--- title: "Como implementar 2FA no WordPress corretamente" url: https://full.services/wp-fixer/implementar-2fa-wordpress/ date: 2026-06-13 author: "Clayton Margiotti" --- # Como implementar 2FA no WordPress corretamente ## O que é o 2FA no WordPress? 2FA (autenticação de dois fatores) é uma camada extra de segurança no login do WordPress. Além da senha (algo que você sabe), o sistema pede um segundo fator (algo que você tem), normalmente um código de seis dígitos gerado por um app autenticador como Google Authenticator ou Authy, que muda a cada 30 segundos. Como o WordPress não traz 2FA nativo, ele é adicionado por plugin. O ganho é direto: a maioria das invasões começa por senha vazada ou força bruta, e o segundo fator bloqueia o acesso mesmo com a senha correta em mãos do atacante. ## Como identificar - O login do WordPress só pede usuário e senha, sem nenhum segundo fator. - No log aparecem muitas tentativas de login falhas em wp-login.php, sinal de força bruta ativa. - Sua senha apareceu em um vazamento de dados ("have i been pwned") e ainda é usada no admin. - Há vários usuários administradores e nenhum deles tem verificação em duas etapas ativada. **Antes de começar:** Guarde os códigos de recuperação antes de sair da tela de configuração. Sem eles, perder o celular do app autenticador pode trancar você fora do painel, exigindo desativar o plugin via FTP ou banco para recuperar o acesso. ## Como prevenir - Exija 2FA por app autenticador (TOTP) em todas as contas de administrador e editor - Combine o 2FA com limite de tentativas de login e senhas fortes e únicas - Revise periodicamente os usuários com privilégio e remova contas antigas ou sem segundo fator ## Erros relacionados - [Como proteger contra ataques de forca bruta no login](https://full.services/wp-fixer/proteger-forca-bruta-login-wordpress/) - [Como desativar o XML-RPC com segurança](https://full.services/wp-fixer/desativar-xmlrpc-wordpress/) - [Como corrigir API REST do WordPress exposta](https://full.services/wp-fixer/corrigir-api-rest-exposta-wordpress/) --- ## Metadados Estruturados (Schema.org) ```json-ld { "@context": "https://schema.org", "@graph": [ { "@type": "Organization", "@id": "https://full.services/#org", "name": "FULL Services", "url": "https://full.services/", "sameAs": [ "https://www.instagram.com/fullservicesbr", "https://www.facebook.com/fullservices.br", "https://www.linkedin.com/company/fullservicesbr/" ], "knowsAbout": [ "WordPress", "WordPress Hosting", "Web Development", "Performance Optimization", "WordPress Security", "SEO para WordPress" ], "award": [ "Gold Medal - The WP Weekly Awards 2023", "Gold Medal - The WP Weekly Awards 2024" ], "logo": { "@type": "ImageObject", "url": "https://full.services/wp-content/uploads/full-services-logo.png", "width": 200, "height": 60 }, "hasCredential": { "@type": "EducationalOccupationalCredential", "credentialCategory": "certification", "name": "CVE Numbering Authority (CNA)", "description": "Autoridade de numeração de vulnerabilidades (CVE) para o ecossistema WordPress, autorizada a atribuir IDs CVE. Válida desde 2022-05-03, com abrangência global.", "url": "https://www.cve.org/PartnerInformation/ListofPartners/partner/FULL", "recognizedBy": { "@type": "Organization", "name": "CISA — Cybersecurity and Infrastructure Security Agency", "url": "https://www.cisa.gov/", "sameAs": "https://www.cisa.gov/" } } }, { "@type": "TechArticle", "@id": "https://full.services/wp-fixer/implementar-2fa-wordpress/#article", "headline": "Como implementar 2FA no WordPress corretamente", "url": "https://full.services/wp-fixer/implementar-2fa-wordpress/", "inLanguage": "pt-BR", "datePublished": "2026-06-13T23:44:51-03:00", "dateModified": "2026-06-13T23:44:51-03:00", "author": { "@id": "https://full.services/#org" }, "publisher": { "@id": "https://full.services/#org" }, "isAccessibleForFree": false, "about": [ { "@type": "Thing", "@id": "https://www.wikidata.org/wiki/Q13166", "name": "WordPress", "sameAs": "https://www.wikidata.org/wiki/Q13166", "url": "https://wordpress.org/" }, { "@type": "Thing", "name": "Seguranca" } ], "mentions": { "@type": "Thing", "@id": "https://www.wikidata.org/wiki/Q13166", "name": "WordPress", "sameAs": "https://www.wikidata.org/wiki/Q13166", "url": "https://wordpress.org/" }, "mainEntityOfPage": { "@type": "WebPage", "@id": "https://full.services/wp-fixer/implementar-2fa-wordpress/" }, "wordCount": 