• Pagina inicial
  • Artigos
  • Guia
  • Autenticação 2FA do WordPress: informações detalhadas sobre este elemento essencial de segurança do site

Autenticação 2FA do WordPress: informações detalhadas sobre este elemento essencial de segurança do site

Publicados: 2023-06-12

Embora o 2FA seja uma solução simples no front-end e no back-end, há muita coisa acontecendo sob o capô. É uma maneira suplementar fantástica de adicionar mais uma camada de segurança a um site e capacitará os usuários a ajudar a manter seu site e suas informações seguras também.

Neste tutorial, falaremos sobre 2FA – especificamente a autenticação 2FA do WordPress. Ao longo, veremos o que é isso, sua escolha de senhas, como implementar 2FA em seu site e muito mais.

O que é 2FA (e o que pode ajudá-lo a alcançar)

Resumindo, a Autenticação de Dois Fatores é uma medida de segurança que fornece uma camada adicional de proteção além de suas credenciais de login típicas. Com 2FA, um usuário precisa fornecer uma segunda informação, geralmente um código numérico – uma senha única baseada em tempo (TOTP):

Um prompt de front-end solicitando um código SMS 2FA

A informação adicional que você normalmente verá é um código numérico que expira após um curto período de tempo:

Em um sentido técnico, o 2FA requer duas formas de autenticação do usuário. O primeiro 'fator' é a informação que o usuário conhece, como uma senha. O segundo fator é algo que o usuário possui, como um token ou código que é enviado a um dispositivo. Mesmo que a senha de um usuário seja conhecida, você ainda precisará desse segundo fator para verificar e autenticar a sessão.

No entanto, os métodos modernos incluem informações como uma impressão digital. Independentemente disso, o conceito-chave é que você fornecerá uma informação à qual ninguém mais terá acesso. Se essas informações estiverem alinhadas com o que você está sendo solicitado a fornecer, você obterá o acesso de que precisa.

2FA e WordPress

2FA torna-se ainda mais relevante quando se trata de logins de usuários do WordPress; o Content Management System (CMS) é a plataforma de website número um no mercado. Isso se deve em parte à sua segurança central estelar. No entanto, uma plataforma tão popular pode se tornar um alvo de segurança.

Por exemplo, em 2021, a Sucuri corrigiu quase 50.000 sites invadidos. A maioria foi culpa de vulnerabilidades em plugins e temas desatualizados. Além disso, ataques de força bruta podem dizimar redes de sites. O Wordfence relata um recente ataque de botnet atingindo milhões de sites WordPress.

Ambos os exemplos mostram como o erro do usuário pode prejudicar a segurança do WordPress, especialmente se você não acompanhar as atualizações de plugins e temas. No entanto, usar 2FA é uma maneira eficaz de proteger seu site WordPress contra ataques, dar aos seus usuários alguma responsabilidade e muito mais.

Uma segunda forma de autenticação não apenas manterá os malfeitores fora de suas contas, mas permitirá que você trabalhe remotamente com maior segurança. Toda a sua base de usuários também terá responsabilidade por sua própria segurança, o que torna todo o seu site mais seguro.

No geral, o 2FA é uma maneira crucial de interromper o acesso não autorizado a informações confidenciais, aumentar a confiança do usuário e cumprir parcialmente as diretivas de segurança de dados. É uma medida vital de trabalho e segurança, especialmente para plataformas populares como o WordPress. Isso também significa que sua escolha de senha é um obstáculo menor. No entanto, este é um assunto complexo que requer mais profundidade.

Como a má escolha da senha causará estresse

Todos os anos, muitos meios de comunicação e sites publicam uma lista de senhas ruins, e a lista parece sempre semelhante. Por exemplo, o Guia do Tom mostra algumas das senhas mais comuns, porém fracas, para usuários finais:

  • qwerty
  • 123456
  • senha

No entanto, os usuários administrativos e de back-end também se deparam com o uso de senhas fracas e perigosas. Por exemplo, admin , root e guest aparecem na lista em posições altas. Na verdade, a senha de administrador é mais preocupante quando você considera que a função de administrador padrão do WordPress também tem o nome de usuário “admin”.

Independentemente disso, essas senhas podem ser quebradas quase em segundos usando técnicas de força bruta e ferramentas automatizadas. No entanto, combinado com uma solução como Melapress Login Security, você pode garantir que um usuário crie uma senha forte e também proteja seu site ainda mais usando 2FA.

