Habilitando a identificação por dois fatores (2FA – Two-factor Authentication) para todos os usuários do WordPress9 min leitura

Aprenda neste passo a passo como adicionar a identificação por dois fatores (2FA – Two-factor Authentication) para todos os usuários de um site WordPress.

PorDaniel Kossmann

Há várias maneiras de deixar um site em WordPress mais seguro e o método de identificação por dois fatores é um jeito simples de adicionar uma camada de proteção no seu site. Neste artigo vou mostrar como fazer isto gratuitamente para todos os usuários do seu WordPress.

Sumário
  1. O que é a identificação por dois fatores (2FA – Two-factor Authentication)?
  2. Como habilitar a identificação por dois fatores para todos os usuários do WordPress?
  3. Como configurar o plugin WP 2FA – Two-factor Authentication for WordPress
  4. Validação do aplicativo de token
  6. Configurações adicionais
  8. Definir os métodos de identificação ativos
  10. Habilitando para todos os usuários
  12. Excluindo usuários do 2FA
  14. Limite para ativação do 2FA pelos usuários
  16. Notificar os usuários
  18. Gerar códigos de backup
  20. Salvar códigos de backup
  22. Personalizando os e-mails
  24. Enviando a notificação
  25. Conclusão

O que é a identificação por dois fatores (2FA – Two-factor Authentication)?

Para você acessar a área administrativa do WordPress é necessário inserir um usuário e senha. Ao utilizar a identificação por dois fatores, você estará adicionando uma segunda camada de verificação que exige dados adicionais. Daí o nome de identificação por dois fatores.

Provavelmente você já teve a experiência de um banco prover um dispositivo (normalmente chamado de token) que gera uma combinação temporária de números para você inserir no internet banking após digitar sua senha. Isto é um exemplo de identificação por dois fatores.

Como habilitar a identificação por dois fatores para todos os usuários do WordPress?

Pesquisando por plugins que adicionassem a identificação por dois fatores no WordPress, descobri algumas soluções interessantes, mas a maioria delas deixa como escolha de cada usuário habilitar ou não esta funcionalidade (como o ótimo plugin WordFence). Acredito que esta não deve ser uma configuração opcional pois se uma conta for comprometida, pode colocar em risco todo o site. Por conta disto, queria uma opção que forçasse todos os usuários do WordPress a configurarem o 2FA.

Depois de analisar e testar algumas soluções, encontrei o plugin gratuito WP 2FA – Two-factor Authentication for WordPress. Ele foi criado pela empresa WP White Security, que é especializada em criar plugins relacionados à segurança.

WP 2FA – Two-factor Authentication for WordPress

Como configurar o plugin WP 2FA – Two-factor Authentication for WordPress

Depois de instalar e ativar o plugin, ele vai abrir uma página com um passo a passo (wizard) para configurá-lo. Segue abaixo como fiz a minha configuração.

Tempo necessário :

15

Minutes

Custo:

0

BRL (Gratuito)

O que você precisa?

– Um site em WordPress;
– Plugin “WP 2FA – Two-factor Authentication for WordPress” instalado.

Passos para configurar o plugin WP 2FA No WordPress

Introdução

Esta tela aparece logo após a ativação do plugin, possibilitando iniciar o passo a passo ou pular ele. Vamos clicar no botão para iniciar!

Método de identificação por dois fatores

É possível escolher entre dois métodos do 2FA: por aplicativo ou e-mail. Escolhi a primeira opção por ser a mais segura.

Configuração do aplicativo de token

Você deve escolher um aplicativo para gerar o código temporário que vai liberar o acesso. Eu utilizo o Google Authenticator. Depois de instalar em seu celular, você deve ler o QR code da tela e clicar no botão “I’m ready” para continuar.

Validação do aplicativo de token

Insira o número gerado pelo aplicativo para validar o 2FA.

Configurações adicionais

A identificação por dois fatores está ativa! Para ter uma melhor experiência, recomendo continuar fazendo algumas configurações adicionais.

Definir os métodos de identificação ativos

Novamente, recomendo só deixar ativa a primeira opção, que é a mais segura.

Habilitando para todos os usuários

Aqui você consegue forçar todos os usuários a usarem o 2FA. Esta é a configuração que melhor protege o seu site.

Excluindo usuários do 2FA

O plugin permite a exclusão de certos usuários ou funções. Como queremos que todos utilizem o 2FA, deixe esta tela em branco.

Limite para ativação do 2FA pelos usuários

É importante definir um limite de tempo para que os usuários ativem o 2FA em suas contas. Acredito que 7 dias é um tempo razoável para que isso seja realizado.

Notificar os usuários

Recomendo não fazer a notificação neste momento para poder fazer primeiro a personalização dos e-mails, que provavelmente estarão em inglês.

Gerar códigos de backup

Se por algum motivo você não tiver mais acesso ao dispositivo que gera o token, você pode usar um desses códigos.

Salvar códigos de backup

Recomendo fazer o download deles para armazenar digitalmente ou fisicamente em um local seguro.

Personalizando os e-mails

Você pode alterar todos os e-mails enviados pelo plugin acessando a tela: Painel Administrativo do WordPress > Menu lateral: Configurações > Two-factor Authentication > Aba: Email Settings & Templates.

Enviando a notificação

Com os e-mails personalizados, acesse agora a aba “2FA Settings” da configuração do plugin, vá até o final da página e clique em “Salvar alterações”. A janela da imagem será exibida e clicando em “Notify users & save settings” a notificação será enviada para todos os usuários.

Conclusão

Com a identificação por dois fatores (2FA – Two-factor Authentication) para todos os usuários do WordPress o seu site ficará bem mais seguro. Assim, caso algum usuário e senha sejam comprometidos, ainda assim não será possível acessar o painel administrativo pois será necessário ter o token.

É importante lembrar que segurança não é um objetivo que você atinge, mas um processo contínuo que sempre necessita de manutenção. Se você quiser conhecer mais maneiras para deixar o seu WordPress seguro, recomendo consultar a WordPress Security Checklist.

Daniel Kossmann é graduado em Magia Ciência da Computação pela UFPR e (in)formado em jornalismo cultural, desenho e tradução pela Universidade Kósmica, tendo obtido com louvor o título de Kosmonauta. Nas horas vagas, gosta de viajar para universos paralelos.
Se você gostou dos meus textos, me ajude a escrever mais.

Posts Similares

Como utilizar wp_rel_nofollow() no WordPress

Como utilizar wp_rel_nofollow() no WordPress

Explicação de como utilizar a função PHP wp_rel_nofollow() do WordPress e um exemplo prático de código para adicionar rel=”nofollow” em todos os links do conteúdo do WordPress.

Como utilizar convert_smilies() no WordPress (PHP)

Como utilizar convert_smilies() no WordPress (PHP)

Aprenda como utilizar a função convert_smilies() do WordPress, com um exemplo prático de código PHP para desabilitar a conversão automática de smilies para imagens, assim como a explicação da diferença entre emojis e smilies.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *