Como configurar a autenticação de dois fatores do WordPress: revisão do WP 2FA

Quer adicionar autenticação de dois fatores ao WordPress?

A autenticação de dois fatores do WordPress pode ajudá-lo a proteger seu site WordPress, protegendo sua própria conta WordPress, bem como as contas de outros usuários em seu site.

Quando se trata de configurar a autenticação de dois fatores no WordPress, o plugin freemium WP 2FA oferece uma das soluções mais sofisticadas e flexíveis. Ele pode funcionar igualmente bem para sites pessoais e também para grandes organizações que precisam de políticas personalizadas de dois fatores.

Em nossa análise do WP 2FA, começaremos discutindo brevemente os recursos do plugin. Em seguida, compartilharemos um guia passo a passo sobre como configurar a autenticação de dois fatores no WordPress usando o plugin.

Vamos cavar!

Revisão do WP 2FA: uma rápida olhada nos recursos

Não iremos nos aprofundar muito nos recursos desta primeira seção porque você verá tudo isso na seção mais prática de nossa revisão/tutorial do WP 2FA.

Você também pode encontrar todos os recursos no site WP 2FA.

Mas, antes de começarmos, aqui está uma rápida olhada nos recursos que tornam o WP 2FA um dos melhores plug-ins de autenticação de dois fatores do WordPress:

• Vários métodos de dois fatores – você pode escolher entre e-mail, SMS/mensagem de texto, qualquer aplicativo autenticador (por exemplo, Google Authenticator) e/ou notificações push (via Authy). Também existe a opção de gerar códigos de backup únicos.
• Interface amigável (frontend e backend ) – os usuários podem gerenciar dois fatores no painel do WordPress, bem como no frontend do seu site.
• Políticas flexíveis de dois fatores – você pode criar políticas personalizadas de dois fatores, como exigir dois fatores para alguns usuários, mas não para outros.
• Etiqueta branca – você pode etiquetar todas as partes da interface WP 2FA para combinar com sua marca.
• Dispositivos confiáveis ​​– você pode salvar um dispositivo como “confiável” por um determinado período de tempo para não precisar refazer dois fatores nesse dispositivo.
• Integrações – oferece integrações prontas para uso para WooCommerce e muitos plug-ins de associação.

O plugin WP 2FA vem da WP White Security, a mesma equipe por trás do popular plugin WP Activity Log – você pode aprender mais sobre isso em nossa análise do WP Activity Log.

Como configurar a autenticação de dois fatores do WordPress com WP 2FA

Agora, vamos entrar no guia passo a passo sobre como configurar a autenticação de dois fatores do WordPress usando WP 2FA.

Para este tutorial, temos a versão premium do plugin instalada em nosso site. No entanto, também existe uma versão gratuita do plugin no WordPress.org e as etapas básicas serão as mesmas para essa versão.

Ou seja, você pode acompanhar isso quer esteja usando a versão gratuita ou a versão paga.

1. Instale o plug-in e conclua o assistente de configuração

Quando você instala e ativa o plugin WP 2FA pela primeira vez, ele inicia automaticamente um assistente de configuração para ajudá-lo a concluir algumas etapas importantes de configuração básica.

Para a primeira etapa, você escolherá seu(s) método(s) de autenticação de dois fatores preferido(s) entre cinco opções diferentes.

Você pode escolher quantas opções desejar. Se você fornecer vários métodos, os usuários poderão escolher qual método usar para autenticação.

Alguns deles – como o envio de mensagens SMS via Twilio – exigirão algumas configurações adicionais. Mais sobre isso mais tarde.

Na próxima etapa, você pode ativar métodos alternativos, como permitir que os usuários gerem códigos de backup únicos que poderão usar caso percam o método principal.

Em seguida, você pode escolher sua política 2FA – também conhecida como quais usuários devem ser obrigados a usar a autenticação de dois fatores. Você tem três opções:

1. Todos os usuários – exigem que todos os usuários configurem e usem a autenticação de dois fatores. Posteriormente, você pode definir outras configurações, como um período de carência para configurá-lo.
2. Somente para usuários e funções específicas – exige que apenas determinados usuários usem autenticação de dois fatores. Por exemplo, você pode exigir que administradores e editores usem autenticação de dois fatores, mas não autores ou assinantes. Você também pode solicitá-lo apenas para nomes de usuários específicos.
3. Não imponha a nenhum usuário – não force nenhum usuário a usar a autenticação de dois fatores – apenas forneça isso como uma opção para eles se quiserem proteger suas contas.

Se você escolher uma das duas primeiras opções, a próxima etapa lhe dará a opção de excluir manualmente determinados usuários.

