close
WordPress.org

Brasil

Baixar o WordPress
WordPress.org

Plugin Directory

Two Factor

BERJAYA
BERJAYA

Two Factor

Por WordPress.org
Baixar
Pré-visualização ao vivo

Descrição

O plugin Two-Factor adiciona uma camada extra de segurança ao seu login do WordPress, exigindo que os usuários forneçam uma segunda forma de autenticação além da senha. Isso ajuda a proteger contra acesso não autorizado, mesmo se as senhas forem comprometidas.

Instruções de configuração

Importante: Cada usuário deve configurar individualmente suas configurações de autenticação de dois fatores.

Para usuários individuais

  1. Navegue até o seu perfil: Vá em “Usuários” “Seu perfil” no painel administrativo do WordPress
  2. Encontre as opções de dois fatores: Role a tela para baixo até a seção “Opções de dois fatores”
  3. Escolha seus métodos: Ative um ou mais provedores de autenticação (observando que o administrador do site pode ter ocultado um ou mais, portanto, o que está disponível pode variar):
    • Aplicativo autenticador (TOTP) – Use aplicativos como Google Authenticator, Authy ou 1Password
    • Códigos por e-mail – Receba códigos de uso único via e-mail
    • Códigos de backup – Gere códigos de backup de uso único para emergências
    • Método fictício (Dummy) – Apenas para fins de teste (requer WP_DEBUG)
  4. Configurar cada método: Siga as instruções de configuração para cada provedor ativado
  5. Definir método principal: Escolha qual método usar como sua autenticação padrão
  6. Salvar alterações: Clique em “Atualizar perfil” para salvar suas configurações

Para administradores do site

  • Configurações do plugin: O plugin fornece uma página de configurações em “Configurações Dois fatores” para configurar quais provedores devem ser desativados em todo o site.
  • Gerenciamento de usuários: Os administradores podem configurar o 2FA para outros usuários editando seus perfis
  • Recomendações de segurança: Incentive os usuários a ativar métodos de backup para evitar bloqueios de conta

Métodos de autenticação disponíveis

Aplicativo autenticador (TOTP) – Recomendado

  • Segurança: Alta – Senhas de uso único baseadas em tempo
  • Configuração: Escaneie o código QR com o aplicativo autenticador
  • Compatibilidade: Funciona com Google Authenticator, Authy, 1Password e outros aplicativos TOTP
  • Melhor para: A maioria dos usuários, oferece excelente segurança com boa usabilidade

Códigos de backup – Recomendado

  • Segurança: Média – Códigos de uso único
  • Configuração: Gere 10 códigos de backup para acesso de emergência
  • Compatibilidade: Funciona em qualquer lugar, nenhum hardware especial é necessário
  • Melhor para: Acesso de emergência quando outros métodos não estiverem disponíveis

Códigos por e-mail

  • Segurança: Média – Códigos de uso único enviados por e-mail
  • Configuração: Automática – usa seu endereço de e-mail do WordPress
  • Compatibilidade: Funciona com qualquer dispositivo capaz de receber e-mails
  • Melhor para: Usuários que preferem autenticação baseada em e-mail

Chaves de segurança FIDO U2F

  • Descontinuado e removido devido à perda de suporte dos navegadores.

Método fictício (Dummy)

  • Segurança: Nenhuma – Sempre tem sucesso
  • Configuração: Disponível apenas quando WP_DEBUG está ativado
  • Objetivo: Apenas testes e desenvolvimento
  • Melhor para: Desenvolvedores testando o plugin

Notas importantes

Requisito de HTTPS

  • Todos os métodos funcionam tanto em sites HTTP quanto HTTPS

Compatibilidade de navegador

  • Os métodos TOTP e e-mail funcionam em todos os dispositivos e navegadores

Recuperação de conta

  • Sempre ative os códigos de backup para evitar o bloqueio de sua conta
  • Se perder o acesso a todos os métodos de autenticação, entre em contato com o administrador do site

Melhores práticas de segurança

  • Use múltiplos métodos de autenticação quando possível
  • Guarde os códigos de backup em um local seguro
  • Revise e atualize regularmente suas configurações de autenticação

Para mais informações sobre autenticação de dois fatores no WordPress, consulte o Guia de Segurança de Administração Avançada do WordPress.

Para mais histórico, veja este post.

