Autenticação de dois fatores (2FA) no WordPress
A segurança do WordPress é sempre uma questão que deve ser levada muito a sério pelos donos de site, não é mesmo, Kangaroozinho? Sendo a plataforma de criação de sites mais utilizada em todo o mundo, ela também se torna a mais visada para ataques, já que a maioria dos sites a utiliza.
Ataques como o de brute force, que explicamos neste outro artigo, utilizam bots para tentar incessantemente descobrir as credenciais de acesso de um site, o que poderia até mesmo conceder acesso total se o ataque for bem sucedido. Por isso, a autenticação de dois fatores surge como uma camada extra de proteção, que pode ajudar a contornar esse problema.
Sumário
- O que é?
- Como ativar no WordPress?
- Conclusão
O que é a autenticação de dois fatores?
Alguma vez, tentou acessar um site e ele pediu que você confirmasse um código enviado via e-mail ou SMS? Essa é uma prática que tem se tornado cada vez mais comum, e é exatamente o que configura uma autenticação de segundo fator, ou também chamada de 2FA (Two-Factor Authentication).
Em suma, ela consiste em adicionar uma verificação extra, fazendo com que apenas acertar os dados de login e senha não sejam suficientes para completar o login. Dessa forma, uma outra confirmação externa é necessária, normalmente através de um código ou palavra chave.
Além dos envios via e-mail e SMS, existe também outros métodos, como o TOTP, que vem do inglês para Senha temporária de uso único. Ela consiste em um código temporário, que normalmente muda a cada 30 segundos, e é usado para a validação. Normalmente, esse código é mostrado em aplicativos como o Google Authenticator.
Isso é uma ótima forma de garantir uma segurança a mais para seu acesso, já que mesmo que alguém tenha acesso de alguma às suas credenciais de acesso, ele ainda precisará ter também acesso ao código que chegará no dispositivo configurado por você, tornando uma invasão muito mais difícil
Como ativar o 2FA no WordPress?
Infelizmente, o WP não conta com uma forma nativa de ativar essa funcionalidade em seu site. Por isso, é necessário instalar plugins que implementem essa função, existindo para isso plugins de segurança que contam com esse recurso, e plugins específicos para a segurança de login.
Qual tipo de plugin escolher é uma escolha totalmente pessoal e que atenda melhor o seu projeto. Se tratando de WordPress, é sempre bom usar o menor número de plugins possível, para deixar o site mais performático e ter menos pontos que possam se tornar brechas, por isso a escolha da redação sempre seria de plugins que tenham uma gama maior de funções, para permitir usar menos plugins.
De toda forma, essa é uma escolha feita projeto a projeto, por isso consulte sempre seu time de programação para entender qual seria a melhor alternativa para o seu caso. Avisos dados, vamos para as nossas principais recomendações de ferramentas:
Plugins de segurança
Dentre os plugins de segurança, temos alguns plugins bastante populares, e que contam com o 2FA como um recurso incluído, como por exemplo:
Shield Security
O Shield é um plugin de segurança extremamente completo, com ferramentas de Scan, WAF, verificação de integridade de arquivos e, como não poderia faltar, conta também com recursos de proteção de login, como a ocultação do URL do WP Admin e o 2FA via e-mail e TOTP, permitindo em poucos cliques ativar essa autenticação extra em seu site.
Defender Security
O plugin Defender foi desenvolvido pela famosa WPMU DEV, a criadora do Smush. Esse é um plugin bastante leve e simples de configurar, contando com apenas alguns recursos básicos de segurança, mas fazendo tudo de forma muito eficiente. Esse esses recursos, é possível ativar o 2FA tanto para e-mail quanto para TOTP.
Plugins de segurança de login
Wordfence Login Security
O WordFence Login é uma versão “reduzida” do plugin original do WordFence, contando apenas com as funcionalidades voltadas ao login, como controle de IPs, Recaptcha e, claro, autenticação de dois fatores através de TOTP, possuindo também códigos de recuperação, sendo uma ferramenta bastante completa para a proteção do login.