A segurança de sites é uma preocupação constante, especialmente quando se trata de evitar invasões por hackers. E uma das medidas mais eficazes para proteger o WordPress é a configuração da autenticação de dois fatores (2FA). 

Esse recurso adiciona uma camada extra de segurança, garantindo que, além da senha, o usuário precise de um segundo fator de autenticação, como um código gerado por um aplicativo, para acessar o sistema. Essa barreira adicional torna significativamente mais difícil para invasores comprometerem o site, mesmo que obtenham a senha do usuário.

Este guia oferece um passo a passo detalhado sobre como adicionar a autenticação de dois fatores no WordPress, permitindo que os administradores fortaleçam a segurança dos seus sites. Com essas medidas em prática, o risco de invasão diminui, proporcionando maior tranquilidade aos proprietários e usuários do site.

O que é autenticação de dois fatores (2FA)?

Basicamente, ela funciona exigindo duas formas de verificação: a senha tradicional e um segundo fator, que pode ser um código enviado por SMS, gerado por um aplicativo ou uma impressão digital. 

Essa combinação torna muito mais difícil para invasores acessarem seu site, mesmo que descubram sua senha. A 2FA é amplamente adotada para proteger contas online, oferecendo uma defesa robusta contra acessos não autorizados.

Tipos de autenticação de dois fatores (2FA)

Existem vários tipos de autenticação de dois fatores (2FA) que adicionam camadas adicionais de segurança ao processo de login. Os principais tipos de 2FA são:

• OTP (One-Time Password): Ssenha de uso único gerada para uma única sessão ou transação. Ela é válida apenas uma vez e expira após o uso;.
• TOTP (Time-Based One-Time Password): tTipo de OTP que gera códigos temporários baseados no tempo. A cada poucos segundos, um novo código é gerado com base no horário atual e uma chave secreta. O código muda periodicamente, aumentando a segurança;.
• HOTP (HMAC-Based One-Time Password): tTipo de OTP que gera códigos baseados em um contador. A cada nova tentativa de autenticação, o contador é incrementado, gerando um novo código. Diferente do TOTP, que depende do tempo, o HOTP depende do contador e não muda automaticamente.

Cada tipo de 2FA tem suas vantagens e desvantagens em termos de segurança e conveniência, e a escolha ideal pode variar dependendo das necessidades e preferências do usuário.

Por que adicionar a autenticação de dois fatores no WordPress?

Mesmo com um sistema robusto como o WordPress, há sempre o risco de sua senha ser comprometida. Isso pode ocorrer devido a uma invasão ao seu computador ou até mesmo por meio da interceptação de tráfego. 

A autenticação de dois fatores (2FA) torna-se uma solução essencial para impedir o acesso não autorizado ao painel de administração, mesmo que sua senha seja descoberta. Ao ativar o 2FA, apenas um usuário com acesso ao dispositivo de autenticação poderá realizar login no site. 

Essa camada extra de proteção é crucial, especialmente para prevenir que invasores acessem o painel do WordPress, mesmo que obtenham sua senha. Isso é particularmente valioso para proteger sites cujas senhas são fracas ou facilmente descobertas, aumentando significativamente a segurança geral do sistema.

Como configurar a autenticação de dois fatores no WordPress

Configurar a autenticação de dois fatores no WordPress é uma tarefa muito simples usando o plugin WP 2FA. Seguindo os passos mostradas a seguir você pode instalar e configurar o plugin de 2FA.

Passo 1: Instale o plugin WP 2FA

1. Acesse o painel de administração do WordPress.

2. Clique em Plugins » Adicionar plugin.

3. Digite “WP 2FA” no campo de busca.

4. Clique em Instalar agora e depois em Ativar.

Após a ativação, será automaticamente exibida a página do assistente de configuração do WP 2FA. Na próxima etapa mostraremos como configurar o plugin.

Passo 2: Configure o plugin WP 2FA no WordPress

Com a tela de configuração do plugin, aberta, siga os próximos passos para que o plugin WP 2FA funcione em seu site.

1. Primeiro, clique em “Let’s get started!” para iniciar a configuração.

2. Marque os métodos de autenticação de 2FA que você deseja utilizar.

One-time code via 2FA App (TOTP): É a opção mais segura e recomendada, pois utiliza um aplicativo externo para realizar a autenticação no WordPress.

