os dados de login e senha n\u00e3o sejam suficientes para completar o login. Dessa forma, uma outra confirma\u00e7\u00e3o externa \u00e9 necess\u00e1ria, normalmente atrav\u00e9s de um c\u00f3digo ou palavra chave.<\/p>\n\n\n\n

    Al\u00e9m dos envios via e-mail e SMS, existe tamb\u00e9m outros m\u00e9todos, como o TOTP, que vem do ingl\u00eas para Senha tempor\u00e1ria de uso \u00fanico. Ela consiste em um c\u00f3digo tempor\u00e1rio, que normalmente muda a cada 30 segundos, e \u00e9 usado para a valida\u00e7\u00e3o. Normalmente, esse c\u00f3digo \u00e9 mostrado em aplicativos como o Google Authenticator.<\/p>\n\n\n\n

    Isso \u00e9 uma \u00f3tima forma de garantir uma seguran\u00e7a a mais para seu acesso, j\u00e1 que mesmo que algu\u00e9m tenha acesso de alguma \u00e0s suas credenciais de acesso, ele ainda precisar\u00e1 ter tamb\u00e9m acesso ao c\u00f3digo que chegar\u00e1 no dispositivo configurado por voc\u00ea, tornando uma invas\u00e3o muito mais dif\u00edcil<\/p>\n\n\n\n

    Como ativar o 2FA no WordPress?<\/h2>\n\n\n\n

    Infelizmente, o WP n\u00e3o conta com uma forma nativa de ativar essa funcionalidade em seu site. Por isso, \u00e9 necess\u00e1rio instalar plugins que implementem essa fun\u00e7\u00e3o, existindo para isso plugins de seguran\u00e7a que contam com esse recurso, e plugins espec\u00edficos para a seguran\u00e7a de login.<\/p>\n\n\n\n

    Qual tipo de plugin escolher \u00e9 uma escolha totalmente pessoal e que atenda melhor o seu projeto. Se tratando de WordPress, \u00e9 sempre bom usar o menor n\u00famero de plugins poss\u00edvel, para deixar o site mais perform\u00e1tico e ter menos pontos que possam se tornar brechas, por isso a escolha da reda\u00e7\u00e3o sempre seria de plugins que tenham uma gama maior de fun\u00e7\u00f5es, para permitir usar menos plugins.<\/p>\n\n\n\n

    De toda forma, essa \u00e9 uma escolha feita projeto a projeto, por isso consulte sempre seu time de programa\u00e7\u00e3o para entender qual seria a melhor alternativa para o seu caso. Avisos dados, vamos para as nossas principais recomenda\u00e7\u00f5es de ferramentas:<\/p>\n\n\n\n

    Plugins de seguran\u00e7a<\/h3>\n\n\n\n

    Dentre os plugins de seguran\u00e7a, temos alguns plugins bastante populares, e que contam com o 2FA como um recurso inclu\u00eddo, como por exemplo: <\/p>\n\n\n\n

    Shield Security<\/h4>\n\n\n\n
    \"Shield<\/figure>\n\n\n\n

    O Shield<\/a> \u00e9 um plugin de seguran\u00e7a extremamente completo, com ferramentas de Scan, WAF, verifica\u00e7\u00e3o de integridade de arquivos e, como n\u00e3o poderia faltar, conta tamb\u00e9m com recursos de prote\u00e7\u00e3o de login, como a oculta\u00e7\u00e3o do URL do WP Admin<\/a> e o 2FA via e-mail e TOTP, permitindo em poucos cliques ativar essa autentica\u00e7\u00e3o extra em seu site.<\/p>\n\n\n\n

    Defender Security<\/h4>\n\n\n\n
    \"Defender<\/figure>\n\n\n\n

    O plugin Defender<\/a> foi desenvolvido pela famosa WPMU DEV, a criadora do Smush<\/a>. Esse \u00e9 um plugin bastante leve e simples de configurar, contando com apenas alguns recursos b\u00e1sicos de seguran\u00e7a, mas fazendo tudo de forma muito eficiente. Esse esses recursos, \u00e9 poss\u00edvel ativar o 2FA tanto para e-mail quanto para TOTP.<\/p>\n\n\n\n

    Plugins de seguran\u00e7a de login<\/h3>\n\n\n\n

    Wordfence Login Security<\/h4>\n\n\n\n
    \"Wordfence<\/figure>\n\n\n\n

    O WordFence Login<\/a> \u00e9 uma vers\u00e3o “reduzida” do plugin original do WordFence<\/a>, contando apenas com as funcionalidades voltadas ao login, como controle de IPs, Recaptcha e, claro, autentica\u00e7\u00e3o de dois fatores atrav\u00e9s de TOTP, possuindo tamb\u00e9m c\u00f3digos de recupera\u00e7\u00e3o, sendo uma ferramenta bastante completa para a prote\u00e7\u00e3o do login.<\/p>\n\n\n\n

    miniOrange’s Google Authenticator <\/h4>\n\n\n\n
    \"miniOrange<\/figure>\n","protected":false},"excerpt":{"rendered":"

    A seguran\u00e7a do WordPress \u00e9 sempre uma quest\u00e3o que deve ser levada muito a s\u00e9rio pelos donos de site, n\u00e3o \u00e9 mesmo, Kangaroozinho? Sendo a plataforma de cria\u00e7\u00e3o de sites mais utilizada em todo o mundo, ela tamb\u00e9m se torna a mais visada para ataques, j\u00e1 que a maioria dos sites a utiliza. Ataques como […]<\/p>\n","protected":false},"author":1,"featured_media":1051,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21],"tags":[286,287,281,288,289,282,25,32,20],"class_list":["post-1049","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguranca","tag-2fa","tag-autenticacao","tag-brute","tag-dois-fatores","tag-force","tag-login","tag-seguranca","tag-site","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/posts\/1049","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/comments?post=1049"}],"version-history":[{"count":1,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/posts\/1049\/revisions"}],"predecessor-version":[{"id":2594,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/posts\/1049\/revisions\/2594"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/media\/1051"}],"wp:attachment":[{"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/media?parent=1049"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/categories?post=1049"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/tags?post=1049"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}