Nós falamos bastante sobre a segurança do WordPress aqui no #WP24H. Hoje vamos falar sobre um método que inclusive nós utilizamos aqui no site, que pode tornar seu site ainda mais seguro. As dicas que vamos compartilhar com você usam a autenticação em dois fatores (two-factor) ou em dois passos (two-steps), que adiciona uma camada extra de proteção para o processo de login.
Mesmo considerando que alguém obtivesse o acesso aos dados de login do seu #WordPress, usando um dos métodos abaixo, ele não será capaz de fazer login no site, a menos que possa completar o segundo nível de autenticação. Este segundo nível exigirá a utilização de um smartphone para completar a camada adicional do processo de autenticação. Então, a menos que o candidado à hacker tenha acesso ao seu smartphone também, seu nome de usuário e senha não serão suficientes para que obtenham acesso administrativo ao site.
Vejamos então alguns caminhos para aumentar a Segurança do seu site WordPress:
#1. Clef
O serviço Clef, acaba com nomes de usuários e senhas totalmente, substituindo-os por uma autenticação em conjunto com um smartphone. Uma vez ativado em seu site, o formulário de login é alterado para não exibir o formulário com nome de usuário e senha normal. Embora você possa optar por continuar usando o login normal ao lado do serviço Clef.
Em vez disso, ao fazer login em seu site WordPress, você verá a Clef Wave. A onda, que funciona de forma semelhante a um QR code, que precisa ser digitalizado usando o aplicativo #Clef em seu smatphone. Se o smartphone se igualar ao site, você obterá acesso ao site.
Configurar o serviço é muito fácil e requer apenas a instalação do aplicativo gratuito em seu celular, que está disponível para iOS e Android, e também a instalação de um plugin WordPress grátis.
Uma vez instalado e ativado, é apenas um caso de configurar os dois dispositivos para trabalharem juntos, via página de configuração do plugin. As opções permitem a você pedir a credencial de login ou ignorá-la por completo, e só usar o Clef na tela de login.
Existem também alternativas para o caso de você perder o celular. Ao inserir seu PIN no site do Clef, eles podem desativar o serviço remotamente.
Em geral, este é um bom serviço gratuito que traz a autenticação two-factor para o seu site WordPress, tornando até mais fácil e rápido fazer o login, na maioria dos casos. Se você está cansado de tentativas de login maliciosas, então este plugin de #SegurançaWordPress pode modificar a página de login para tornar seu site ainda mais seguro.
Prós: Moderno e com um bom visual; vem com um aplicativo fácil de usar para smartphones; e um bom suporte ao seu telefone não vai faltar.
Contras: A digitalização da tela pode ser um pouco difícil em certas situações, levemente confuso.
#2. Rublon for WordPress
Rublon é um plugin e serviço, que funciona de forma semelhante à Clef, mas em vez de usar a onda (Clef Wave), ele usa um (mais familiar) QR code. O serviço de autenticação Rublon de dois fatores, pode ser configurado em seu site WordPress facilmente, basta instalar o plugin Rublon e, em seguida, instalar o aplicativo móvel gratuito em um smartphone suportado.
No entanto, esta opção difere da Clef de maneira que você pode definir um dispositivo como sendo de confiança, como seu notebook, por exemplo. Então, depois de ter logado uma vez usando seu notebook, juntamente com a leitura do código QR em seu telefone, você poderá fazê-lo novamente sem a necessidade de digitalizar o QR code. Isso, então, faz com que o processo de login seja um aborrecimento à menos.
Alternativamente, você pode optar por não listar um dispositivo como confiável, desta forma, será sempre obrigado a digitalizar o QR code com seu smartphone, cada vez que for autenticar no site.
A ideia é que se você perder suas senhas para o site, quem tiver acesso às suas credenciais de login ainda não será capaz de entrar, a menos que também autentiquem usando o Rublon. Este processo de autenticação envolve a leitura do QR code na página de login com o aplicativo em seu dispositivo móvel. A não ser que o telefone caia em mãos erradas também, ou seu dispositivo confiável, seu site permanecerá seguro.
