Como Adicionar Perguntas de Segurança à Tela de Login do WordPress

Uma senha fraca é tudo o que um hacker precisa para sequestrar seu site. Sem segurança adicional, tudo o que você construiu está em risco.

Uma solução simples? Perguntas de segurança. E configurá-las é mais fácil do que você imagina.

Testei vários métodos de autenticação em sites WordPress e descobri que adicionar perguntas de segurança é uma maneira simples de ajudar a prevenir acesso não autorizado. 🔑

Ao exigir respostas únicas que apenas você conhece, você adiciona uma camada de segurança ao seu site. Isso torna muito mais difícil para os hackers obterem acesso, mesmo que eles roubem sua senha.

Neste guia, mostrarei como adicionar perguntas de segurança à sua tela de login do WordPress. Você não precisa ser um especialista em tecnologia — basta seguir as instruções e você terá uma camada de segurança extra em minutos.

Por que Adicionar Perguntas de Segurança no WordPress?

Sua página de login do WordPress é como a porta da frente do seu site. Uma senha é uma boa fechadura, mas adicionar perguntas de segurança é como adicionar uma trava de segurança — torna muito mais difícil para alguém arrombar.

Perguntas de segurança adicionam uma camada extra de proteção à sua área de administração do WordPress, tornando mais difícil para os atacantes se infiltrarem. Quando este recurso está ativado, os usuários devem responder a uma ou mais perguntas pessoais antes de poderem fazer login.

Veja como as perguntas de segurança podem ajudar:

• Um Obstáculo Extra para Hackers: Mesmo que alguém adivinhe sua senha, as perguntas de segurança tornam mais difícil para eles entrarem.
• Previne Ataques Automatizados: Hackers frequentemente usam bots para adivinhar senhas. Mas as perguntas de segurança exigem respostas pessoais que os bots não conseguem descobrir facilmente, tornando os ataques automatizados menos eficazes.
• Ajuda a Recuperar Contas de Forma Mais Segura: Esqueceu sua senha? Em vez de esperar por um e-mail de redefinição (que pode ser interceptado), as perguntas de segurança fornecem uma maneira rápida e segura de recuperar o acesso.
• Configuração Rápida e Fácil: Perguntas de segurança são mais fáceis de configurar do que autenticação de dois fatores (2FA), que requer um aplicativo ou dispositivo separado. Embora convenientes, as perguntas de segurança oferecem um nível de proteção mais leve do que a 2FA, que geralmente recomendo para segurança máxima.

Embora úteis, as perguntas de segurança não são infalíveis. Hackers astutos podem tentar adivinhar suas respostas ou até mesmo enganá-lo para revelá-las (isso é chamado de 'engenharia social').

Portanto, é importante escolher perguntas cujas respostas não sejam facilmente adivinhadas ou publicamente disponíveis online.

Dito isso, vamos ver como você pode adicionar perguntas de segurança à sua tela de login do WordPress. Neste tutorial, mostrarei dois métodos, cada um projetado para um tipo diferente de site.

Você pode usar os links abaixo para pular para o método que preferir:

• Método 1: Adicionando uma Única Pergunta de Segurança para Todo o Site com Código
• Método 2: Permitindo que Cada Usuário Defina Suas Próprias Perguntas de Segurança
• Perguntas Frequentes Sobre Perguntas de Segurança de Login
• Guias Bônus para Segurança da Tela de Login

Método 1: Adicionando uma Única Pergunta de Segurança para Todo o Site com Código

Este método é ideal se você for o único usuário em seu site e quiser adicionar uma única pergunta de segurança codificada em sua tela de login.

É uma maneira rápida de adicionar uma camada extra de proteção para um blog de autor único ou site pessoal.

Eu vi muitos outros sites usarem essa tática ao lado da autenticação de dois fatores e outras proteções de login, e funcionou muito bem para eles como mais um obstáculo para potenciais invasores.

Para fazer isso, você precisará adicionar código personalizado ao seu arquivo functions.php. Isso pode ser um pouco avassalador, pois o menor erro pode quebrar seu site. É por isso que recomendo o WPCode, que é o melhor plugin de snippets de código do WordPress do mercado.

Após testes completos, meus colegas de equipe e eu concluímos que esta é a maneira mais fácil e segura de adicionar código personalizado ao seu site. Para saber mais, veja nossa análise completa do WPCode.

