Como ativar autenticação em dois fatores no WordPress
Se alguém descobre a senha do seu WordPress, essa pessoa pode entrar no painel, alterar conteúdo, instalar plugins maliciosos, criar usuários administradores e comprometer o site.
A autenticação em dois fatores, também chamada de 2FA, reduz muito esse risco. Com ela, a senha deixa de ser a única barreira. Depois de digitar usuário e senha, a pessoa também precisa informar um código temporário gerado no celular, em um aplicativo autenticador ou em outro método configurado.
Na prática, mesmo que a senha vaze, o invasor ainda não consegue entrar apenas com a senha.
Mas existe um cuidado importante: 2FA mexe diretamente no login do WordPress. Se você configurar sem backup, sem códigos de recuperação ou sem teste, pode acabar bloqueado fora do próprio site.
Neste guia, você vai aprender como ativar 2FA no WordPress com segurança, quais plugins considerar, como testar antes de sair do painel e como evitar problemas com editores, clientes WooCommerce e contas de emergência.
Se você está começando uma revisão maior, veja também nosso guia de segurança WordPress. E, se ainda está se familiarizando com a plataforma, vale revisar primeiro o que é WordPress e a diferença entre WordPress auto-hospedado e serviços gerenciados.
O que é 2FA no WordPress?
2FA significa autenticação em dois fatores. É um método de login que exige duas provas diferentes de identidade:
- Algo que você sabe: sua senha.
- Algo que você tem: um código temporário, app autenticador, chave de segurança ou outro método aceito pelo plugin.
No WordPress, o formato mais comum é o código temporário de 6 dígitos gerado por aplicativo autenticador. Esse método é conhecido como TOTP, ou senha de uso único baseada em tempo.
Funciona assim:
- Você acessa a tela de login do WordPress.
- Digita usuário e senha.
- O site pede um código de verificação.
- Você abre o app autenticador no celular ou no gerenciador de senhas.
- Digita o código atual.
- O WordPress libera o acesso ao painel.
Esses códigos mudam a cada poucos segundos. Por isso, uma senha vazada deixa de ser suficiente para entrar.
2FA substitui outras medidas de segurança?
Não. 2FA é uma camada extra, não uma solução completa.
Ela ajuda muito contra invasões causadas por:
- senha reutilizada em outros serviços;
- senha fraca;
- vazamento de credenciais;
- tentativa de login automatizada;
- acesso indevido a contas administrativas.
Mas 2FA não resolve tudo. Seu site ainda precisa de:
- WordPress, temas e plugins atualizados;
- senhas fortes e únicas;
- usuários antigos removidos;
- backup automático e testado;
- hospedagem confiável;
- permissões corretas por função de usuário;
- monitoramento básico de segurança.
Se o seu site já foi comprometido, não basta ativar 2FA por cima do problema. Primeiro, siga um processo de limpeza e recuperação. Veja o guia: WordPress hackeado: como limpar e recuperar.
Antes de começar: cuidados para não se bloquear fora do site
Antes de instalar qualquer plugin de 2FA, faça estes passos.
1. Faça backup completo
Antes de mexer em login, autenticação ou painel administrativo, faça um backup completo do WordPress.
O ideal é ter:
- arquivos do site;
- banco de dados;
- uploads;
- lista de plugins ativos;
- acesso ao backup fora do próprio WordPress.
Se você ainda não tem uma rotina confiável, veja o guia de backup WordPress online na nuvem.
2. Confirme acesso à hospedagem
Você precisa ter algum caminho de emergência caso o login do WordPress pare de funcionar.
Antes de ativar 2FA, confirme se você consegue acessar:
- painel da hospedagem;
- gerenciador de arquivos;
- FTP ou SFTP;
- suporte da hospedagem.
Na maioria dos problemas, não será necessário mexer no banco de dados. Ter acesso à hospedagem, porém, permite pedir suporte ou desativar temporariamente um plugin se algo der errado.
