Há várias maneiras de deixar um site em WordPress mais seguro e o método de identificação por dois fatores é um jeito simples de adicionar uma camada de proteção no seu site. Neste artigo vou mostrar como fazer isto gratuitamente para todos os usuários do seu WordPress.

O que é a identificação por dois fatores (2FA – Two-factor Authentication)?

Para você acessar a área administrativa do WordPress é necessário inserir um usuário e senha. Ao utilizar a identificação por dois fatores, você estará adicionando uma segunda camada de verificação que exige dados adicionais. Daí o nome de identificação por dois fatores.

Provavelmente você já teve a experiência de um banco prover um dispositivo (normalmente chamado de token) que gera uma combinação temporária de números para você inserir no internet banking após digitar sua senha. Isto é um exemplo de identificação por dois fatores.

Como habilitar a identificação por dois fatores para todos os usuários do WordPress?

Pesquisando por plugins que adicionassem a identificação por dois fatores no WordPress, descobri algumas soluções interessantes, mas a maioria delas deixa como escolha de cada usuário habilitar ou não esta funcionalidade (como o ótimo plugin WordFence). Acredito que esta não deve ser uma configuração opcional pois se uma conta for comprometida, pode colocar em risco todo o site. Por conta disto, queria uma opção que forçasse todos os usuários do WordPress a configurarem o 2FA.

Depois de analisar e testar algumas soluções, encontrei o plugin gratuito WP 2FA – Two-factor Authentication for WordPress. Ele foi criado pela empresa WP White Security, que é especializada em criar plugins relacionados à segurança.

Como configurar o plugin WP 2FA – Two-factor Authentication for WordPress

Depois de instalar e ativar o plugin, ele vai abrir uma página com um passo a passo (wizard) para configurá-lo. Segue abaixo como fiz a minha configuração.

Tempo necessário :

15

Minutes

Custo:

0

BRL (Gratuito)

O que você precisa?

– Um site em WordPress;
– Plugin “WP 2FA – Two-factor Authentication for WordPress” instalado.

Passos para configurar o plugin WP 2FA No WordPress

Introdução

Esta tela aparece logo após a ativação do plugin, possibilitando iniciar o passo a passo ou pular ele. Vamos clicar no botão para iniciar!

Método de identificação por dois fatores

É possível escolher entre dois métodos do 2FA: por aplicativo ou e-mail. Escolhi a primeira opção por ser a mais segura.

Configuração do aplicativo de token

Você deve escolher um aplicativo para gerar o código temporário que vai liberar o acesso. Eu utilizo o Google Authenticator. Depois de instalar em seu celular, você deve ler o QR code da tela e clicar no botão “I’m ready” para continuar.

Validação do aplicativo de token

Insira o número gerado pelo aplicativo para validar o 2FA.

Configurações adicionais

A identificação por dois fatores está ativa! Para ter uma melhor experiência, recomendo continuar fazendo algumas configurações adicionais.

Definir os métodos de identificação ativos

Novamente, recomendo só deixar ativa a primeira opção, que é a mais segura.

Habilitando para todos os usuários

Aqui você consegue forçar todos os usuários a usarem o 2FA. Esta é a configuração que melhor protege o seu site.

Excluindo usuários do 2FA

O plugin permite a exclusão de certos usuários ou funções. Como queremos que todos utilizem o 2FA, deixe esta tela em branco.

Limite para ativação do 2FA pelos usuários

É importante definir um limite de tempo para que os usuários ativem o 2FA em suas contas. Acredito que 7 dias é um tempo razoável para que isso seja realizado.

Notificar os usuários

Recomendo não fazer a notificação neste momento para poder fazer primeiro a personalização dos e-mails, que provavelmente estarão em inglês.

Gerar códigos de backup

Se por algum motivo você não tiver mais acesso ao dispositivo que gera o token, você pode usar um desses códigos.

Salvar códigos de backup

Recomendo fazer o download deles para armazenar digitalmente ou fisicamente em um local seguro.

Personalizando os e-mails

Você pode alterar todos os e-mails enviados pelo plugin acessando a tela: Painel Administrativo do WordPress > Menu lateral: Configurações > Two-factor Authentication > Aba: Email Settings & Templates.

Enviando a notificação

Com os e-mails personalizados, acesse agora a aba “2FA Settings” da configuração do plugin, vá até o final da página e clique em “Salvar alterações”. A janela da imagem será exibida e clicando em “Notify users & save settings” a notificação será enviada para todos os usuários.

Conclusão

Com a identificação por dois fatores (2FA – Two-factor Authentication) para todos os usuários do WordPress o seu site ficará bem mais seguro. Assim, caso algum usuário e senha sejam comprometidos, ainda assim não será possível acessar o painel administrativo pois será necessário ter o token.

É importante lembrar que segurança não é um objetivo que você atinge, mas um processo contínuo que sempre necessita de manutenção. Se você quiser conhecer mais maneiras para deixar o seu WordPress seguro, recomendo consultar a WordPress Security Checklist.



Comments

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *