Torne seu site mais seguro com autenticação multifator

Publicados: 2022-03-11

Talvez você esteja cansado de memorizar tantas senhas diferentes e suponha que sua empresa de hospedagem está cuidando da segurança do seu site. Mas garanto a você: se você proteger e cuidar da segurança do seu site, você se salvará de grandes desagradáveis e consequências indesejadas. Tenha em mente que uma violação de segurança em seu site não afeta apenas você e sua empresa, mas também pode afetar seus clientes e você pode até acabar com problemas legais por não ter tomado as medidas de segurança adequadas.

Para ajudá-lo a dormir um pouco mais fácil (se isso for possível nos dias de hoje), explicarei como você pode tornar seu site WordPress mais seguro com autenticação multifator.

Índice

O que é autenticação multifator (MFA)
Por que devo adicionar MFA ao meu site WordPress
Como implementar a verificação em duas etapas
- Autenticador do Google
- Instalar e ativar um plug-in para 2FA
- Configurar o plug-in
- Adicionar a conta configurada ao aplicativo móvel
Conclusão

O que é autenticação multifator (MFA)

Você não apenas viu a autenticação multifator (MFA) em muitos filmes, mas já a usa para confirmar pagamentos online com seu cartão de crédito ou acessando seu e-mail, entre outros. É um método de controle de acesso a computadores em que uma pessoa só tem acesso após apresentar mais de um comprovante de identidade diferente. Essas provas ou fatores de autenticação podem ser diversos:

Algum objeto físico que a pessoa possua, como um pendrive com um identificador único, um cartão de crédito, uma chave, etc.
Algum segredo que a pessoa conheça, como senha, pin, etc.
Alguma característica biométrica da pessoa, como impressão digital, íris, voz, velocidade de digitação, padrão de intervalo de pressionamento de tecla, etc.

O caso de combinar apenas dois fatores também é conhecido como “verificação em duas etapas” ou “autenticação de dois fatores” ou “2FA”. E a ideia é que a autenticação multifator sempre seja mais segura do que apenas um nome de usuário e senha.

Por que devo adicionar MFA ao meu site WordPress

Um dos métodos para quebrar senhas ainda é um ataque de força bruta. Este ataque consiste, como o nome sugere, em testes brutos de possíveis combinações de usuários e senhas. Esses tipos de ataques são realizados por botnets usando algoritmos e ferramentas cada vez mais sofisticados.

Muitas empresas de hospedagem já incluem firewalls e outras ferramentas para prevenir tais ataques. Mesmo assim, também existem outras recomendações que podem ajudar a mitigar uma violação de segurança, como forçar os usuários a adicionar senhas fortes ou forçá-los a alterá-las a cada 3 meses.

Gif em que o ator Ken Jeong comenta que não se lembra de sua nova senha.

Mas adicionar autenticação multifator ao seu site o torna 100% seguro contra ataques de força bruta. Esse fator extra e etapa de identificação da pessoa é xeque-mate para esse tipo de bot.

Como implementar a verificação em duas etapas

Adicionar uma verificação em duas etapas significa que teremos que adicionar uma etapa de verificação adicional à autenticação usual de usuário e senha. A maneira mais fácil é que cada usuário tenha instalado em seu telefone um aplicativo de autenticação que exiba um código temporário válido apenas por alguns segundos e que seja este que eles devem adicionar como forma de verificação (além da senha ).

Os aplicativos móveis mais conhecidos são Google Authenticator, Authy, HENNGE OTP, FreeOTP ou SoundLogin (no caso de autenticação de som), entre outros. Todos eles disponíveis como aplicativos para Android e iOS.

Vamos ver abaixo como podemos implementar a verificação em duas etapas com o Google Authenticator. Observe que o processo seria muito semelhante com qualquer um dos aplicativos mencionados.