Ações e filtros

Aqui está uma lista de hooks de ações e filtros fornecidos pelo plugin:

  • O filtro two_factor_providers substitui os provedores de dois fatores disponíveis, como e-mail e senhas de uso único baseadas em tempo. Os valores do array são nomes de classe PHP os provedores de dois fatores.
  • O filtro two_factor_providers_for_user substitui os provedores de dois fatores disponíveis para um usuário específico. Os valores do array são instâncias de classes de provedores e o objeto de usuário WP_User está disponível como o segundo argumento.
  • O filtro two_factor_enabled_providers_for_user substitui a lista de provedores de dois fatores ativados para um usuário. O primeiro argumento é um array de nomes de classe de provedores ativados como valores, o segundo argumento é o ID do usuário.
  • Ação two_factor_user_authenticated que recebe o objeto WP_User logado como o primeiro argumento para determinar o usuário logado logo após o fluxo de trabalho de autenticação.
  • O filtro two_factor_user_api_login_enable restringe a autenticação para REST API e XML-RPC apenas para senhas de aplicativo. Fornece o ID do usuário como o segundo argumento.
  • O filtro two_factor_email_token_ttl substitui o intervalo de tempo em segundos que um token de e-mail é considerado válido após a geração. Aceita o tempo em segundos como o primeiro argumento e o ID do objeto WP_User sendo autenticado.
  • O filtro two_factor_email_token_length substitui a contagem padrão de 8 caracteres para tokens de e-mail.
  • O filtro two_factor_backup_code_length substitui a contagem padrão de 8 caracteres para os códigos de backup. Fornece o WP_User do usuário associado como o segundo argumento.
  • O filtro two_factor_rest_api_can_edit_user substitui se as configurações de dois fatores de um usuário podem ser editadas via REST API. O primeiro argumento é o booleano $can_edit atual, o segundo argumento é o ID do usuário.
  • Ação two_factor_before_authentication_prompt que recebe o objeto do provedor e é disparada antes da mensagem exibida no formulário de autenticação.
  • Ação two_factor_after_authentication_prompt que recebe o objeto do provedor e é disparada após a mensagem exibida no formulário de autenticação.
  • Ação two_factor_after_authentication_input que recebe o objeto do provedor e é disparada após o campo de entrada exibido no formulário de autenticação (se o formulário não contiver nenhum campo de entrada, a ação é disparada imediatamente após two_factor_after_authentication_prompt).
  • two_factor_login_backup_links filtra os links de backup exibidos no formulário de login de dois fatores.

Redirecionar após o desafio de dois fatores

Para redirecionar os usuários para uma URL específica após concluir o desafio de dois fatores, use o filtro login_redirect nativo do WordPress Core. O filtro funciona da mesma forma que em um fluxo de login padrão do WordPress:

add_filter( 'login_redirect', function( $redirect_to, $requested_redirect_to, $user ) {
    return home_url( '/dashboard/' );
}, 10, 3 );

Capturas de tela

  • BERJAYA
    Opções de dois fatores no perfil do usuário – Mostra a área de configuração principal onde os usuários podem ativar diferentes métodos de autenticação.
  • BERJAYA
    Autenticação por código de e-mail durante o login do WordPress – Mostra a tela de verificação de e-mail que aparece durante o login.
  • BERJAYA
    Configuração do aplicativo autenticador (TOTP) com código QR – Demonstra a geração do código QR e a inserção manual da chave para a configuração do TOTP.
  • BERJAYA
    Geração e gerenciamento de códigos de backup – Mostra a interface de códigos de backup para gerar e gerenciar códigos de acesso de emergência.

Perguntas frequentes

Quais versões do PHP e do WordPress o plugin Two-Factor suporta?

Este plugin suporta as duas últimas versões principais do WordPress e a versão mínima do PHP suportada por essas versões do WordPress.

Como posso enviar feedback ou obter ajuda com um bug?

O melhor lugar para relatar bugs, sugestões de recursos ou qualquer outro feedback (que não seja de segurança) é na página de issues do Two Factor no GitHub. Antes de enviar uma nova issue, pesquise as existentes para verificar se outra pessoa já relatou o mesmo problema.

Onde posso relatar bugs de segurança?

Os colaboradores do plugin e a comunidade do WordPress levam a sério os bugs de segurança. Agradecemos seus esforços para relatar suas descobertas de forma responsável e faremos todo o esforço para reconhecer suas contribuições.

Para relatar um problema de segurança, visite o programa WordPress HackerOne.

E se eu perder o acesso a todos os meus métodos de autenticação?

Se você tiver os códigos de backup ativados, poderá usar um deles para recuperar o acesso. Se você não tiver códigos de backup ou tiver usado todos eles, precisará entrar em contato com o administrador do site para redefinir sua conta. É por isso que é importante sempre ativar os códigos de backup e mantê-los em um local seguro.