Você não verá esta etapa se optar por não aplicar 2fa a nenhum usuário.

Por fim, a última etapa permite configurar seu período de carência. Isso permite que você dê aos novos usuários um certo tempo para configurar a autenticação de dois fatores.

Por exemplo, você pode dar-lhes três dias antes de começar a aplicar a regra.

Como alternativa, você pode selecionar a opção Os usuários precisam configurar 2FA imediatamente para forçar os usuários a configurá-lo imediatamente.

E é isso para o assistente de configuração!

2. Configure 2FA para sua própria conta

Depois de concluir o assistente de configuração, a próxima etapa é configurar a autenticação de dois fatores para sua própria conta:

1. Vá para Usuários → Perfil no painel do WordPress para abrir seu próprio perfil de usuário.
2. Role para baixo até a seção Configurações de autenticação de dois fatores .
3. Clique no botão Configurar 2FA .

Agora você verá um pop-up que permite escolher entre os métodos de autenticação de dois fatores disponíveis escolhidos no assistente de configuração:

Por exemplo, se você escolher a opção de aplicativo 2FA (por exemplo, Google Authenticator), você será solicitado a configurar seu aplicativo 2FA digitalizando o código QR:

O plug-in adicionará automaticamente o nome de domínio do seu site e sua conta de usuário ao aplicativo de dois fatores (se aplicável):

O plug-in solicitará que você insira o código de autenticação para validar se configurou seu aplicativo corretamente:

Depois disso, o plugin também solicitará que você configure um método de backup. Por exemplo, você pode baixar alguns códigos de backup de uso único caso não consiga gerar um código no aplicativo:

Você pode enviar os códigos por e-mail, imprimi-los ou copiá-los para sua área de transferência:

E é isso! Sua conta de administrador do WordPress agora se beneficia da autenticação de dois fatores.

O processo de configuração será semelhante para outros usuários do seu site – mostrarei um exemplo um pouco mais tarde.

3. Configure ainda mais suas políticas 2FA

Embora o assistente de configuração WP 2FA permita configurar políticas básicas para autenticação de dois fatores do WordPress, a área de configurações completas do plugin oferece ainda mais controle.

Para acessar essas configurações, vá para WP 2FA → Políticas 2FA .

Aqui, você pode configurar políticas em todo o site. Ou você também pode configurar políticas completamente diferentes com base em diferentes funções de usuário, que podem ser selecionadas usando o menu suspenso.

Aqui estão algumas das novas configurações que você obtém e que não faziam parte do assistente de configuração:

• Links de autenticação de e-mail – escolha por quanto tempo eles são válidos e quais e-mails as pessoas podem usar.
• Lembre-se deste dispositivo – escolha se deseja permitir que as pessoas se lembrem dos dispositivos. Se ativado, eles não precisarão usar dois fatores para esse dispositivo após o primeiro login. Você também pode escolher por quanto tempo o dispositivo será lembrado antes que os usuários precisem se autenticar novamente.
• Redirecionar após configuração – você pode redirecionar os usuários para um determinado URL depois que eles configurarem o dois fatores.
• Páginas 2FA de front-end – se você não quiser que as pessoas usem o painel de back-end, você também pode configurar uma página de front-end para que elas gerenciem suas configurações de dois fatores.

Novamente, você pode definir um padrão para todo o site, mas também ajustar essas configurações para várias funções de usuário.

4. Explore todas as configurações do WP 2FA

Se você quiser configurar ainda mais o plugin, o WP 2FA também oferece uma área de configurações dedicada. Você não precisa alterar nada aqui, mas oferece algumas opções úteis:

• Emails e modelos – personalize os emails de dois fatores que o plugin envia.
• Etiqueta branca – coloque etiqueta branca em todas as interfaces do plugin para combinar com a sua. Você pode personalizar o logotipo, as cores e o texto de tudo.
• Integrações – você pode configurar integrações com outros serviços, incluindo os seguintes – Authy ( notificações push para dois fatores ), Twilio ( mensagens de texto para dois fatores ) e WooCommerce.

Por exemplo, ao personalizar os e-mails, você obtém um editor de texto e várias tags de mesclagem para permitir a inserção de informações dinâmicas:

Para etiqueta em branco, você pode usar o menu suspenso para personalizar todas as diferentes áreas do plug-in:

E isso é tudo para configurar o plugin!

Como outros usuários do seu site configurarão a autenticação de dois fatores

Já mostrei como configurar a autenticação de dois fatores do WordPress para sua própria conta, mas e os outros usuários?