Autenticador do Google

O Google Authenticator é um aplicativo simples que está disponível no Android e iOS e simplesmente exibe um código numérico de 6 dígitos que muda a cada 30 segundos. Este é o que você deve usar depois de fazer login no WordPress ou em qualquer outro serviço em que o esteja usando, como serviço de e-mail, hospedagem, nuvem, redes sociais etc. Para cada conta, você verá um código e o tempo restante até que seja atualizado.

Códigos exibidos no aplicativo Google Authenticator

Todas as pessoas que acessarem seu WordPress usando 2FA devem baixar o aplicativo Google Authenticator em seu celular para verificar sua identidade com este sistema.

Instalar e ativar um plug-in para 2FA

Existem vários plugins disponíveis que permitem que você execute a autenticação do usuário em duas etapas, como o Google Authenticator, o Wordfence Login Security, o Google Authenticator da miniOrange ou a autenticação de dois fatores. Vamos ver as etapas a seguir com o plug-in Google Authenticator.

Antes de tudo, no seu painel do WordPress, clique em “Adicionar novo” plugin:

Visualização das ações para adicionar um novo plugin no WordPress — Adicionar novo plugin no WordPress

Encontre o plugin que deseja instalar, que no nosso caso é o “Google Authenticator”, e clique em “Install” e “Activate:”

Encontre o plug-in do Google Authenticator — Procure o plug-in do Google Authenticator.

Configurar o plug-in

Após ativar o plugin, você terá a nova opção de configurações do Google Authenticator.

Plugin do autenticador do Google instalado no WordPress — Plugin Google Authenticator instalado no WordPress.

Na janela de configuração do Google Authenticator, você tem a opção de indicar se deseja que os próprios usuários decidam se devem ou não usar a autenticação dupla e quais funções você deseja ativar a autenticação dupla.

Configurando o plug-in do autenticador do Google.

Em seguida, no perfil de cada usuário que possui uma das funções marcadas com autenticação dupla, você encontrará as opções de configuração do Google Authenticator.

Adicionando 2FA com o Google Authenticator.

Você pode indicar se o usuário deve ter o 2FA ativado, se o usuário precisa de mais tempo para fazer login, o nome da conta exibida no aplicativo instalado em seu telefone, um código secreto, mostrar o código QR e se permite adicionar um senha no aplicativo.

Adicionar a conta configurada ao aplicativo móvel

Agora, na primeira vez que alguém que foi instruído a fazer login com 2FA fizer login, a janela a seguir aparecerá solicitando que ele escaneie seu código QR em seu celular e confirme o código gerado que ele vê no aplicativo.

Tela inicial do WordPress com o Google Authenticator — Tela inicial do WordPress após fazer login e ativar o Google Authenticator.

No aplicativo Google Authenticator em seu celular, o usuário deve clicar no botão “+” no canto inferior direito da tela do aplicativo para adicionar uma nova conta, selecionar para escanear um código e, após escanear o código mostrado pelo seu site WordPress , a configuração estará pronta.

Digitalize o código QR no Google Authenticator

Agora, basta o usuário inserir o código que aparece no app na tela inicial e a configuração está concluída.

Na próxima vez que o usuário quiser acessar o site, ele terá que fazer isso em duas etapas: primeiro digitando seu nome de usuário e senha e, em seguida, seu código Google Authenticator.

Primeiro passo de acesso ao site WordPress.

Segundo passo de acesso ao site WordPress — Primeiro passo de acesso ao site WordPress.

E é isso! Com isso, você terá garantido duplamente a segurança do seu site.

Conclusão

Manter a segurança do seu site envolve seguir um conjunto de práticas recomendadas para minimizar o risco de ser vítima de ataques. Embora se proteger 100% seja impossível, você já viu que instalar uma dupla barreira de segurança em seu site é simples e gratuito , então não espere até ter um problema quando você sabe que é melhor prevenir do que remediar!

Imagem em destaque de FLY:D no Unsplash.