Importante: Este código adiciona uma pergunta de segurança para um único usuário. É mais adequado para blogs de autor único. Se você tiver vários usuários em seu site (como um site de membros ou loja online), recomendamos fortemente o uso do Método 2.

Primeiro, você precisa instalar e ativar o plugin WPCode. Para instruções passo a passo, você pode consultar nosso guia sobre como instalar um plugin do WordPress.

Assim que ativar o plugin, visite a página Code Snippets » + Add Snippet no painel do WordPress.

Aqui, clique no botão ‘Use Snippet’ na opção ‘Add Your Custom Code (New Snippet)’.

Isso o levará a uma nova tela, onde você pode adicionar um nome para o seu trecho de código.

Lembre-se de que este nome não será exibido a nenhum usuário. Ele serve simplesmente para ajudá-lo a identificar facilmente o trecho de código que você está criando.

Em seguida, escolha ‘PHP Snippet’ como o ‘Code Type’ no pop-up.

Agora, adicione o seguinte código personalizado na caixa ‘Code Preview’:

add_action( 'login_form', function () {
	?>
	<p><label for="security_question">What is your favorite color?<br/>
			<input type="text" name="security_question" id="security_question" class="input" autocomplete="off"/></label>
	</p>
	<?php
} );

add_filter( 'wp_authenticate_user', function( $user, $password ) {
	$answer = isset( $_POST['security_question'] ) ? sanitize_text_field( wp_unslash( $_POST['security_question'] ) ) : '';
	if ( 'blue' !== strtolower( $answer ) ) { // Replace 'blue' with your expected answer
		return new WP_Error( 'security_question_error', '<strong>ERROR</strong>: Incorrect answer to the security question.' );
	}

	return $user;

}, 10, 2 );

Por padrão, o código personalizado define “Qual é sua cor favorita?” como a pergunta de segurança.

No entanto, recomendo fortemente que você a altere para algo que não seja facilmente adivinhado. É melhor escolher algo pessoal para você que poucas pessoas saibam.

Por exemplo, algumas perguntas de segurança comuns são:

• 🐶 “Qual era o nome do seu primeiro animal de estimação de infância?”
• 🏡 “Qual era o nome da primeira rua em que você morou?”
• 👩 “Qual é o nome de solteira da sua mãe?”

Ao escolher uma pergunta, selecione uma cuja resposta não esteja publicamente disponível. Evite respostas que possam ser encontradas em seus perfis de mídia social ou em registros públicos.

As melhores perguntas de segurança são pessoais e memoráveis para você, mas não fáceis para os outros adivinharem. Basta localizar esta linha no código e substituí-la pela sua pergunta desejada.

<p><label for="security_question">What was the name of your first childhood pet?<br/>

Depois de fazer isso, role para baixo até esta linha no código:

if ( 'spike' !== strtolower( $answer ) ) { // Replace 'spike' with your expected answer

Agora você pode alterar a resposta para a pergunta de segurança a partir daqui.

Depois de verificar duas vezes se sua pergunta e resposta estão como você deseja, basta alternar o interruptor 'Inativo' para 'Ativo'.

Finalmente, clique no botão ‘Salvar Snippet’ para armazenar suas configurações.

Agora você pode visitar sua tela de login do WordPress para ver a pergunta de segurança.

Método 2: Permitindo que Cada Usuário Defina Suas Próprias Perguntas de Segurança

Este método é a solução mais segura e recomendada para qualquer site com mais de um usuário. Isso inclui sites de membros, blogs de vários autores, lojas de comércio eletrônico com contas de clientes ou qualquer site onde pessoas diferentes precisem fazer login.

Diferente do primeiro método, que usa uma pergunta para um único usuário, esta abordagem permite que cada indivíduo em seu site defina suas próprias perguntas de segurança privadas. Ela fornece uma camada de proteção muito mais forte para cada conta.

Eu vi isso funcionar bem em vários sites que oferecem assinaturas pagas, cursos online e comunidades privadas.

MelaPress Login Security permite que você exija que os usuários respondam a perguntas de segurança antes de realizar ações sensíveis, como redefinir uma senha ou reativar uma conta desativada.

Isso garante que apenas o proprietário legítimo da conta possa concluir essas ações.

Primeiro, você precisa instalar e ativar o plugin MelaPress Login Security. Para mais detalhes, veja o tutorial da minha equipe sobre como instalar um plugin do WordPress.

Após ativar o plugin, acesse a página Login Security » Login Security Policies no painel de administração do WordPress e marque a opção ‘Enable login security policies’.

