Configuração

Segurança » Autenticação em duas etapas

O seu site no WordPress.com é a sua casa na Internet, portanto, é do seu interesse mantê-lo em segurança. Esperamos que você já tenha escolhido uma senha exclusiva e difícil de decifrar para sua conta. Para adicionar outra camada de segurança, ative a autenticação em duas etapas.


O que é autenticação em duas etapas?

A autenticação em duas etapas é um método de proteção de contas que exige não apenas que você saiba uma determinada informação (uma senha) para fazer login, mas também que possua um determinado objeto (seu dispositivo móvel ou uma chave física). A vantagem desse método é a segurança de que, mesmo que alguém saiba sua senha, será preciso que também roube o seu dispositivo para invadir sua conta.

No WordPress.com, oferecemos a opção da autenticação em duas etapas via dispositivos móveis e chave de segurança física. Primeiro, verificamos o seu dispositivo móvel ao enviar um código por alguns meios. Após verificar seu dispositivo móvel, você também pode adicionar a autenticação que usa uma chave física.

Depois de configurar a autenticação em duas etapas, a cada login com senha, enviaremos um novo código ao dispositivo para ser inserido ou você terá que conectar a chave física antes de fazer login. É uma etapa extra no processo de login, mas que deixa a sua conta muito mais segura.


↑ Tabela de Conteúdo ↑

Configuração com um aplicativo de autenticação

Para configurar a autenticação em duas etapas por meio do aplicativo de autenticação (como o Google Authenticator, o Authy ou o Duo) em seu dispositivo, você precisará começar em um navegador de desktop.

Primeiro, acesse a página de configurações Autenticação em duas etapas no WordPress.com.

Como alternativa, acesse as Configurações clicando em sua imagem de perfil na sua página inicial do WordPress.com:

Link do perfil

Em seguida, clique no link “Segurança”, na navegação do lado esquerdo da tela:

Menu Conta, link Segurança

Clique em Autenticação em duas etapas e em Começar.

Configurações da autenticação em duas etapas

Aqui, você será solicitado a selecionar o seu país e informar o número do seu celular (sem o código do país, espaços ou traços). Após fazer isso, clique em Verificar pelo aplicativo.

Inserir número de telefone

A seguir, escaneie o código QR apresentado juntamente com o aplicativo de autenticação. Um número de seis dígitos será exibido no aplicativo de autenticação. Insira-o no campo informado e clique em Ativar.

Código QR e código de verificação

Por último, você será solicitado a imprimir os códigos de backup. Não pule esta etapa, pois ela será a única forma de fazer login novamente na conta sem precisar da ajuda da equipe, caso o seu dispositivo seja extraviado!

Observação: se o navegador da Web estiver configurado para bloquear janelas pop-up, talvez seja necessário desativar temporariamente essa funcionalidade, pois ela evitará que a janela contendo o seu código de backup seja exibida.

Clique em Concluído.

Nesta etapa, seu site será habilitado com a autenticação em duas etapas. Uma etapa complementar permite confirmar que seus códigos de backup funcionam, ao inserir um dos códigos impressos.

Verificar código de backup

↑ Tabela de Conteúdo ↑

Configuração com códigos via SMS

Caso não consiga configurar a autenticação em duas etapas usando um aplicativo de autenticação, será possível configurá-la para que funcione via mensagens SMS. Para fazer isso, configure o seu telefone conforme descrito acima, mas em seguida clique em Verificar via SMS.

Verificar via SMS

Dentro de instantes, você deverá receber uma mensagem de texto contendo um número composto por sete dígitos. Insira esse número no campo informado e clique em Ativar.

A partir deste momento, será possível imprimir e confirmar códigos de backup, conforme documentado acima. Agora, sua conta está protegida pela autenticação em duas etapas.

Os aplicativos para smartphone que bloqueiam chamadas automatizadas podem bloquear também as nossas mensagens.


↑ Tabela de Conteúdo ↑

Autenticação da chave de segurança

O WordPress.com é compatível com a verificação de login por meio de chaves de segurança físicas usando o padrão WebAuthn.

Em vez de digitar um código recebido via SMS ou um aplicativo como o Google Authenticator após inserir a senha, conecte uma chave física. Em seguida, pressione um botão nessa chave para concluir verificação e fazer login. Sem essa chave física é impossível alguém fazer login na sua conta, mesmo que saiba a senha.

Requisitos
  • Ter um computador com uma porta USB e a versão mais recente de um navegador compatível, como o Chrome, o Firefox, o Opera ou o Edge.
    Observação: no momento, o Chrome e o Firefox têm melhor compatibilidade geral. Por isso os recomendamos para você ter uma experiência mais consistente.
  • Ter uma chave que se conecte em uma porta USB e funcione com FIDO2, como o YubiKey da Yubico ou a Titan da Google (dispositivos que usam o padrão mais antigo FIDO U2F ainda funcionam). Verifique a documentação de suporte específica da sua chave para mais informações sobre os tipos de dispositivos e navegadores compatíveis com essa chave.
Adicionar uma chave

Observação: você precisa seguir as etapas acima para ativar a autenticação em duas etapas via SMS ou aplicativo de autenticação antes de poder adicionar uma chave de segurança.