A maneira como outros usuários configuram dois fatores dependerá de duas variáveis:

1. Período de carência – se você exigir que os usuários configurem dois fatores imediatamente, eles serão solicitados a fazer isso logo após fazer login pela primeira vez. Se você conceder a eles um período de carência de alguns dias, eles poderão esperar.
2. Interface frontend – a interface backend funciona de forma semelhante ao que mostrei acima. Mas se você ativar a interface frontend, será um pouco diferente.

Aqui estão alguns exemplos…

Se você não oferecer nenhum período de carência, os usuários serão redirecionados automaticamente para sua página de perfil com o pop-up de configurações de dois fatores aberto ( assim como a interface que você usou para configurá-lo para sua própria conta ).

Os usuários não poderão acessar nenhuma parte do painel até que concluam a configuração.

Se você ativar a página de configurações de dois fatores do frontend, poderá adicioná-la em qualquer lugar do seu site usando o código de acesso [wp-2fa-setup-form].

Clicar nesse botão abrirá o mesmo prompt de configuração anterior – a única diferença é que tudo está acontecendo no frontend do seu site:

Novamente, você pode colocar uma etiqueta em branco em todo esse texto para integrá-lo ainda mais ao seu site.

Por exemplo, aqui você pode ver que personalizei o texto do pop-up do WPKube:

Depois que os usuários configurarem o método de dois fatores, eles verão algumas opções adicionais para alterar suas configurações ou gerar códigos de backup:

Relatórios de autenticação de dois fatores do WordPress

Para ajudá-lo a ver o que está acontecendo no seu site, o plug-in também inclui uma ferramenta de relatórios para avaliar rapidamente o uso de dois fatores.

Você pode acessá-lo em WP 2FA → Relatórios .

Preços WP 2FA

WP 2FA vem em uma versão gratuita no WordPress.org e também em uma versão premium com mais funcionalidades.

Em geral, a versão gratuita deve servir se você quiser apenas proteger sua própria conta de administrador do WordPress. Ele já oferece suporte à autenticação de dois fatores por meio de aplicativos de smartphone, e-mail e códigos de backup.

No entanto, se você tiver outros usuários em seu site e quiser configurar políticas de autenticação de dois fatores para esses usuários, recomendo atualizar para a versão premium.

Além de oferecer mais controle sobre políticas e comportamento de dois fatores, a versão premium também adiciona métodos adicionais, como notificações push do Authy e mensagens SMS via Twilio.

Aqui estão alguns dos maiores recursos da versão premium:

• Mais métodos 2FA, incluindo SMS, notificação push e login com um clique.
• Opção para adicionar dispositivos confiáveis ​​(“Lembrar este dispositivo).
• Suporte de etiqueta em branco para personalizar a interface.
• Ajuste as políticas 2FA para diferentes tipos de usuários.

Existem duas variáveis ​​principais que afetam o preço:

• Número de usuários – em vez de cobrar com base em quantos sites você possui, o WP 2FA cobra com base no número de contas de usuário que ativam a autenticação de dois fatores. Todos os planos suportam sites ilimitados e os usuários podem estar espalhados por qualquer número de sites.
• Recursos – existem algumas diferenças de recursos entre os diferentes níveis.

O plano Enterprise também oferece suporte prioritário.

Aqui está uma captura de tela de preços que ilustra a diferença:

• O grande preço no topo é para até cinco contas de usuário .
• O preço no menu suspenso é para expandir o uso para até 25 contas de usuário .

Novamente – os limites de usuário se aplicam apenas a contas de usuário que ativaram a autenticação de dois fatores. Se você tiver 250 usuários, mas apenas 10 deles tiverem autenticação de dois fatores, isso contará apenas como 10 usuários para fins de cobrança.

Se você quiser experimentar os recursos premium, o plugin tem duas políticas relevantes aqui:

1. Você pode obter uma avaliação gratuita de 14 dias dos recursos premium para testar as coisas.
2. Há uma garantia de devolução do dinheiro em 30 dias se você tiver problemas além do teste.

Você também pode economizar 20% em qualquer plano de licença usando nosso código de cupom exclusivo WP 2FA.

Compre WP 2FA

Revisão do WP 2FA: prós e contras do uso deste plug-in

Para recapitular o que discutimos em nossa análise do WP 2FA, vamos examinar alguns dos prós e contras do uso deste plugin.