Como o usuário precisa autenticar seus dados por meio de um aplicativo ou tecnologia de terceiros, essa é uma maneira significativa de reduzir o risco de acesso não autorizado. Além disso, você pode fortalecer e reforçar suas políticas de senha forte e também evitar violações de dados e outros ataques cibernéticos.

Embora o 2FA seja uma maneira fantástica de garantir a responsabilidade do usuário e reforçar um ponto fraco na segurança do seu site, não é o único. A seguir, veremos como suas outras provisões funcionam junto com o 2FA para fornecer um serviço ainda melhor.

Como o 2FA se encaixa junto com sua provisão de segurança atual

2FA não é uma tática de segurança de tamanho único. Em vez disso, ele entra em sua provisão de segurança geral como algo suplementar. Dessa forma, você e seus usuários ainda precisarão aderir às implementações de segurança típicas:

  • Use senhas fortes. Você vai querer escolher algo longo, pois isso aumentará o tempo que leva para quebrar. Embora o 2FA não dependa da necessidade de senhas fortes, ainda é recomendável fazer o máximo possível para proteger suas credenciais de login. Melapress Login Security é ideal para a tarefa.
  • Faça atualizações frequentes de software. Para WordPress, isso inclui plugins, temas e arquivos principais. Mais tarde, discutiremos os plug-ins de autenticação 2FA do WordPress, e eles são super importantes para se manter atualizado.

Para tocar um pouco mais nas senhas, combinar senhas fortes com 2FA pode garantir que apenas você possa acessar uma conta. Por exemplo, uma conexão Wi-Fi insegura em um local de trabalho local pode comprometer sua senha. No entanto, você ainda precisa fornecer a segunda forma de autenticação para obter acesso à conta.

Uma senha mais forte, quase imune a cracking, também não prejudicará os recursos do seu servidor. Isso ocorre porque você não terá várias tentativas de login (e possíveis solicitações 2FA) de um número potencialmente grande de endereços IP.

Você pode levar isso ainda mais longe e combinar 2FA com proteção de força bruta dedicada. Este conceito está além do escopo deste post, mas existem muitos plugins de segurança do WordPress (como Wordfence ou Jetpack Security) que podem fornecer uma solução robusta.

Escolhendo o 'formato' 2FA certo para você

Um dos benefícios da autenticação de dois fatores é a flexibilidade de como você a implementa. Você tem quatro maneiras distintas de empregar 2FA:

  • Um SMS, método baseado em texto.
  • Autenticação do email.
  • Aplicativos dedicados, como Authy, Sentinel, Duo e muitos mais.
  • Notificações via push.

Cada um deles alcança o mesmo resultado de maneiras diferentes, mas não são todos iguais. Vamos detalhar cada um deles, juntamente com os prós e contras.

SMS

O método 2FA padrão para muitos serviços online é enviar um código de autenticação para um dispositivo móvel por mensagem de texto. Você precisará inserir seu número de telefone em um campo específico, que enviará um código com limite de tempo.

Um SMS exibindo um código de dois fatores para autenticar um login

Os benefícios aqui incluem a necessidade de nenhum outro aplicativo de terceiros para ajudar a autenticar seu login e a imensa facilidade de configuração e uso. No entanto, o SMS tem graves desvantagens. Primeiro, você terá que passar mais informações pessoais pela web (seu número de telefone) para fazer uma verificação.

Há algumas coisas a serem lembradas ao escolher o 2FA baseado em SMS. Em primeiro lugar, estão as tarifas de rede cobradas pela operadora de rede para entrega de SMS. Em segundo lugar, as mensagens SMS não são criptografadas e são vulneráveis ​​à troca de cartão SIM. Mesmo assim, pode oferecer melhor proteção para usuários que podem não ser tão experientes tecnologicamente.

Notificações por e-mail

As notificações por e-mail são semelhantes aos métodos de autenticação por SMS. É aqui que você inserirá um endereço de e-mail na página de login, que receberá um código ou token para autenticar sua sessão.

Recebendo uma notificação por e-mail para autenticar uma sessão de login.

A autenticação 2FA de e-mail é fácil e direta de usar – você só precisará acessar sua caixa de entrada para validar seu login.