3. Use um app autenticador confiável
Você pode usar aplicativos como:
- Google Authenticator;
- Microsoft Authenticator;
- Authy;
- 1Password;
- Bitwarden;
- outro app compatível com TOTP.
O importante é escolher uma opção que você saiba recuperar caso troque de celular.
4. Mantenha a sessão atual aberta
Nunca configure 2FA, saia do painel e só depois teste.
O fluxo seguro é:
- configurar 2FA;
- salvar códigos de backup;
- manter a sessão atual aberta;
- abrir uma janela anônima ou outro navegador;
- tentar fazer login por lá;
- confirmar que o código funciona;
- só então encerrar a sessão antiga.
Esse cuidado simples evita muitos bloqueios.
5. Tenha uma conta administrativa de emergência, se fizer sentido
Em sites importantes, pode fazer sentido manter uma segunda conta administrativa para emergência.
Mas atenção: essa conta também precisa ser protegida.
Boas práticas:
- use um e-mail diferente e seguro;
- crie senha forte e única;
- ative 2FA nela também;
- guarde os códigos de backup;
- não compartilhe a conta entre várias pessoas;
- revise periodicamente se ela ainda é necessária.
Conta de emergência não deve ser uma porta dos fundos fraca. Ela existe para recuperação controlada, não para facilitar acesso sem segurança.
Qual plugin usar para 2FA no WordPress?
Existem vários plugins de 2FA. A melhor escolha depende do tipo de site, da equipe e do nível de controle que você precisa.
| Plugin | Melhor para | Pontos fortes | Cuidados |
|---|---|---|---|
| Two Factor | Sites simples, blogs, sites institucionais e administradores que querem 2FA direto ao ponto | Focado em 2FA, configuração por usuário, TOTP, e-mail e códigos de backup | Não é a melhor opção quando você precisa impor uma política avançada por função em equipes grandes |
| WP 2FA | Sites com vários usuários, equipes e necessidade de política por função | Assistente de configuração, políticas por função, período de carência, TOTP, e-mail e códigos de backup | Validar, no dia da publicação, quais recursos continuam gratuitos e quais são premium |
| Wordfence Security | Sites que já usam Wordfence ou querem segurança mais ampla | 2FA integrado ao Login Security, recovery codes, regras por papel de usuário, scanner e firewall no mesmo plugin | Pode ser excessivo se você só quer um plugin pequeno e focado em 2FA |
| Two Factor Authentication | Sites que precisam de alternativa com shortcode ou integrações específicas | TOTP, shortcodes e integrações | Recursos como obrigatoriedade por função e códigos de emergência podem depender da versão premium |
| miniOrange 2FA | Sites que precisam de métodos variados e integrações | Vários métodos e compatibilidades | A versão gratuita pode ter limite de usuários e alguns métodos dependem de serviços externos |
Para este tutorial, vamos usar o plugin Two Factor como caminho principal, por ser simples, gratuito e focado no objetivo: ativar 2FA para usuários do WordPress.
Se você já usa Wordfence Security, também incluímos uma seção específica para configurar 2FA dentro do Wordfence.
Como ativar 2FA no WordPress com o plugin Two Factor
Este passo a passo é indicado para quem quer proteger principalmente usuários administradores e editores, sem configurar uma suíte completa de segurança.
Pré-requisitos
Antes de começar, confirme que você tem:
- backup completo recente;
- acesso de Administrador ao WordPress;
- acesso ao e-mail da conta;
- aplicativo autenticador instalado;
- acesso ao painel da hospedagem para emergência;
- tempo para testar o login antes de sair do painel.
Passo 1: instale o plugin
No painel do WordPress:
- Acesse
Plugins > Adicionar novo. - Pesquise por
Two Factor. - Localize o plugin “Two Factor”.
- Clique em
Instalar agora. - Depois, clique em
Ativar.