Prós do WP 2FA

• Suporte para os métodos mais populares – WP 2FA suporta a maioria dos métodos populares que as pessoas usam, incluindo aplicativos autenticadores TOTP/HOTP, e-mail, mensagem de texto, notificação push e códigos de backup.
• Políticas de dois fatores altamente configuráveis ​​– você obtém muita flexibilidade para controlar os requisitos de dois fatores em seu site. Por exemplo, configurar regras diferentes para diferentes funções do WordPress e dar às pessoas um período de carência para configurar a autenticação de dois fatores.
• Etiquetagem em branco completa – você pode etiquetar em branco cada parte da interface, incluindo texto, e-mails, cores, logotipos e muito mais.
• Painéis de front-end – você pode permitir que os usuários gerenciem seus métodos de dois fatores no front-end do seu site (além do painel do WordPress).
• Designs sofisticados – WP 2FA tem designs profissionais muito sofisticados, o que nem sempre é o caso de alguns outros plug-ins de autenticação de dois fatores do WordPress.
• Integrações – WP 2FA integra-se com WooCommerce e muitos plugins de associação.

Contras do WP 2FA

• Sem suporte para FIDO U2F – WP 2FA atualmente não oferece suporte para FIDO U2F como uma opção de dois fatores, o que significa que você não pode usar métodos de hardware físico como Yubikey ou Google Titan.
• O modelo de preços por usuário pode ser caro para muitos usuários – se você tiver mais de 100 usuários, o modelo de cobrança do WP 2FA com base no número de usuários com 2FA ativo pode torná-lo mais caro do que outras soluções. No entanto, a vantagem é que o WP 2FA pode ser mais barato do que outras soluções se você tiver apenas um pequeno número de usuários.

Perguntas frequentes sobre WP 2FA

Para finalizar nossa análise do WP 2FA, vamos analisar algumas dúvidas comuns que você pode ter sobre o plugin.

O WP 2FA é gratuito?

WP 2FA oferece uma versão gratuita no WordPress.org que deve funcionar bem para autenticação básica de dois fatores.

O WP 2FA oferece suporte a aplicativos autenticadores?

WP 2FA funciona com qualquer aplicativo autenticador que suporte os protocolos TOTP/HOTP, que inclui Google Authenticator, Authy, LastPass Authenticator, Microsoft Authenticator e assim por diante.

O WP 2FA suporta códigos de backup?

WP 2FA permite aos usuários gerar códigos de backup offline. Os usuários podem copiar, imprimir ou enviar os códigos por e-mail.

O WP 2FA oferece suporte à verificação de e-mail?

WP 2FA permite que os usuários recebam seu código de verificação único por e-mail. Para garantir a confiabilidade, você deve configurar um serviço de envio SMTP do WordPress para que os e-mails cheguem às caixas de entrada dos usuários.

O WP 2FA oferece suporte à verificação de mensagens de texto?

A versão premium do WP 2FA suporta verificação de SMS/mensagens de texto. Para potencializar este serviço, ele utiliza uma integração com o Twilio.

O WP 2FA suporta FIDO U2F (Yubikey)?

WP 2FA não oferece suporte a FIDO U2F no momento. Se quiser usar chaves físicas de hardware como métodos de dois fatores, você precisará escolher um plug-in de dois fatores diferente.

Considerações finais sobre nossa revisão do WP 2FA

No geral, o WP 2FA oferece uma maneira muito sofisticada de configurar a autenticação de dois fatores do WordPress e proteger seu site WordPress.

Acho que existem algumas áreas onde o plugin se destaca:

• Excelente interface com etiqueta em branco – a interface é mais amigável e melhor projetada do que a maioria das outras soluções de dois fatores, inclusive permitindo que as pessoas gerenciem dois fatores no frontend. Você também pode etiquetá-lo em branco para combinar com sua marca e criar uma experiência totalmente personalizada.
• Políticas flexíveis – oferece muita flexibilidade para criar uma política de dois fatores que atenda às necessidades da sua organização.
• Suporta vários métodos – suporta uma ampla variedade de métodos, incluindo e-mail, SMS, aplicativo autenticador, notificações push e códigos de backup únicos.

Atualmente não oferece suporte a FIDO U2F, portanto não é a melhor opção se você deseja usar chaves físicas de hardware como Yubikey. Mas, fora dessa limitação, acho que é uma excelente maneira de configurar a autenticação de dois fatores do WordPress.

Então – se você quiser usar métodos de dois fatores, como e-mail, SMS e/ou aplicativos autenticadores, você definitivamente deveria dar uma olhada neste. Certifique-se de usar nosso código de cupom WP 2FA para economizar 20% em qualquer licença.

Obtenha WP 2FA

Você também pode emparelhar o WP 2FA com o plugin WP Activity Log do mesmo desenvolvedor para proteger ainda mais o seu site. Você pode aprender mais em nossa análise do WP Activity Log e economizar com nosso cupom WP Activity Log.