Se o e-mail não estiver criptografado, ele pode se tornar suscetível a um ataque de 'machine-in-the-middle' ou similar. No entanto, você pode tomar medidas para proteger seus e-mails do WordPress e evitar os riscos normalmente associados a e-mails não criptografados.

Notificações via push

As notificações por push procuram preencher a lacuna entre a autenticação por e-mail e SMS. Envolve o recebimento de uma notificação em um smartphone que você precisará aprovar antes de fazer login em uma conta. A Apple é uma empresa que usa esse método para configurar dispositivos confiáveis ​​em seu ecossistema.

Uma notificação push em um dispositivo Apple.
Uma notificação push em um dispositivo Apple.

Este método também é conveniente e fácil de usar como e-mail e SMS. Outro benefício é que geralmente não depende de senhas, códigos ou tokens. Este é um fantástico elemento de experiência do usuário (UX) que pode tornar as contas mais seguras sem quase nenhum pensamento ou trabalho para o usuário.

No entanto, a abordagem ainda tem desvantagens. Como uma notificação por push é tão fácil de aprovar, um usuário ocupado pode fazê-lo sem querer. Existem estudos que sugerem que o tempo de atenção de um usuário diminui com base no maior número de notificações que ele recebe, o que pode ser um problema.

Para esse fim, é importante educar os usuários sobre a segurança adequada da conta. Notificações por push inesperadas nunca devem ser aprovadas e solicitações frequentes devem ser relatadas para investigação adicional.

Usando um aplicativo

A maneira típica de sobrecarregar sua implementação 2FA é usar um aplicativo. Existem muitos por aí: Google Authenticator, Authy, Duo, Sentinel, Microsoft Authenticator e quase inúmeros outros.

O aplicativo Sentinel sendo exibido na tela de um iPhone.
O aplicativo Sentinel sendo exibido na tela de um iPhone.

Esses aplicativos gerarão um código único para cada site a cada 30 segundos que você inserirá no site em questão para verificar e autenticar o login. É considerada uma das abordagens mais seguras. No entanto, assim como as notificações por push, você ainda precisará de dispositivos compatíveis e acesso à Internet para usar o aplicativo.

Qual formato 2FA escolher

Ter 2FA é uma opção melhor do que não ter 2FA. Embora certos métodos, como aplicativos 2FA, sejam mais seguros do que outros, também devemos reconhecer que nossa base de usuários pode ser muito diversificada.

Você também vai querer reduzir a barreira de entrada e garantir que os usuários se sintam confortáveis ​​com o 2FA. Para esse fim, quanto mais opções você puder oferecer aos seus usuários, melhor, pois isso ajudará você a garantir que sua implementação 2FA seja um sucesso retumbante.

Apresentando o WP 2FA: a melhor maneira de implementar a autenticação 2FA do WordPress

Existem muitos plug-ins de autenticação de dois fatores do WordPress disponíveis. Por exemplo, miniOrange e autenticação de dois fatores oferecem uma ampla gama de recursos e têm o apoio de muitos usuários satisfeitos.

No entanto, o plug-in WP 2FA oferece funcionalidade, suporte e custo para torná-lo sua solução número um. É uma maneira importante de adicionar autenticação de dois fatores ao seu site WordPress.

O logotipo WP 2FA.
O logotipo WP 2FA.

Recomendamos que você verifique as especificações da versão gratuita, mas com a edição premium, você obtém todas as funcionalidades de que precisa:

  • Você pode escolher entre vários métodos 2FA diferentes, para atender às suas necessidades e às de seus usuários.
  • Você pode personalizar suas políticas 2FA. Isso envolve elementos como tornar o 2FA obrigatório, oferecer um período de carência e muito mais.
  • Não há necessidade de os usuários acessarem o painel do WordPress. Você pode oferecer autenticação de login por meio do front-end do seu site.
  • Também existem muitas integrações de serviços de terceiros, como Twillo e Authy. Isso permite que você forneça outros métodos de autenticação aos usuários.

Quando se trata de preço, o WP 2FA oferece imenso valor. Por exemplo, a licença WP 2FA Starter custa $ 29 por ano. Isso permite que você instale a versão completa do WP 2FA em quantos sites precisar e ofereça autenticação de login para cinco usuários. Existem planos flexíveis para aumentar o limite de usuários e o conjunto de recursos.

