Two-Factor Authentication (2FA)

2FA WordPress é a sigla em inglês para Two-Factor Authentication, ou autenticação em dois fatores. Funciona como uma camada extra de proteção no login do site: além da senha, o usuário precisa fornecer um segundo elemento, geralmente um código de seis dígitos gerado por app no celular ou enviado por email. O resultado é que mesmo se a senha vazar, o atacante ainda precisa do segundo fator para conseguir entrar. Estudos do próprio Google mostram bloqueio de mais de 99% dos ataques automatizados quando 2FA está ativo.

O que é 2FA

O conceito vem da segurança da informação clássica: para autenticar alguém, você usa fatores de três tipos. Algo que o usuário sabe (senha). Algo que o usuário tem (celular, token físico). Algo que o usuário é (impressão digital, reconhecimento facial). 2FA combina dois desses tipos.

No WordPress, a implementação mais comum combina senha (algo que você sabe) com código TOTP (algo que você tem, no app autenticador do celular). Você digita usuário e senha como sempre, e na próxima tela o WordPress pede o código de 6 dígitos exibido no Google Authenticator, Authy, Microsoft Authenticator ou app equivalente.

Quem busca o que é 2fa costuma estar tentando proteger o site após algum incidente, ou seguindo recomendação de auditoria. A resposta é: 2FA é um dos maiores ganhos de segurança em WordPress por unidade de esforço. Ativação leva 5 minutos por usuário e bloqueia praticamente todos os ataques de brute force e credential stuffing.

Existem variantes além do TOTP. SMS via celular é a opção mais antiga, hoje considerada menos segura porque SMS pode ser interceptado em ataques de SIM swapping. Email como segundo fator é razoável para sites pequenos. Chaves físicas (YubiKey) são o padrão ouro, usadas por jornalistas e times de segurança. Para a maioria dos sites WordPress, TOTP é o equilíbrio certo.

Por que ativar 2FA no WordPress

O ataque mais comum em sites WordPress é brute force contra wp-login.php. Bots automatizados testam combinações de usuário e senha conhecidas, vindas de vazamentos de outros sites. Sites com administradores reutilizando senha antiga vazada caem rápido.

Sem two factor wordpress ativo, basta que uma das senhas dos administradores tenha vazado em qualquer outro serviço para o site estar comprometido. Com 2FA ativo, mesmo a senha exata não basta. O atacante teria que ter acesso físico ao celular do administrador, ou comprometer o app autenticador, ambas barreiras altíssimas.

O segundo motivo é credential stuffing automatizado. Bases de senhas vazadas circulam livremente. Bots testam essas bases em milhares de sites por hora. WordPress sem 2FA é alvo fácil. WordPress com 2FA é alvo que dá retorno tão baixo que os bots passam para o próximo.

Para sites com múltiplos colaboradores (editores, autores, agências), 2FA também limita o blast radius. Se a credencial de um editor for comprometida, o atacante consegue postar conteúdo, mas não consegue passar do segundo fator no admin. Combine com usuários WordPress bem configurados e brute force bloqueado por outras camadas.

Como configurar 2FA

O caminho mais comum é via plugin. Wordfence, AIOS, Two Factor (oficial da Automattic) e iThemes Security todos oferecem 2FA. Instale o plugin escolhido, ative o módulo de 2FA nas configurações, e o WordPress passa a exigir segundo fator no próximo login.

O processo de setup individual leva minutos. Cada usuário acessa Editar Perfil, encontra a seção Two-Factor Authentication, escolhe o método (app autenticador, email, SMS, chave física) e configura. Para TOTP, o plugin gera um QR Code que o usuário escaneia com o app no celular. O app passa a gerar o código de 6 dígitos a cada 30 segundos.

É importante salvar os códigos de backup. Plugins de 2FA geram 5 a 10 códigos de uso único que servem como backup caso o usuário perca o celular. Imprima ou guarde em gerenciador de senhas. Sem isso, perda de celular significa não conseguir mais entrar e precisar resetar tudo via banco de dados.

Como ativar 2fa wordpress para o site inteiro deveria ser política, não escolha individual. Plugins de segurança permitem forçar 2FA para todos os usuários acima de determinado role (Editor, Administrador) ou para todos. Isso garante que ninguém acidentalmente fica fora da proteção. Combine com SSL obrigatório para fechar a comunicação criptografada.

Plugins recomendados

Wordfence é a opção mais usada, com mais de 5 milhões de instalações ativas. A versão gratuita já oferece 2FA via app autenticador, força bruta protegida, scanner de malware e firewall de aplicação. Para sites que não querem decidir entre vários plugins de segurança, Wordfence resolve em um pacote único.

AIOS (All In One Security) é a alternativa mais leve, com foco em hardening do WordPress e 2FA. Interface mais limpa, configuração mais direta e impacto menor em performance. Para sites onde Wordfence pesa demais, AIOS é a escolha equilibrada.

Two Factor é o plugin oficial mantido pela Automattic. Sem firewall, sem scanner, sem extras. Apenas 2FA bem feito. Para sites que já têm outras camadas de segurança e querem só o módulo de 2FA, é a opção mais limpa do repositório oficial.

iThemes Security (agora Solid Security) entrega 2FA junto com hardening, monitoramento de mudanças em arquivos e tunelamento de wp-admin. Vale para times que querem licenciar uma única ferramenta paga e cobrir várias dimensões de segurança. Combine com proteção contra vulnerabilidades conhecidas para o pacote completo.

Para times que querem 2FA forçado para todos os colaboradores e segurança WordPress de alto nível sem montar a stack peça por peça, a FULL Services entrega o AIOS já licenciado e configurado dentro da stack profissional, com 2FA obrigatório por role, hardening padrão e firewall de aplicação. Em vez de comparar plugins e configurar política a política, o site roda em uma camada de segurança validada em produção desde o primeiro acesso.