One-time code via email (HOTP): Permite utilizar um endereço de e-mail para fazer obter tokens para realizar login no WordPress.

Recomendamos utilizar apenas a primeira opção por ser considerada mais segurao. Por isso, desmarque a segunda opção exibida na tela.

Clique em Continue Setup para avançar para a próxima etapa.

4. Informe se deseja ativar o “Backup de Códigos” como acesso alternativo.

Deixe a opção de backup dos tokens marcada para que os usuários possam logar no WordPress usando uma opção de autenticação alternativa. Ele funciona como um código de emergência de uso único, possibilitando o login do usuário em caso de impossibilidade de gerar um token de acesso único do 2FA. 

Clique em CONTINUE SETUP para avançar para o próximo passo.

5. Selecione os usuários que devem usar o 2FA.

All users: Todos os usuários são obrigados a usar a autenticação de dois fatores.

Only for specific users and roles: Permite selecionar usuários específicos ou funções de usuários que devem ativar obrigatoriamente o 2FA para logar no site.

Do not enforce on any users: Nenhum usuário é obrigado a usar o 2FA, ele configura se desejar (opção não recomendada).

Selecione a opção All user para garantir a segurança total do site. Essa é a opção que garante a proteção máxima do WordPress.

Clique em ALL DONE para seguir para a próxima etapa.

6. Selecione usuários que não devem usar o 2FA.

Se você está impondo a autenticação de dois fatores (2FA) para todos os usuários, mas deseja criar exceções, você pode definir regras específicas para isso. Essa funcionalidade possibilita criar exceções para usuários individuais ou para grupos de usuário baseado em sua função no WordPress.

Por exemplo, é possível configurar uma regra para que usuários com a função de “leitor” não sejam obrigados a configurar o 2FA para login. Isso se justifica pelo fato de que esses usuários têm permissões limitadas dentro do WordPress, tornando desnecessária a exigência de 2FA para suas atividades.

7. Selecione o período de carência para utilização do 2FA.

Você pode estabelecer uma regra que permita aos usuários continuarem acessando o site normalmente por um período determinado, seja em dias (days) ou horas (hours). 

O ideal é oferecer pelo menos uma semana para que os usuários possam configurar a autenticação de dois fatores (2FA). 

Esse prazo proporciona tempo suficiente para que eles compreendam o funcionamento do 2FA e completem a configuração com tranquilidade antes de ser obrigatório configurar a autenticação de dois fatores. 

8. Clique em ALL DONE para finalizar o assistente de configuração.

Agora é preciso seguir as próximas etapas para garantir a ativação da autenticação de dois fatores no WordPress e no celular.

Passo 3: Como configurar o aplicativo de 2FA no celular

Sempre que um usuário fizer login no WordPress será mostrada uma página perguntando se deseja configurar o 2FA. 

1. Para iniciar a configuração do 2FA, clique em Configure 2FA now, exibido após o login.

2. Instale em seu celular um aplicativo para gerenciar os tokens do 2FA.

Você pode usar qualquer um dos aplicativos indicados neste tutorial. Para fins didáticos, selecionamos o Google Authenticator.

3. Abra o Google Authenticator e selecione a opção Adicionar um código.

4. Depois, selecione a opção Ler código QR.

5. Aponte a câmera do celular para o QR code mostrado na página de login do WordPress.

6. Após ler o QR code, clique na opção I’m Ready exibida no WordPress.

7. Agora informe o token gerado pelo Google Authenticator no campo “Authentication Code” e depois clique em Validate & Save para confirmar a ativação do 2FA.

Na tela seguinte você pode gerar os códigos de acesso alternativos ou clicar para gerar depois. Esses códigos são usados para fazer o login caso perca o acesso ao dispositivo com os tokens de login.

Pronto, agora o 2FA está configurado! Ao fazer login no WordPress, após inserir seu nome de usuário e senha, você será direcionado para uma tela que solicita o código de autenticação. Basta inserir o código gerado pelo Google Authenticator para completar o processo de login.

Exemplo de tela de login após adicionar a autenticação de dois fatores no WordPress:

No campo “Authentication Code” você deve informar o código gerado pelo Google Authenticator sempre que for fazer login.

Melhores aplicativos para usar o 2FA no celular

Para instalar a autenticação de dois fatores é necessário um dispositivo de autenticação e um aplicativo para gerar os tokens de acesso. Na lista abaixo você encontra os melhores aplicativos para usar em seu celular ou tablet. 