Posso usar este plugin com o WebAuthn?

O plugin anteriormente suportava FIDO U2F, que era um predecessor do WebAuthn. Há uma issue aberta para adicionar suporte ao WebAuthn aqui: https://github.com/WordPress/two-factor/pull/427

Existe uma maneira recomendada de usar chaves de acesso (passkeys) ou chaves de segurança de hardware com o Two-Factor?

Sim. For chaves de acesso (passkeys) e chaves de segurança de hardware, você pode instalar o plugin Two-Factor Provider: WebAuthn: https://wordpress.org/plugins/two-factor-provider-webauthn/
. Ele se integra diretamente com o Two-Factor e adiciona a autenticação baseada em WebAuthn como uma opção adicional de dois fatores para os usuários.

Avaliações

BERJAYA

Users can undermine, only suitable for admin

28 maio, 2026 1 resposta
This plugin requires individual users to manage 2FA. Individual users can remove 2FA from their profile at any time leaving that account vulnerable. An admin would need to check regularly that this hasn’t been removed. There is discussion about a custom function to force a user back to the profile page. I tested this. A user can still leave the account with 2FA off, albeit they cannot navigation anywhere but the profile page. However, in this state a bad actor can login with a password only to the unprotected account, then configure 2FA to their own device, this then removes the redirect and therefore undermines the entire process. This is a significant flaw. However, the plugin can protect a single admin account but any sort of user hierarchy is not protected.
BERJAYA

worked and super fast support time.

7 maio, 2026 1 resposta
Not only did it work well for my use case with a customer who wanted to offer optional 2fa, but when i asked about customizing the code validation page i had a response in minutes. Very impressive. Worked well with a theme my login branded site.
BERJAYA

Excellent

27 abril, 2026 1 resposta
Fonctionne parfaitement, simple et fiable
BERJAYA

Version wordpress 6.9.4

23 abril, 2026 1 resposta
I am in version 6.6.2 of WordPress and in multisite network version. Is it possible to activate your plugin despite the constraint tested up to 6.9.1, please? I can’t activate it at the network level?
BERJAYA

Reliable and Lightweight Two-Factor Security Solution for WordPress

23 abril, 2026 1 resposta
The Two-Factor plugin provides a robust and user-friendly way to enhance WordPress login security by adding an additional authentication layer. It supports multiple verification methods, including authenticator apps, email codes, and backup codes, making it flexible for different user needs. The setup process is straightforward, and the plugin integrates seamlessly with the default login system. Overall, it is a dependable solution for protecting websites from unauthorized access and security threats.
BERJAYA

Easy install, light speed

2 abril, 2026 1 resposta
Easy install, light speed and exactly does what it needs to do. My opinion: No plugin is safer or cleaner than one created by the team behind WordPress.org.
Leia todas as 207 avaliações

Colaboradores e desenvolvedores

“Two Factor” é um programa de código aberto. As seguintes pessoas contribuíram para este plugin.

Colaboradores

Two Factor” foi traduzido para 40 localidades. Agradecemos aos tradutores por suas contribuições.

Traduzir o “Two Factor” para seu idioma.

Interessado no desenvolvimento?

Navegue pelo código, consulte o repositório SVN ou assine o registro de desenvolvimento por RSS.

Registro de alterações

0.16.0 – 27/03/2026

  • Alterações significativas: Remove o suporte ao provedor legado FIDO U2F por #439.
  • Novos recursos: Adiciona uma página dedicada de configurações para a configuração do plugin no wp-admin por #764.
  • Novos recursos: Adiciona um filtro de links de suporte para que os usuários possam personalizar os links contextuais de recuperação/ajuda por #615.
  • Novos recursos: Atualiza o estilo e o comportamento da interface do usuário dos códigos de backup por #804.
  • Correções de bugs: Exclui os segredos TOTP armazenados quando o provedor TOTP for desativado por #802.
  • Correções de bugs: Protege a manipulação de provedores para que as verificações de login/configurações não falhem no modo aberto quando provedores esperados desaparecerem por #586.
  • Correções de bugs: Garante que apenas os provedores configurados sejam salvos e ativados nas configurações do usuário por #798.
  • Correções de bugs: Melhora a acessibilidade da página de configurações e corrige o comportamento do link de configurações de perfil por #828 e #830.
  • Correções de bugs: Resolve violações do PHPCS nos arquivos dos provedores por #851.
  • Atualizações de desenvolvimento: Move os estilos de login e os scripts dos provedores da saída inline para scripts e estilos enfileirados/externos por #807 e #814.
  • Atualizações de desenvolvimento: Melhora a documentação inline e a compatibilidade de análise estática (WPCS/phpstan) por #810, #815 e #817.
  • Atualizações de desenvolvimento: Melhora a confiabilidade dos testes unitários e integra relatórios de cobertura de código de CI por #825, #841 e #842.
  • Atualizações de desenvolvimento: Atualiza os documentos do readme e moderniza a infraestrutura do fluxo de trabalho de CI por #835, #837, #843 e #849.
  • Atualizações de dependências: Atualiza o qs de 6.14.1 para 6.14.2 por #794.
  • Atualizações de dependências: Atualiza o basic-ftp de 5.0.5 para 5.2.0 por #816.
  • Atualizações de dependências: Aplica atualizações automáticas de lint/formatação e atualizações de pacotes Composer associados por #799.