Após configurar a autenticação em duas etapas com um aplicativo ou por SMS, você verá a opção de adicionar uma chave de segurança. Clique em Cadastrar chave.

Cadastrar chave de segurança

Permitimos cadastrar várias chaves para que você possa nomear uma e diferenciá-la das outras que adicionar depois. Digite um nome exclusivo e clique em Cadastrar chave.

Nesse momento, conecte sua chave em uma porta USB do computador e, dependendo do tipo de chave, pressione o botão ou clique no disco de ouro dela.

Conecte a chave de segurança e toque nela para cadastrá-la

Se você tiver êxito, receberá uma mensagem na tela e a chave estará listada na seção Chave de segurança.

Lista de chaves de segurança

Após essa configuração, você não poderá acessar sua conta sem a chave. Por isso, cuide dela como você cuida das chaves da sua casa ou do seu carro e a mantenha em segurança!

Além disso, considere adicionar uma segunda chave como uma opção reserva e a mantenha em algum lugar onde você poderá encontrá-la caso algo aconteça à chave principal. Para adicionar outras chaves, clique em Cadastrar chave novamente.

Remover uma chave

Se você quiser remover uma chave de segurança (caso você a tenha perdido ou ela não funcione mais, por exemplo), desconecte-a da sua conta.

Basta acessar a página Autenticação em duas etapas nas configurações do perfil, clicar no ícone de lixeira ao lado da chave e selecionar Remover chave na mensagem de confirmação exibida.

Excluir chave de segurança

↑ Tabela de Conteúdo ↑

Como fazer login

O processo de login varia um pouco em relação ao processo tradicional, após você ativar a autenticação em duas etapas. Independentemente de você ter usado o método do Google Authenticator ou SMS para ativar a autenticação em duas etapas, o início do processo é o login habitual, com nome de usuário e senha.

Imagem da tela de login
Fazer login no WordPress.com

Em seguida, você será solicitado a informar o código de verificação enviado ao seu dispositivo.

Inserir código de autenticação em duas etapas

Se você configurar a autenticação em duas etapas com um aplicativo de autenticação, abra-o no dispositivo e forneça o número de seis dígitos listado para a conta. Se estiver usando mensagens SMS na autenticação em duas etapas, enviaremos uma mensagem de texto com um número de seis dígitos. Após inserir o código, você estará conectado e já poderá publicar no blog.

Se você tiver uma chave de segurança configurada, será questionado se quer fazer a verificação usando a chave ou SMS/aplicativo de autenticação. Se optar por usar a chave, clique em Prossiga com a chave de segurança.

Opções da autenticação em duas etapas

Em seguida, você será solicitado a conectar a chave. Conecte a chave em uma porta USB do computador e, dependendo do tipo de chave, pressione o botão ou clique no disco dourado dela para concluir o login.

Solicitação para conectar a chave de segurança e concluir o login.

Observação: se você demorar muito para fazer a verificação, a solicitação será cancelada e uma mensagem de erro será exibida. Basta clicar em Prossiga com a chave de segurança novamente para reiniciar a verificação.


↑ Tabela de Conteúdo ↑

Códigos de backup

Não queremos que você perca o acesso à conta do WordPress.com. Ainda será possível fazer login se houver perda, roubo ou bloqueio por algum motivo ou caso o dispositivo precise ser apagado (o que excluirá o Google Authenticator).

Para garantir que você não seja bloqueado em sua conta, gere um conjunto de 10 códigos de backup a serem usados uma única vez. Recomendamos imprimir esses códigos de backup e mantê-los em um local seguro, como na carteira ou em um cofre de documentos (não os salve no computador, porque eles seriam acessíveis por qualquer um usando sua máquina). 

Gerar códigos de backup é essencial e deve ser feito. Caso precise usar um código de backup, faça login como de costume e, ao ser solicitado a informar o código de login, digite o código de backup.

Ao final do processo de configuração da autorização em duas etapas, você terá a opção de gerar códigos de backup:

Imprimir códigos de backup

Imprima os códigos, não apenas os salve, e confirme que você fez isso. Em seguida, clique em Tudo pronto! para fechar essa tela.

Caso perca a lista de backups ou ela seja comprometida, será possível gerar um novo conjunto de códigos. Para garantir segurança adicional, esta ação desativará todos os códigos gerados anteriormente.

Gerar novos códigos de backup

Só será possível gerar os códigos de backup em um navegador de desktop. Por exemplo, o Safari do iOS não exibirá os códigos de backup. Além disso, se o navegador da Web estiver configurado para bloquear janelas pop-up, talvez seja necessário desativar temporariamente essa funcionalidade, pois evitará que a janela contendo o seu código de backup seja exibida.


