Como se recuperar de um bloqueio 2FA do WordPress
Publicados: 2023-02-08Usar 2FA para proteger seu site WordPress é de longe uma das melhores medidas de segurança que você pode tomar. Ele adiciona uma camada adicional de segurança e é muito fácil de configurar. Além disso, tem um histórico comprovado de interromper a grande maioria dos ataques baseados em login, como ataques de força bruta. Embora muitos administradores do WordPress já tenham implementado o 2FA, muitos ainda evitam essa tecnologia. Uma das principais razões para isso é o equívoco sobre bloqueios.
Neste artigo, veremos as etapas preventivas que você pode executar para evitar bloqueios. Também veremos o que você pode fazer se tiver sido bloqueado devido à perda do dispositivo 2FA ou a uma interrupção do serviço.
Índice
- 2FA no WordPress
- Como planejar com antecedência – como evitar bloqueios 2FA
- Período de carência para configurar 2FA
- Métodos alternativos de verificação 2FA
- Como planejar depois - como fazer login se você estiver bloqueado no momento
- Por que os bloqueios acontecem?
- Autenticação de e-mail 2FA
- Autenticação de aplicativo autenticador 2FA
- WP2FA – Coma o bolo 2FA e coma também
- perguntas frequentes
- Não estou recebendo meu e-mail 2FA – o que devo fazer?
- Como soluciono problemas de capacidade de entrega de e-mail do WordPress?
2FA no WordPress
O 2FA pode ser facilmente implementado em qualquer site WordPress usando um plugin WordPress. Na maioria dos casos, o plug-in funciona independentemente de qualquer outro serviço e não requer nenhuma assinatura de terceiros. Isso reduz o número de 'partes móveis' no ecossistema. Alguns métodos 2FA, como SMS, Whatsapp e voz, exigirão uma assinatura separada para funcionar, pois dependem de redes de terceiros para fornecer a OTP (One Time Password) necessária para o funcionamento do 2FA.
Neste artigo, usaremos o plug-in WP 2FA para ilustrar as opções de recuperação 2FA ao usar 2FA no WordPress. Deve-se notar que o WP 2FA vem com nada menos que seis canais de autenticação diferentes para escolher, tornando-o um dos plugins WordPress 2FA mais abrangentes disponíveis no mercado atualmente.
Como planejar com antecedência – como evitar bloqueios 2FA
Planejar com antecedência costuma ser a melhor maneira de evitar as dores de um bloqueio 2FA. Se você já configurou o 2FA ou ainda está na fase de pesquisa, há etapas que você pode seguir para evitar bloqueios. Isso não apenas aliviará sua apreensão e a de seus usuários sobre a tecnologia, mas também evitará o tempo de inatividade e eliminará a perda de produtividade.
Período de carência para configurar 2FA
Um dos problemas que muitos administradores do WordPress enfrentam é que os usuários não configuram a autenticação de dois fatores dentro do período de cortesia fornecido. Dependendo de como a política é configurada, a conta do usuário pode ser bloqueada, exigindo que um administrador a desbloqueie.
Embora essa possa ser a opção mais segura, se você for um administrador gerenciando mais do que seu quinhão de usuários distraídos, convém bloquear o acesso ao painel até que o 2FA seja configurado. Isso garante que os usuários configurem o 2FA sem exigir intervenção de sua parte para desbloquear a conta.
Métodos alternativos de verificação 2FA
O WP2FA oferece uma seleção de métodos alternativos de autenticação 2FA para ajudá-lo a prevenir bloqueios. Como os bloqueios podem ocorrer por vários motivos que podem estar fora de seu controle – como um usuário esquecer ou perder o telefone – tomar medidas preventivas é sempre uma escolha inteligente.
Os métodos de verificação alternativos permitem que você escolha um método 2FA alternativo caso o método principal falhe. Aqui, um usuário pode configurar qualquer um dos métodos disponíveis como seus métodos primários e, em seguida, pré-configurar um método secundário. Vamos ilustrar isso com um exemplo. Um usuário pode ter o aplicativo TOTP Authenticator definido como método principal e e-mail como segundo. Se eles esquecerem o telefone, levá-lo para reparos ou ficar sem bateria, eles podem simplesmente optar por receber o OTP por e-mail.
O WP 2FA também oferece códigos de backup que os usuários podem fazer o pré-download para usar caso não consigam fazer login com seu método principal.
Como planejar depois - como fazer login se você estiver bloqueado no momento
Se você estiver bloqueado no momento e não tiver um método de backup ou método secundário configurado, ainda poderá recuperar o acesso à sua conta do WordPress. No entanto, levará apenas um pouco mais de trabalho, mas não deve demorar mais do que alguns minutos.