Após ativar, o plugin adiciona opções de autenticação em dois fatores ao perfil dos usuários.
Passo 2: acesse seu perfil de usuário
No painel:
- Acesse
Usuários > PerfilouUsuários > Seu perfil. - Procure a seção
Two-Factor Optionsou “Opções de dois fatores”. - Verifique quais métodos estão disponíveis.
Os nomes exatos podem variar conforme idioma do WordPress e versão do plugin.
Passo 3: ative o aplicativo autenticador
Na seção de 2FA:
- Marque a opção de aplicativo autenticador/TOTP.
- O plugin deve exibir um QR code.
- Abra o app autenticador no celular.
- Toque para adicionar nova conta.
- Escaneie o QR code.
- O app começará a gerar códigos temporários para aquele site.
Se você não conseguir escanear o QR code, procure a opção de inserir a chave manualmente no app autenticador.
Passo 4: defina o método principal
Se o plugin permitir mais de um método, defina o aplicativo autenticador como método principal.
Códigos por e-mail podem ser úteis como alternativa, mas têm uma limitação: se a conta de e-mail também estiver comprometida, o atacante pode conseguir redefinir senha e receber códigos.
Por isso, para administradores, prefira app autenticador como método principal.
Passo 5: gere códigos de backup
Códigos de backup são códigos de uso único para entrar no site caso você perca acesso ao app autenticador.
Depois de ativar 2FA:
- Gere os códigos de backup.
- Baixe ou copie os códigos.
- Guarde em local seguro.
- Não salve em arquivo público, e-mail sem proteção ou pasta compartilhada sem controle.
Boas opções de armazenamento:
- gerenciador de senhas;
- cofre digital seguro;
- cópia impressa guardada em local físico protegido;
- documentação interna segura, se for site de empresa.
Cada código deve ser usado apenas uma vez. Se você usar vários códigos, gere uma nova lista.
Passo 6: salve o perfil
Depois de configurar o método principal e os códigos de backup, salve as alterações do perfil.
Não saia do WordPress ainda.
Passo 7: teste em uma janela anônima
Com a sessão atual aberta:
- Abra uma janela anônima ou outro navegador.
- Acesse a tela de login do WordPress.
- Digite usuário e senha.
- Quando o WordPress pedir o código, abra o app autenticador.
- Digite o código atual.
- Confirme se o painel abre normalmente.
Se o login funcionar, a configuração está correta.
Se não funcionar, volte à sessão original que ainda está aberta, revise a configuração, gere novo QR code se necessário e teste novamente.
Como ativar 2FA com Wordfence Security
Se você já usa o plugin Wordfence Security, talvez não precise instalar outro plugin só para 2FA. O Wordfence inclui um módulo de Login Security com autenticação em dois fatores.
Quando usar Wordfence para 2FA
Faz sentido usar Wordfence quando:
- o site já usa Wordfence como firewall/scanner;
- você quer configurar 2FA por papéis de usuário;
- você precisa de recursos de login security junto com outras proteções;
- você administra vários usuários com diferentes níveis de permissão.
Não faz sentido instalar Wordfence apenas por impulso se você só quer um plugin pequeno e focado em 2FA. Nesse caso, o Two Factor pode ser mais simples.
Passo a passo básico no Wordfence
No painel do WordPress:
- Acesse
Wordfence > Login Security. - Abra a área de autenticação em dois fatores.
- Escaneie o QR code com seu app autenticador.
- Baixe e guarde os recovery codes.
- Digite o código de 6 dígitos gerado pelo app.
- Clique para ativar.
- Teste o login em uma janela anônima antes de sair.
A própria documentação da Wordfence recomenda testar em outro navegador ou janela privada antes de encerrar a sessão atual. Siga esse cuidado.
Configuração por função de usuário no Wordfence
O Wordfence permite configurar 2FA por função de usuário, como Administrador, Editor, Autor, Cliente e outras funções criadas por plugins.
Em geral, a ordem mais segura é:
- Administradores e Super Admins.
- Editores.
- Autores com acesso recorrente.
- Equipe interna.
- Outros usuários caso haja necessidade real.
Evite exigir 2FA de todos os usuários de uma vez sem comunicação e período de adaptação.
Se houver opção de período de carência, use com cuidado. Um período muito curto pode bloquear usuários que ainda não configuraram 2FA. Um período muito longo reduz a efetividade da política.
Para administradores, configure e teste primeiro em uma conta. Depois amplie para as demais.
Quais usuários devem ter 2FA obrigatório?
Nem todo usuário tem o mesmo risco.
Administrador
Deve ter 2FA obrigatório. Administradores podem instalar plugins, alterar configurações, criar usuários e comprometer o site inteiro.
Super Admin em Multisite
Deve ter 2FA obrigatório. Em redes Multisite, o Super Admin tem controle sobre a rede inteira.
Editor
Recomendado. Editores podem publicar e alterar conteúdos de outras pessoas. Em sites de mídia, blogs grandes e empresas, uma conta de editor comprometida pode causar dano sério.
Autor
Depende do site. Se autores acessam com frequência e publicam conteúdo, 2FA é recomendado. Se são muitos autores externos pouco técnicos, use política gradual e instruções claras.
Colaborador
Depende do risco. Colaboradores têm menos permissões, mas ainda podem acessar o painel. Avalie caso a caso.
Assinante ou cliente WooCommerce
Cuidado. Em lojas virtuais, exigir 2FA de todos os clientes pode aumentar atrito, chamados de suporte e abandono de login.
Para clientes, normalmente é melhor:
- deixar 2FA opcional;
- exigir apenas para equipe interna;
- testar a experiência de login na área Minha Conta;
- comunicar claramente se a loja decidir oferecer 2FA ao cliente.
Cuidados especiais com WooCommerce
Em WooCommerce, login não é usado apenas por administradores. Clientes também acessam a área Minha Conta, pedidos, downloads e dados cadastrais.
Antes de ativar 2FA em uma loja:
- Teste em ambiente de staging.
- Verifique login na página
Minha conta. - Teste recuperação de senha.
- Teste checkout com conta existente.
- Teste criação de conta, se a loja permite cadastro no checkout.
- Não exija 2FA de clientes sem planejamento.
Para equipe interna da loja, como administradores, gerentes e editores de produto, 2FA é altamente recomendável.
Para clientes, avalie impacto na experiência e suporte.
Códigos por e-mail: vale a pena?
Alguns plugins permitem enviar código de verificação por e-mail.
Isso pode ser útil para usuários menos técnicos, mas não é a opção mais forte.
O motivo é simples: se o e-mail da pessoa também estiver comprometido, o atacante pode ter acesso tanto à redefinição de senha quanto ao código de verificação.
Use e-mail como alternativa quando fizer sentido, mas para administradores prefira app autenticador.
Se você usa códigos por e-mail, garanta que o envio de e-mails do WordPress funciona corretamente. Para isso, veja o guia de como configurar e-mail SMTP no WordPress.
E se eu perder o celular ou o app autenticador?
É aqui que entram os códigos de backup.
Se você perdeu o celular, trocou de aparelho ou apagou o app autenticador:
- Acesse a tela de login do WordPress.
- Digite usuário e senha.
- Quando o site pedir 2FA, procure a opção de código de backup ou recovery code.
- Digite um dos códigos salvos.
- Ao entrar, reconfigure o app autenticador.
- Gere uma nova lista de códigos de backup.
Se você não tiver código de backup, o processo depende do plugin e do acesso à hospedagem.
Em último caso, pode ser necessário desativar temporariamente o plugin de 2FA pelo gerenciador de arquivos/FTP da hospedagem, renomeando a pasta do plugin. Faça isso apenas se você tiver certeza do que está fazendo, de preferência com backup e suporte técnico.