Melhor ainda, usar o WP 2FA é muito fácil. A seguir, mostraremos como.

Como usar o WP 2FA para fortalecer a segurança do site do usuário

WP 2FA tem todos os recursos e funcionalidades que você precisa para implementar a autenticação WordPress 2FA em seu site. Além do mais, é fácil de configurar e usar. O processo de instalação é muito parecido com qualquer outro plugin gratuito do WordPress. Você pode encontrá-lo usando a barra de pesquisa na tela Plugins > Adicionar novo :

Encontrar o plug-in WP 2FA no painel do WordPress.
Encontrar o plug-in WP 2FA no painel do WordPress.

A partir daqui, clique nos botões Instalar agora e Ativar e aguarde o WordPress concluir o processo de instalação. Neste ponto, você está pronto para configurar o 2FA no seu site WordPress.

1. Configure o WP 2FA usando o assistente de configuração

O WP 2FA pode realizar todo o trabalho pesado relacionado à autenticação 2FA do WordPress para você. O Assistente de configuração é executado em quatro etapas até a conclusão com base em diferentes políticas e métodos de implementação.

O Assistente de configuração começa com uma página de boas-vindas e você deve clicar no botão Vamos começar para continuar:

O assistente de configuração WP 2FA.

As duas primeiras etapas analisam quais métodos 2FA você gostaria de implementar. Você usará as caixas de seleção para adicionar 2FA baseado em aplicativo e 2FA de e-mail ao seu site. A versão premium do plug-in inclui métodos adicionais que você também pode selecionar.

Escolher métodos 2FA no Assistente de configuração.

Depois de clicar para continuar, você também pode fornecer aos usuários códigos de backup caso eles precisem configurar o 2FA com outro aplicativo ou dispositivo. A versão premium do WP 2FA permite oferecer opções de autenticação mais alternativas.

A terceira tela do Assistente de configuração permite que você escolha para quem aplicar o 2FA. Existem três botões de opção aqui para selecionar todos os usuários, nenhum usuário e usuários e funções específicos:

Escolher para quem aplicar as políticas 2FA no Assistente de configuração.

Observe que você verá opções extras se escolher Todos os usuários ou Somente para usuários e funções específicos . Isso permitirá que você especifique usuários para excluir ou funções para incluir como parte de sua política.

Adicionando funções de usuário a uma política 2FA no Assistente de configuração.

Depois de escolher All Done , você verá uma solicitação para configurar o WP 2FA para sua própria conta de usuário. O processo está quase completo.

2. Configure o WP 2FA para sua conta de usuário

Depois de configurar a autenticação 2FA do WordPress, você pode configurar 2FA para sua própria conta de usuário.

As opções disponíveis incluirão os métodos disponibilizados no assistente de configuração. Alguns métodos, como notificação por SMS e Push, exigirão configuração adicional, pois exigem o funcionamento de provedores de serviços terceirizados. Neste exemplo, usaremos o método de aplicativo 2FA TOTP.

Se você ainda não possui um aplicativo 2FA, o download de um deve ser o primeiro passo. Há muito por onde escolher e o WP 2FA oferece compatibilidade universal. O principal recurso que você precisa é digitalizar o código QR no painel do WordPress usando seu aplicativo:

O código QR WP 2FA no back-end do WordPress.

Depois de executar o assistente, você poderá usar a autenticação 2FA do WordPress para o seu site.

Resumindo

A autenticação de dois fatores é uma das melhores e mais fáceis maneiras de proteger uma conta online. Ele depende da verificação usando um token ou código obtido de um dispositivo que você possui. Dessa forma, sem esse código, suas contas estão seguras – mesmo que sua senha seja comprometida.

O plug-in WP 2FA permite implementar a autenticação 2FA do WordPress em minutos, sem a necessidade de conhecimento técnico. O Assistente de configuração conduz você por todo o processo e você tem

Enquanto a versão gratuita do WP 2FA é completa, a versão premium do 2FA oferece mais. As licenças começam em $ 29 por ano e cada uma permite configurar cinco usuários para o seu site.

Parceiro de Hospedagem de Agência

BionicWP

Links de amigos

    Em caso de violação, entre em contato conosco, seremos excluídos em 3 dias. Email:

    © 2025 Copyright www.wpade.com. All Rights Reserved.