Falar sobre segurança é sempre algo relativamente complexo. Assim como novas soluções de segurança surgem a cada novo dia, novas maneiras de se quebrar a segurança também são testadas. Neste artigo, vamos compartilhar com você uma dica de segurança muito interessante para o WordPress. Uma ferramenta do Google que permite que você adicione uma camada extra na segurança do seu site WordPress. Estamos falando sobre a Verificação em 2 etapas do Google.
Antes de entrarmos de fato na questão, gostaríamos de compartilhar com você como um escritor da Wired teve sua vida digital destruída. Mat Honan é escritor sênior para Gadget Lab da Wired e co-fundador da revista Knight-Batten award-winning. Ele teve sua vida digital destruída por hackers. Veja abaixo uma parte desta história:
No espaço de uma hora, toda a minha vida digital foi destruída. Primeiro minha conta do Google foi tomada, e então excluída. Em seguida minha conta no Twitter foi comprometida, e usado como uma plataforma para difundir mensagens racistas e homofóbicos. E o pior de tudo, a minha conta AppleID foi invadida e hackers utilizaram para apagar remotamente todos os dados no meu iPhone, iPad e MacBook.
Em muitos aspectos, isso foi tudo culpa minha. Minhas contas foram vinculadas. Entrando pela Amazon, meus hackers entraram em minha conta Apple ID, que os ajudou a entrar no Gmail, e que lhes deu acesso ao Twitter. Se eu tivesse usado a autenticação dois-fatores para a minha conta do Google, é possível que nada disso tivesse acontecido, porque o seu objetivo final era sempre assumir minha conta no Twitter e causar estragos.
Se eu tivesse regularmente feito backup dos dados no meu MacBook, eu não teria que me preocupar em perder fotos de mais de um ano, cobrindo todo o ciclo de vida da minha filha, ou de documentos e e-mails que eu não tinha guardado em nenhum outra localização.
Esses lapsos de segurança são culpa minha, e eu profundamente, lamento profundamente por eles.
Depois de ler a história de Mat, deve despertar em você alguma consciência sobre segurança. Recomendamos a você, correr e configurar sua Conta do Google para a Verificação em 2 etapas e todos os demais serviços que oferecem este recurso.
Existe uma maneira de permitir a Verificação em 2 etapas no WordPress usando o Google Authenticator. Se você se preocupa com a segurança do seu blog, então deve seguir esta dica para melhorar a segurança do WordPress.
Nota: Google Authenticator só funciona em iOS, Android, Windows Phone, webOS, PalmOS e dispositivos BlackBerry. Em outras palavras, você deve ter um smartphone, iPod Touch ou Tablet com estes sistemas operacionais.
Como a Verificação em 2 etapas funciona?
Senhas podem ser quebradas. Se você utiliza a mesma senha em vários sistemas, uma falha de segurança em uma, pode colocar suas outras contas em perigo. Geralmente as pessoas são “preguiçosas” e não mudam suas senhas nem com um aviso de comprometimento da segurança de um grande site. A verificação em 2 passos é a solução para isso. Mesmo que um hacker descubra o nome de usuário e a senha do seu WordPress, não serão capazes de acessar o seu site, a menos que possuam um código de segurança aleatório e temporário (fornecido pelo Google Authenticator). Porque seu blog estará diretamente conectado com seu dispositivo móvel, você será a única pessoa que terá o código único de cada login. Este código expira em um curto espaço de tempo para fins de segurança. Como você vai ver neste tutorial, haverá um campo adicional em sua página de login do WordPress como na figura abaixo, que aumentará a segurança do seu blog WordPress:
Como adicionar o Google Authenticator no WordPress
Primeira coisa que você deve fazer é instalar o Google Authenticator no seu dispositivo. Procure pelo aplicativo “Google Authenticator” (Google Play, Apple Store, etc.), faça download e instale. Volte ao painel do WordPress. Abra o aplicativo para configurar junto com o WordPress.
Instale e ative o plugin Google Authenticator para WordPress.
No menu do WordPress, clique em Usuários > Seu Perfil. Ao acessar a página, você já deve ver as configurações do Google Authenticator lá.
Ativo “Active” – Se marcar esta caixa, o Google Authenticator será usado no seu blog. (Marque esta caixa depois de finalizar todas as configurações).
Modo Relaxado “Relaxed Mode” – Normalmente o código do Google Authenticator expira a cada minuto. marcando está caixa este tempo é estendido para 4 minutos. Não recomendamos utilizar esta opções a menos que você digite muito lentamente. Como o código tem apenas 6 caracteres, você deve ser capaz de digitá-lo em 1 minuto.
Descrição “Description” e Chave Secreta “Secret” – Estas opções são auto explicativas. A descrição será o nome da conta (ex. WP 24 Horas) no aplicativo Google Authenticator. A chave secreta é necessária se você não estiver usando QR Code. Nota: Ao usar iPhone, você não pode ter espaços na descrição. Porque temos na imagem acima, dois espaços em nossa descrição “WordPress 24 Horas”, teremos que usar a chave para inserir as informações manualmente em nossa aplicação. O QR Code não vai funcionar. Se você deseja usar o QR Code, então você deve fazer sua inscrição sem espaços (“WP24Horas”).
Ativar Senha do App “Enable App Password” – Você precisa apenas se estiver usando XML-RPC (publicação remota) em seu blog.
Agora que configuramos a parte do WordPress, vamos voltar ao nossa aplicativo (iPhone App Google Authenticator). Clique no ícone do aplicativo e depois em “+” para adicionar uma nova conta. Você verá uma página como essa:
1. Recomendamos que utilize códigos-senha “Time Based“. Códigos Time-Based proporcionam uma melhor proteção contra phishing e keyloggers, pois cada código é válido apenas por um curto período de tempo. Se você usar códigos “Counter Based“, você terá que clicar no botão de atualização próximo ao código no Google Authenticator, cada vez que você usá-lo, para avançar para o próximo código.
2. Digitalização de código de barras, se sua descrição não possui espaços. Clique no botão Mostrar QR Code no WordPress para ver o QR Code.
2a. Para aqueles que têm espaços em suas descrições, digite sua descrição como o nome da conta.
2b. Digite a chave secreta que está no painel do seu WordPress.
3. Clique em Concluído “Done”.
Agora, quando você entrar, vai perceber o campo de Verificação em 2 etapas que pede o código do Google Athenticator.
Este procedimento funciona também para blog WordPress com vários autores. Cada autor receberá sua própria chave secreta, de modo que possa configurá-la em seu dispositivo. o que está esperando? Use a verificação em 2 etapas para aumentar a segurança do seu blog WordPress.
Antes de finalizar, gostaríamos de recomendar novamente a todos que ativem a verificação em 2 etapas em suas Contas do Google. Você também pode configurar isso com o Google Authenticator como mostra este tutorial.
Se você tem algo a dizer sobre este artigo, não hesite em deixar seu comentário abaixo. Se você gostou, compartilhe com seus amigos nas suas redes sociais.
[cta link=”http://wordpress.org/plugins/google-authenticator/”]Google Authenticator[/cta]