Depois de recuperar o acesso:
- restaure o nome correto da pasta;
- reative o plugin;
- revise a configuração;
- gere novos códigos;
- investigue se houve tentativa de invasão.
Não use esse procedimento como rotina. É uma medida emergencial.
Como criar uma política simples de 2FA para sua equipe
Se o site tem mais de uma pessoa acessando o WordPress, não ative 2FA obrigatório sem avisar.
Use uma política simples:
- Primeiro, ative 2FA para sua própria conta administrativa.
- Teste login e recuperação.
- Ative para outros administradores.
- Avise editores e autores com antecedência.
- Envie instruções com prints ou passo a passo.
- Dê um prazo razoável para configuração.
- Só depois torne 2FA obrigatório para os papéis necessários.
Uma mensagem interna pode ser assim:
A partir de [data], todas as contas de Administrador e Editor precisarão usar autenticação em dois fatores para acessar o WordPress. A configuração leva poucos minutos. Antes do prazo, acesse seu perfil, escaneie o QR code com um app autenticador e salve seus códigos de backup.
Se sua equipe não é técnica, faça uma chamada rápida ou grave um vídeo curto mostrando o processo.
2FA protege o wp-admin?
Sim, 2FA protege o login de acesso ao painel. Mas ela não “esconde” o wp-admin nem substitui outras camadas.
Para proteger melhor o admin do WordPress:
- use 2FA em administradores;
- use senhas únicas e fortes;
- remova usuários antigos;
- limite permissões desnecessárias;
- mantenha plugins atualizados;
- monitore tentativas de login;
- use backups;
- evite plugins abandonados.
A 2FA é uma das camadas mais importantes, mas faz parte de uma estratégia maior.
2FA pode afetar REST API, XML-RPC, app do WordPress ou integrações?
Pode, dependendo do plugin e da configuração.
Integrações que usam login e senha, XML-RPC, aplicativo móvel, Jetpack, REST API, automações ou sistemas externos podem exigir ajustes. Em alguns casos, o WordPress usa Application Passwords para autenticação de aplicações, que são credenciais separadas da senha principal do usuário.
Antes de exigir 2FA em um site com integrações externas:
- liste quais ferramentas acessam o WordPress;
- teste em staging;
- verifique a documentação do plugin de 2FA;
- confirme se Application Passwords, XML-RPC ou regras específicas precisam ser ajustadas;
- nunca faça a mudança em produção sem backup e plano de rollback.
Erros comuns ao ativar 2FA no WordPress
Ativar e sair sem testar
Esse é o erro mais comum. Sempre teste em outro navegador antes de sair da sessão atual.
Não salvar códigos de backup
Sem códigos de backup, perder o celular pode virar um problema sério. Gere, salve e revise onde eles estão guardados.
Exigir 2FA de todos os usuários de uma vez
Em sites com muitos usuários, isso pode gerar bloqueios e suporte desnecessário. Comece pelos administradores.
Usar apenas e-mail como segundo fator para administradores
E-mail é melhor que nada, mas app autenticador costuma ser uma escolha mais segura para contas privilegiadas.
Não testar WooCommerce
Se o site tem loja, teste login, Minha Conta e checkout antes de aplicar regras para clientes.
Não ter acesso à hospedagem
Se algo der errado no login, o painel do WordPress pode ficar inacessível. Tenha um caminho de emergência pelo provedor de hospedagem.
Confundir 2FA com solução completa de segurança
2FA não limpa malware, não corrige plugin vulnerável e não substitui backup.
Checklist rápido para ativar 2FA com segurança
Antes de ativar:
- [ ] Fiz backup completo do site.
- [ ] Tenho acesso ao painel da hospedagem.
- [ ] Instalei um app autenticador confiável.
- [ ] Sei qual plugin vou usar.
- [ ] Tenho uma sessão administrativa aberta.
- [ ] Sei quais usuários serão afetados primeiro.