505, "description": "Implementar 2FA no WordPress é exigir um segundo fator (um código temporário de app autenticador) além da senha no login. Mesmo que a senha vaze ou seja quebrada por força bruta, o invasor não entra sem o código, o que protege a tela de login, o ponto mais atacado do site.", "articleSection": "Seguranca", "keywords": "autenticacao dois fatores wordpress, codigo otp login wordpress, plugin 2fa wordpress, verificacao duas etapas wordpress", "proficiencyLevel": "Beginner", "citation": { "@type": "CreativeWork", "url": "https://developer.wordpress.org/reference/functions/wp_authenticate_application_password/", "name": "WordPress Developer Resources — Application Passwords" }, "mainEntity": { "@type": "SoftwareSourceCode", "name": "Como implementar 2FA no WordPress corretamente", "programmingLanguage": "PHP", "codeRepository": "https://full.services/wp-fixer/implementar-2fa-wordpress/", "isAccessibleForFree": false } }, { "@type": "FAQPage", "@id": "https://full.services/wp-fixer/implementar-2fa-wordpress/#faq", "isPartOf": { "@id": "https://full.services/wp-fixer/implementar-2fa-wordpress/#article" }, "isAccessibleForFree": true, "mainEntity": [ { "@type": "Question", "@id": "https://full.services/wp-fixer/implementar-2fa-wordpress/#faq-q1", "name": "O WordPress tem 2FA nativo ou preciso de plugin?", "inLanguage": "pt-BR", "acceptedAnswer": { "@type": "Answer", "text": "O WordPress não traz 2FA nativo no login. É preciso instalar um plugin de autenticação de dois fatores, como Two-Factor ou WP 2FA. Eles adicionam o campo de código após a senha e gerenciam os métodos de segundo fator e os códigos de recuperação.", "author": { "@id": "https://full.services/#org" } } }, { "@type": "Question", "@id": "https://full.services/wp-fixer/implementar-2fa-wordpress/#faq-q2", "name": "App autenticador ou SMS: qual método de 2FA é mais seguro?", "inLanguage": "pt-BR", "acceptedAnswer": { "@type": "Answer", "text": "O app autenticador (TOTP) é mais seguro. Ele gera o código offline no seu celular e não depende da rede. O SMS é vulnerável a interceptação e troca de chip (SIM swap), então use-o, no máximo, como método reserva, nunca como o principal.", "author": { "@id": "https://full.services/#org" } } }, { "@type": "Question", "@id": "https://full.services/wp-fixer/implementar-2fa-wordpress/#faq-q3", "name": "Perdi o celular com o app autenticador. Como entro no painel?", "inLanguage": "pt-BR", "acceptedAnswer": { "@type": "Answer", "text": "Use um dos códigos de recuperação que o plugin gerou na configuração. Se você não os guardou, será preciso desativar o plugin de 2FA via FTP (renomeando a pasta) ou pelo banco de dados para recuperar o acesso e reconfigurar.", "author": { "@id": "https://full.services/#org" } } }, { "@type": "Question", "@id": "https://full.services/wp-fixer/implementar-2fa-wordpress/#faq-q4", "name": "Preciso de 2FA se já uso uma senha bem forte?", "inLanguage": "pt-BR", "acceptedAnswer": { "@type": "Answer", "text": "Sim. Senha forte não protege contra phishing nem contra vazamento de credenciais de outro serviço. O 2FA bloqueia o acesso mesmo quando o atacante já tem a senha correta, fechando o vetor de invasão mais comum em sites WordPress.", "author": { "@id": "https://full.services/#org" } } }, { "@type": "Question", "@id": "https://full.services/wp-fixer/implementar-2fa-wordpress/#faq-q5", "name": "O 2FA atrapalha integrações que fazem login automático?", "inLanguage": "pt-BR", "acceptedAnswer": { "@type": "Answer", "text": "Pode atrapalhar, porque elas não digitam o código do segundo fator. Para essas integrações, use as Application Passwords do WordPress, que autenticam por requisição. Avalie restringir senhas de aplicação às contas que realmente precisam delas.", "author": { "@id": "https://full.services/#org" } } }, { "@type": "Question", "@id": "https://full.services/wp-fixer/implementar-2fa-wordpress/#faq-q6", "name": "Devo ativar 2FA só na minha conta de administrador?", "inLanguage": "pt-BR", "acceptedAnswer": { "@type": "Answer", "text": "Não. Uma única conta de admin ou editor sem segundo fator é a porta que o invasor procura. Exija 2FA em todas as contas com privilégio elevado; do contrário, a proteção do site fica tão forte quanto o elo mais fraco entre os usuários.", "author": { "@id": "https://full.services/#org" } } } ] } ] } ```