Assim que você fizer isso, novas configurações aparecerão na tela. A partir daqui, role para baixo até a seção ‘Perguntas de Segurança’ e marque a caixa ‘Ativar perguntas de segurança’.

Em seguida, escolha se deseja exigir perguntas de segurança para iniciar uma redefinição de senha ou para ativar uma conta desativada. Você também pode selecionar ambas as opções.

Agora, prossiga e selecione o número de perguntas de segurança pré-salvas que cada usuário deve responder.

Depois disso, clique no link ‘Ativar’ ao lado das perguntas de segurança que você deseja que seus usuários respondam.

Se nenhuma das perguntas padrão parecer adequada, você pode simplesmente clicar no botão ‘Adicionar pergunta’ e adicionar sua pergunta preferida no campo.

Você também pode configurar o restante das configurações de segurança de acordo com sua preferência.

Quando terminar, basta clicar no botão ‘Salvar Alterações’ para armazenar suas escolhas.

Agora que a política de perguntas de segurança foi ativada, os usuários em seu site receberão um aviso em seus painéis solicitando que forneçam respostas a algumas perguntas de segurança.

Assim que os usuários clicarem no botão ‘Visitar sua página de perfil’, eles serão levados à sua página de perfil do WordPress.

Aqui, eles podem responder às perguntas que você selecionou e clicar no botão ‘Salvar Alterações’.

Agora, quando um usuário em seu site tentar redefinir sua senha ou ativar uma conta desativada, ele precisará responder a uma pergunta de segurança primeiro.

Aqui está uma prévia de como ficará na sua tela de login.

Perguntas Frequentes Sobre Perguntas de Segurança de Login

Aqui estão algumas perguntas que nossos leitores frequentemente fazem antes de adicionar perguntas de segurança de login em seus sites:

O que acontece se eu esquecer a resposta da minha pergunta de segurança?

Se você esquecer sua resposta, precisará usar as ferramentas de acesso de emergência do seu host.

Você pode fazer login na sua conta de hospedagem WordPress e usar o Gerenciador de Arquivos ou um cliente FTP para navegar até a pasta wp-content/plugins. A partir daí, você pode desativar o plugin de segurança (como MelaPress ou WPCode) renomeando sua pasta.

Isso desativará temporariamente o recurso de perguntas de segurança, permitindo que você faça login com sua senha e redefina suas perguntas.

As perguntas de segurança são um substituto para a Autenticação de Dois Fatores (2FA)?

Não, elas não são um substituto. Perguntas de segurança são uma forma de segurança baseada em conhecimento (algo que você sabe). A Autenticação de Dois Fatores (2FA) é mais forte porque requer um dispositivo separado (algo que você tem), como seu telefone.

Para máxima segurança, recomendo usar a 2FA como sua defesa principal e adicionar perguntas de segurança como uma camada secundária útil.

Posso exigir que os usuários respondam a mais de uma pergunta?

Isso depende do método que você usa. O trecho de código personalizado no Método 1 foi projetado para uma única pergunta e resposta.

No entanto, um plugin completo como o MelaPress (Método 2) geralmente inclui configurações que permitem exigir que os usuários respondam a várias perguntas antes que eles possam fazer login ou redefinir suas senhas.

E se um usuário no meu site com vários autores não configurar suas perguntas de segurança?

Na maioria dos casos, um plugin como o MelaPress exibirá um aviso persistente no painel do WordPress do usuário, solicitando que ele configure suas perguntas de segurança.

Geralmente, isso não os impedirá de acessar suas contas, mas continuará a lembrá-los até que a configuração de segurança seja concluída.

Isso garante que os usuários existentes ainda possam acessar suas contas, ao mesmo tempo em que os incentiva a melhorar sua segurança.

Guias Bônus para Segurança da Tela de Login

Espero que este tutorial tenha ajudado você a aprender como adicionar perguntas de segurança à sua tela de login do WordPress. Você também pode querer ver alguns guias sobre outras maneiras de proteger sua tela de login:

• Como Adicionar CAPTCHA ao Formulário de Login e Registro do WordPress
• Como Adicionar Login Sem Senha no WordPress com Magic Links
• Por que e Como Limitar Tentativas de Login no WordPress
• Como Desativar Dicas de Login em Mensagens de Erro de Login do WordPress
• Como Adicionar Login Social ao WordPress (O Jeito Fácil)
• Guia para Iniciantes sobre Como Adicionar uma URL de Login Personalizada no WordPress (Passo a Passo)

Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.