Antes de prosseguir, você deve primeiro verificar se há algum outro usuário administrador que ainda tenha acesso ao WordPress. Se for esse o caso, você pode solicitar que redefinam sua configuração 2FA por meio da página de perfil.
Se não houver ninguém que possa redefinir sua configuração 2FA, você precisará desativar manualmente o plug-in para poder acessar o WordPress sem precisar inserir seu código 2FA. Você precisará de acesso FTP/SFTP ou SSH para renomear o nome da pasta do plug-in. Isso desativará efetivamente o plug-in, permitindo que você faça login sem 2FA.
Por que os bloqueios acontecem?
Os bloqueios 2FA podem ocorrer por alguns motivos, dependendo do método escolhido. Saber por que você não está recebendo um código ou por que o código não está funcionando pode ajudá-lo a solucionar problemas com muito mais rapidez.
Autenticação de e-mail 2FA
A autenticação de e-mail é uma das maneiras mais fáceis de os usuários obterem seu código de autenticação para fazer login. Embora esse método funcione perfeitamente bem, você precisa se lembrar de que depende de seu site WordPress ser capaz de enviar e-mails em tempo hábil. Também depende de fatores fora de seu controle, como o encaminhamento de e-mails do seu provedor de hospedagem.
O WordPress usa a função wp_mail para enviar e-mails. A função é baseada na função mail do PHP, que não é a opção mais confiável para garantir a entrega de e-mails. Outra coisa a considerar é a sua hospedagem. Alguns provedores de hospedagem proíbem totalmente o e-mail para evitar que seus servidores sejam usados como spam.
Autenticação de aplicativo autenticador 2FA
Aplicativos como Google Authenticator e Authy geralmente fornecem uma maneira fácil de receber o código único necessário para fazer login com 2FA. Esses aplicativos usam um algoritmo baseado em tempo para ficar em sincronia, com a primeira sincronização feita por meio de um código QR.
Aplicativos e servidores podem ficar fora de sincronia, portanto, ressincronizar seu aplicativo pode corrigir seus problemas. Se você estiver trocando de telefone, o Google Authenticator permite que você transfira seus códigos de um telefone para outro. Por outro lado, Authy permite que você faça backups de seus códigos na nuvem, então tudo que você precisa fazer para recuperar seus códigos é fazer login com suas credenciais - seja em um novo telefone ou até mesmo em seu PC ou laptop.
WP2FA – Coma o bolo 2FA e coma também
A segurança do WordPress é fundamental para garantir a longevidade do seu site. O 2FA é uma fruta acessível que oferece um grande retorno para seus investimentos. Com muitas empresas de renome e especialistas apoiando a tecnologia, sua eficácia é indiscutível. No entanto, muitos administradores temem que os bloqueios de usuários sejam mais problemáticos do que o 2FA vale a pena. Como este artigo mostrou, esse não é o caso do WP2FA.
Com tantas maneiras de evitar bloqueios de usuários, não há razão para que os administradores do WordPress não ofereçam 2FA aos seus usuários. Planejar com antecedência é sempre recomendado, mas todos nós somos mais sábios quando olhamos para trás. É por isso que também abordamos o que você pode fazer para restaurar o acesso após o fato, fornecendo todas as informações necessárias para garantir que sua implementação de 2FA seja um sucesso retumbante.
Perguntas frequentes
Não estou recebendo meu e-mail 2FA – o que devo fazer?
Existem muitos motivos possíveis pelos quais você pode não estar recebendo seu e-mail 2FA. Na maioria dos casos, pode ser um problema do WordPress ter problemas para enviar e-mails ou um nó na cadeia, por um motivo ou outro, não encaminhar o e-mail corretamente.
O WP 2FA vem com um testador de e-mail integrado que pode permitir que você verifique se o e-mail está sendo enviado. No entanto, esta não é toda a história e, como tal, vale a pena dedicar um minuto para entender como os e-mails são enviados e entregues.
Em poucas palavras, o WP 2FA compõe o e-mail e o encaminha para o WordPress, que então envia o e-mail para o servidor SMTP configurado. O WordPress faz isso usando uma função chamada wp_mail, que é construída sobre a função de correio do PHP. Embora isso tenda a funcionar muito bem fora da caixa, pode ser propenso a problemas.
Como soluciono problemas de capacidade de entrega de e-mail do WordPress?
Um plugin como Check & Log Email é uma boa ferramenta para se ter. Ele registra todos os e-mails enviados e fornece ferramentas para depuração. O WP 2FA também permite que você teste a entrega de e-mail, que pode ser acessada em WP 2FA > Configurações > Configurações e modelos de e-mail. Se tudo correr bem aqui, o problema pode estar mais adiante. Você pode querer considerar optar por um plug-in de e-mail SMTP para melhorar a confiabilidade da entrega de e-mail.