O #Rublon funciona bem, e a capacidade de definir um dispositivo como confiável, eliminando a necessidade de digitalizar o QR code toda vez, faz com que seja uma maneira convincente de adicionar autenticação two-factor para seu site WordPress.
Prós: Fácil de usar e o aplicativo para smartphone faz um bom trabalho de digitalização do QR code.
Contras: A digitalização de um QR code é a escolha certa para você na hora de fazer o login?
#3. Google Authenticator
Este plugin gratuito e serviço, permite que você aplique a autenticação dois fatores no seu site WordPress, usando o aplicativo #GoogleAuthenticator no seu smartphone. Como o serviço Google Authenticator pode ser usado em uma série de outros serviços como Gmail, Dropbox, Amazon, etc, há uma boa chance de que você já possa estar usando este serviço. Se não, é uma boa maneira de começar a proteger os seus serviços, com a simples instalação de um aplicativo – Eu, particularmente, uso.
Para usá-lo em seu site WordPress, você precisa instalar o plugin gratuito Google Authenticator. Uma vez instalado e ativado, o plugin irá adicionar um campo extra no formulário de login em seu site, o que exige a inserção do seu código do Google Authenticator.
Para obter o código, você vai precisar instalar o aplicativo Google Autenticator em seu telefone Android ou ser capaz de receber uma mensagem de texto, caso use um seu iPhone. Com o aplicativo instalado no seu Android, você pode então, gerar um código para entrar como parte do seu processo de login. Você pode definir um dispositivo como confiável, como seu notebook, para evitar que tenha que gerar e introduzir o código cada vez que fizer login neste dispositivo.
O autenticação dois passos (two-step) do Google para WordPress é uma ótima maneira de fortalecer as medidas de segurança do WordPress. E, como ele pode ser usado com uma variedade de outros serviços que você provavelmente já usa, isso o torna muito conveniente. Além disso, é muito fácil de configurá-lo no WordPress.
Prós: O aplicativo para Android pode gerar códigos mesmo sem conexão de rede; o aplicativo é muito leve e fácil de usar; pode ser usado com outros serviços, como Gmail e Amazon, etc.
Contras: Quando usado com um dispositivo iOS, como iPhone, você deverá receber um código por mensagem de texto – dependendo do sinal da sua operadora e sua capacidade de entregar a mensagem, isso pode ser um problema.
Conclusão
Não há nada pior do que ter seu site hackeado e perder todo seu trabalho duro. Em muitos casos, isso acontece com pessoas com medidas de segurança fracas. Se você está propenso a usar a mesma senha em mais de um site ou conta, costuma entrar em computadores públicos ou usar redes WiFi públicas, então, instalar uma das opções acima é uma maneira eficaz de diminuir as chances de seu site ser hackeado.
Das opções acima, eu uso e recomendo o serviço do Google Authenticator para qualquer pessoa com um smartphone Android. No entanto, a digitalização de QR codes é uma ideia nova, mas também pode não ser a melhor solução para todos. A utilização da “onda” no seu smartphone, quando estiver entrando em um local em uma área pública pode chamar mais atenção para você, enquanto que a geração de um código utilizando um aplicativo pode ser uma atividade muito mais discreta – No mundo de hoje, temos que pensar também em sua segurança e integridade física. 😉
Independentemente do método que você escolher, certifique-se de escolher medidas que o tornem capaz de acessar o seu site, mesmo se você perder seu telefone.
O que você tem feito para melhorar a segurança do seu site, e você usaria um desses plugins? Deixe um comentário abaixo.
Se você não tem noção de como melhorar ainda mais a segurança do seu site, mas entende que isso é importante, conheça nosso serviço de Auditoria de Segurança.
Não esqueça de compartilhar estas dicas em suas redes sociais e inscrever seu e-mail ao lado para receber mais dicas exclusivas no seu e-mail.
Nos encontramos em breve,
Asllan Maciel