Durante a configuração:
- [ ] Ativei 2FA primeiro na minha conta.
- [ ] Escaneei o QR code.
- [ ] Defini app autenticador como método principal.
- [ ] Gerei códigos de backup.
- [ ] Guardei os códigos em local seguro.
- [ ] Salvei as alterações.
Depois da configuração:
- [ ] Testei login em janela anônima.
- [ ] Confirmei que o código funciona.
- [ ] Reconfigurei qualquer usuário com problema.
- [ ] Documentei o procedimento para a equipe.
- [ ] Planejei ativação gradual para editores/autores.
- [ ] Testei WooCommerce, se aplicável.
Perguntas frequentes sobre 2FA no WordPress
2FA deixa o WordPress mais seguro?
Sim. 2FA reduz o risco de invasão quando uma senha é vazada, descoberta ou reutilizada. Ela não resolve todos os problemas de segurança, mas é uma das camadas mais importantes para proteger o login.
Qual é o melhor plugin de 2FA para WordPress?
Depende do site. Para uma configuração simples, o Two Factor costuma ser uma boa opção. Para equipes e políticas por função, WP 2FA pode ser mais adequado. Para quem já usa Wordfence, faz sentido avaliar o 2FA integrado ao Wordfence Security.
Posso usar Google Authenticator?
Sim, desde que o plugin escolhido suporte TOTP, que é o método usado por aplicativos autenticadores comuns. Também é possível usar Microsoft Authenticator, Authy, 1Password, Bitwarden e outros apps compatíveis.
E se eu trocar de celular?
Antes de trocar, transfira as contas do app autenticador ou configure o novo aparelho. Mantenha códigos de backup guardados. Depois da troca, teste o login e gere novos códigos se necessário.
Códigos de backup são obrigatórios?
Na prática, sim para contas privilegiadas. Eles são a principal forma de recuperar acesso se você perder o app autenticador. Não ative 2FA em conta administrativa sem salvar códigos de backup.
Devo exigir 2FA de todos os usuários?
Não necessariamente. Comece por Administradores e Super Admins. Depois avalie Editores, Autores e equipe interna. Para clientes WooCommerce e assinantes, normalmente é melhor oferecer como opcional ou testar cuidadosamente antes de exigir.
2FA funciona com WooCommerce?
Depende do plugin e da configuração. Alguns plugins têm integração com WooCommerce, mas você deve testar login, Minha Conta, checkout e recuperação de senha antes de aplicar regras para clientes.
Posso desativar 2FA se algo der errado?
Sim, mas o caminho depende do plugin e do nível de acesso que você ainda tem. Se você consegue entrar no painel, desative ou ajuste pelo próprio plugin. Se perdeu acesso, use códigos de backup. Em último caso, pode ser necessário desativar temporariamente o plugin pela hospedagem, com cuidado e suporte técnico.
2FA atrapalha a REST API, XML-RPC ou integrações externas?
Pode atrapalhar, dependendo do plugin e da configuração. Integrações que usam login/senha, XML-RPC, aplicativo móvel, Jetpack ou REST API podem exigir ajustes, Application Passwords ou regras específicas. Valide antes em staging se o site depende dessas integrações.
Conclusão
Ativar 2FA no WordPress é uma medida simples, barata e muito eficiente para proteger o painel administrativo. Ela não substitui backup, atualizações e boas práticas de segurança, mas reduz bastante o risco de invasão por senha vazada.
O caminho mais seguro é começar pequeno: faça backup, configure 2FA na sua conta administrativa, salve códigos de backup e teste em uma janela anônima antes de sair do painel.
Depois, avance para outros administradores, editores e usuários importantes. Em lojas WooCommerce ou sites com muitos usuários, aplique a política com calma, comunicação e testes.
Se você está montando uma estratégia completa de proteção, continue pelo nosso guia de segurança WordPress e garanta também uma rotina confiável de backup WordPress na nuvem.