0.15.0 – 13/02/2026

  • Alterações significativas: Dispara o fluxo de dois fatores apenas quando esperado por @kasparsd em #660 e #793.
  • Novos recursos: Inclui o endereço IP do usuário e aviso contextual nos e-mails de código de dois fatores por @todeveni em #728
  • Novos recursos: Otimiza o texto de e-mail para o TOTP por @masteradhoc em #789
  • Novos recursos: Adiciona link de ação “Configurações” na lista de plugins para acesso rápido ao perfil por @hardikRathi em #740
  • Novos recursos: Hooks de formulário adicionais por @eric-michel em #742
  • Novos recursos: Compatibilidade total com a RFC6238 por @ericmann em #656
  • Novos recursos: Experiência do usuário consistente para configuração do TOTP por @kasparsd em #792
  • Documentação: Documentação do @since por @masteradhoc em #781
  • Documentação: Atualiza documentos de usuário e administrador, prepara para mais capturas de tela por @jeffpaul em #701
  • Documentação: Adiciona changelog e créditos, atualiza as notas de lançamento por @jeffpaul em #696
  • Documentação: Limpa o arquivo readme.txt por @masteradhoc em #785
  • Documentação: Adiciona informações de data e hora acima das instruções de configuração do TOTP por @masteradhoc em #772
  • Documentação: Esclarece as instruções de configuração do TOTP por @masteradhoc em #763
  • Documentação: Atualiza o RELEASING.md por @jeffpaul em #787
  • Atualizações de desenvolvimento: Pausa deploys para o trunk do SVN para merges na branch master por @kasparsd em #738
  • Atualizações de desenvolvimento: Corrige verificações de CI para compatibilidade de PHP por @kasparsd em #739
  • Atualizações de desenvolvimento: Corrige referências do Playground por @kasparsd em #744
  • Atualizações de desenvolvimento: Mantém as traduções existentes ao introduzir novos textos de ajuda em e-mails por @kasparsd em #745
  • Atualizações de desenvolvimento: Corrige missing_direct_file_access_protection por @masteradhoc em #760
  • Atualizações de desenvolvimento: Corrige mismatched_plugin_name por @masteradhoc em #754
  • Atualizações de desenvolvimento: Introduz o fluxo de trabalho do Props Bot por @jeffpaul em #749
  • Atualizações de desenvolvimento: Plugin Check: Corrige o parâmetro $domain ausente por @masteradhoc em #753
  • Atualizações de desenvolvimento: Testes: Atualiza para a versão suportada 6.8 do WP por @masteradhoc em #770
  • Atualizações de desenvolvimento: Corrige mensagem de descontinuação (deprecated) no PHP 8.5 por @masteradhoc em #762
  • Atualizações de desenvolvimento: Exclui as verificações das versões 7.2 e 7.3 contra o trunk por @masteradhoc em #769
  • Atualizações de desenvolvimento: Corrige erros do Plugin Check: MissingTranslatorsComment e MissingSingularPlaceholder por @masteradhoc em #758
  • Atualizações de desenvolvimento: Adiciona testes para PHP 8.5 para a versão mais recente e trunk do WP por @masteradhoc em #771
  • Atualizações de desenvolvimento: Adiciona phpcs:ignore para falsos positivos por @masteradhoc em #777
  • Atualizações de desenvolvimento: Correção(totp): link otpauth na URL do código QR por @sjinks em #784
  • Atualizações de desenvolvimento: Atualiza o arquivo deploy.yml por @masteradhoc em #773
  • Atualizações de desenvolvimento: Atualiza a versão necessária do WordPress por @masteradhoc em #765
  • Atualizações de desenvolvimento: Correção: garante que a execução pare após redirecionamentos por @sjinks em #786
  • Atualizações de desenvolvimento: Corrige erros de WordPress.Security.EscapeOutput.OutputNotEscaped por @masteradhoc em #776
  • Atualizações de dependências: Atualiza o qs e o express por @dependabot[bot] em #746
  • Atualizações de dependências: Atualiza o lodash de 4.17.21 para 4.17.23 por @dependabot[bot] em #750
  • Atualizações de dependências: Atualiza o lodash-es de 4.17.21 para 4.17.23 por @dependabot[bot] em #748
  • Atualizações de dependências: Atualiza o phpunit/phpunit de 8.5.44 para 8.5.52 por @dependabot[bot] em #755
  • Atualizações de dependências: Atualiza o symfony/process de 5.4.47 para 5.4.51 por @dependabot[bot] em #756
  • Atualizações de dependências: Atualiza o qs e o body-parser por @dependabot[bot] em #782
  • Atualizações de dependências: Atualiza o webpack de 5.101.3 para 5.105.0 por @dependabot[bot] em #780