↑ Tabela de Conteúdo ↑

Senhas específicas dos aplicativos

Talvez haja alguns aplicativos que possam se conectar à sua conta do WordPress.com, mas ainda não sejam totalmente compatíveis com a autenticação em duas etapas. Os mais comuns são os aplicativos do Jabber, usados para assinar blogs do WordPress.com. Para cada um desses aplicativos, você pode gerar senhas exclusivas. Por exemplo, você pode ter uma senha diferente no celular e no tablet. É possível desativar senhas individuais e bloquear aplicativos na sua conta, a fim de evitar que outras pessoas acessem seus sites.

Para gerar senhas específicas dos aplicativos, volte para a autenticação em duas etapas e, em seguida, acesse “Senhas de aplicativos”:

Prompt de senha de aplicativo

Informe um nome para o aplicativo (somente você verá esse nome, portanto, chame-o do que quiser) e clique em “Gerar senha”. O WordPress.com criará uma senha exclusiva com 16 caracteres, que você poderá copiar e colar, durante o próximo login em sua conta no dispositivo. O aplicativo guardará esta senha por você.

Sua página de Segurança manterá uma lista com todos os aplicativos para os quais você gerou senhas. Se houver a perda ou roubo de algum dos seus dispositivos, ou caso você simplesmente queira revogar o acesso a um determinado aplicativo, acesse a página a qualquer momento e clique no “X” para desativar a senha e evitar que o aplicativo acesse sua conta:

Remover senha de aplicativo

↑ Tabela de Conteúdo ↑

Desativar a autenticação em duas etapas

Não recomendamos desativar a autenticação em duas etapas, pois isso gera vulnerabilidade, mesmo que você considere a sua senha bastante forte. Se você ainda quiser fazer isso, acesse a página Autenticação em duas etapas .

A página mostrará que a funcionalidade está ativada. Clique no botão Desativar autenticação em duas etapas . Você será solicitado a informar um código, a fim de confirmar que ainda tem acesso ao dispositivo que usou originalmente para configurar a autenticação em duas etapas. Caso utilize um aplicativo de autenticação, abra-o e informe o código da lista. Caso utilize SMS, será enviado um código por mensagem de texto. Esse código é diferente do utilizado para fazer login em sua conta. Você tem a opção de usar um dos nossos códigos de backup nesta etapa.

Clique em Desativar após informar o código. Sua conta não estará mais protegida pela autenticação em duas etapas.

Desativar a autenticação em duas etapas

Observação: a chave de segurança não pode ser usada para desativar a autenticação em duas etapas. Isso só pode ser feito usando um código recebido via SMS, aplicativo de autenticação ou código de backup.


↑ Tabela de Conteúdo ↑

Como mudar de dispositivo

Caso planeje trocar de dispositivo e tenha ativado a autenticação em duas etapas, siga os passos abaixo para evitar o bloqueio acidental de sua conta de usuário.

Caso utilize um aplicativo de autenticação para gerar códigos de confirmação:

  1. Imprima um conjunto de códigos de backup referentes a sua conta de usuário, seguindo as etapas deste link. NÃO PULE ESTA ETAPA.
  2. No novo dispositivo, instale o aplicativo de autenticação.
  3. Desative o vínculo da autenticação em duas etapas com o dispositivo antigo seguindo estas etapas.
  4. Configure a sua conta de usuário para vinculá-la ao novo dispositivo, seguindo as etapas deste link.
  5. Caso seja solicitado a informar a verificação, use um código a partir da lista dos códigos de backup. Os códigos de backup são de uso único.
  6. Agora, você conseguirá desinstalar o aplicativo de autenticação do dispositivo antigo.

Caso você utilize o aplicativo móvel do WordPress.com para gerenciar e publicar em seu site:

  1. Crie uma nova senha específica para o aplicativo, seguindo as etapas deste link.
  2. Digite a nova senha do aplicativo ao usá-lo no novo dispositivo.

Caso você utilize mensagens SMS para receber códigos de autenticação, não será necessário atualizar suas configurações, exceto se o seu número de telefone for alterado. Nesse caso, é melhor configurar um novo número de recuperação antes de desvincular seu número antigo do recebimento de mensagens SMS, seguindo as etapas deste link.


↑ Tabela de Conteúdo ↑

Em caso de perda do dispositivo

Caso você perca o dispositivo ou a chave de segurança, exclua acidentalmente o aplicativo de autenticação ou seja bloqueado em sua conta, a única forma de entrar em sua conta será usando um Código de backup.

Para usar um código de backup, preencha os seus dados de login normalmente. Ao ser solicitado para informar o código de login, insira o código de backup. Lembre-se: os códigos de backup serão válidos para uso único, portanto, cuidado ao utilizá-los.