0.14.2 – 11/12/2025

  • Novos recursos: Adiciona filtro para rest_api_can_edit_user_and_update_two_factor_options por @gutobenn em #689
  • Atualizações de desenvolvimento: Remove as ferramentas do Coveralls e adiciona relatório de cobertura inline por @kasparsd em #717
  • Atualizações de desenvolvimento: Atualiza o caminho do blueprint para puxar da branch main em vez de uma excluída f… por @georgestephanis em #719
  • Atualizações de desenvolvimento: Corrige os deploys de assets do blueprint e do wporg por @kasparsd em #734
  • Atualizações de desenvolvimento: Envia o lançamento apenas em tags de release por @kasparsd em #735
  • Atualizações de desenvolvimento: Atualiza o playwright e @playwright/test por @dependabot[bot] em #721
  • Atualizações de desenvolvimento: Atualiza o tar-fs de 3.1.0 para 3.1.1 por @dependabot[bot] em #720
  • Atualizações de desenvolvimento: Atualiza o node-forge de 1.3.1 para 1.3.2 por @dependabot[bot] em #724
  • Atualizações de desenvolvimento: Atualiza o js-yaml por @dependabot[bot] em #725
  • Atualizações de desenvolvimento: Marca como testado com a versão mais recente do WP core por @kasparsd em #730

0.14.1 – 05/09/2025

  • Não codifica a URL do TOTP no formato URI para exibição por @dd32 em #711
  • Remove o arquivo Security.md duplicado por @slvignesh05 em #712
  • Corrige problemas de linting por @sudar em #707
  • Atualiza as dependências de desenvolvimento e corrige falha no teste unitário do QR por @kasparsd em #714
  • Dispara o evento change de JavaScript da caixa de seleção por @gedeminas em #688

0.14.0 – 03/07/2025

  • Recursos: Ativa as senhas de aplicativos para autenticação de REST API e XML-RPC (por padrão) por @joostdekeijzer em #697 e #698. Anteriormente, isso exigia que o filtro two_factor_user_api_login_enable estivesse definido como true, o que agora é o padrão durante a autenticação por senha de aplicativo. O login por XML-RPC ainda está desativado para senhas regulares de usuários.
  • Recursos: Identifica os métodos recomendados para simplificar a configuração por @kasparsd em #676 e #675
  • Documentação: Adiciona demonstração do plugin no WP.org por @kasparsd em #667
  • Documentação: Documenta as versões suportadas do WP core e PHP por @jeffpaul em #695
  • Documentação: Documenta o processo de lançamento por @jeffpaul em #684
  • Ferramental: Remove capturas de tela e gráficos duplicados do WP.org do trunk do SVN por @jeffpaul em #683

0.13.0 – 02/04/2025

  • Adiciona o filtro two_factor_providers_for_user para limitar os provedores de dois fatores disponíveis para cada usuário por @kasparsd em #669
  • Atualiza os testes automatizados para cobrir o PHP 8.4 e define o PHP 8.3 como padrão por @BrookeDot em #665

Veja os detalhes completos do changelog aqui.

Plugin da comunidade

Este plugin é desenvolvido e mantido por uma comunidade. Contribua com este plugin

Meta

Classificações

4.8 de 5 estrelas.

Your review

Ver todas avaliações

Suporte

Problemas resolvidos nos últimos dois meses:

5 de 5

Ver fórum de suporte