1. Google Authenticator

Os aplicativos de autenticação de dois fatores (2FA) são essenciais para garantir a segurança das suas contas online, e o Google Authenticator é uma das melhores opções disponíveis. 

Compatível com Android e iOS, este aplicativo é reconhecido por sua confiabilidade e segurança, utilizando o método TOTP (senha única baseada em tempo) para gerar códigos que expiram em segundos, oferecendo uma camada extra de proteção contra acessos não autorizados.

Recentemente, o Google Authenticator adicionou um recurso de backup em nuvem, tornando o gerenciamento de 2FA ainda mais prático. 

2. Microsoft Authenticator

O Microsoft Authenticator é um aplicativo que vai além do login sem senha nos produtos da Microsoft, oferecendo também uma solução robusta para autenticação de dois fatores (2FA). Utilizando o método TOTP, semelhante ao Google Authenticator, ele fornece uma camada extra de segurança indispensável para proteger suas contas.

O aplicativo também incorpora um recurso de backup em nuvem, tornando a troca de dispositivos simples e segura, sem o risco de perder o acesso às suas contas. Essa funcionalidade garante uma experiência de segurança contínua e conveniente para os usuários.

Embora seja especialmente otimizado para usuários do ecossistema Microsoft, o Microsoft Authenticator é igualmente eficaz na proteção de contas em outras plataformas.

3. Authy

O Authy se destaca por permitir o backup e a sincronização de seus tokens 2FA em diversos dispositivos, incluindo telefones, tablets e computadores. Essa funcionalidade o torna tão robusto quanto as melhores opções disponíveis no mercado.

Para quem procura uma solução de 2FA que combine simplicidade e segurança, o Authy é uma escolha excepcional. Além disso, ele oferece uma solução multidispositivo que mantém seus tokens sincronizados em todos os seus dispositivos, garantindo acesso fácil e protegido onde quer que você esteja.

Medidas de segurança adicionais para proteger seu site

1. Contrate uma boa hospedagem

A contratação de uma melhor hospedagem é fundamental para garantir a segurança e proteção do WordPress. Algumas medidas de segurança devem ser adotadas para reforçar a segurança do CMS, no entanto, nada substitui a contratação de uma hospedagem segura e confiável.

As empresas de hospedagem adotam uma série de medidas para proteção do servidor web, incluindo patches de segurança e firewall, para impedir a exploração de vulnerabilidades em seu site ou aplicação.

2. Utilize HTTPS no site

A utilização do HTTPS protege a privacidade dos visitantes, mas também aumenta a proteção do seu site, principalmente na área de login do WordPress. Basta ter um certificado SSL e uma hospedagem compatível para usar o HTTPS.

Ao informar seu usuário e senha no painel de controle do WordPress utilizando uma conexão insegura (HTTP), hackers podem interceptar o tráfego de rede facilmente e, consequentemente, roubar seu login e senha.

Entretanto, ao utilizar o protocolo HTTPS em seu site, todo o tráfego é protegido de invasores por meio de uma camada de criptografia TLS/SSL. Desse modo, é praticamente impossível um ataque que intercepte a senha ou os cookies da página de login.

3. Evite usar o FTP

O protocolo FTP não oferece nenhum tipo de criptografia e sofre dos mesmos problemas que uma conexão sem HTTPS. Portanto, ele também possibilita ataques onde o invasor captura as senhas e rouba os dados do seu site.

Por se tratar uma conexão com o servidor onde os dados e arquivos são transportados em texto simples, um atacante pode até, em tese, modificar os arquivos enviados por meio do FTP.

Por esse motivo, procure utilizar o FTPS, que é a versão criptografada do FTP. Ele adiciona uma camada de criptografia SSH (ou secure shell) que garante que nenhum dado ou aquivo seja modificado ou interceptado.

4. Evite redes Wi-Fi públicas 

As redes de internet públicas apresentam riscos consideráveis, ao permitirem que qualquer usuário conectado à mesma rede utilize um sniffer (analisador de pacotes) para interceptar e capturar o tráfego de dados de todos os usuários da rede.

Desse modo, se informações trafegarem sem criptografia, um usuário mal-intencionado pode ter acesso a dados sensíveis, como o conteúdo que você está acessando ou até mesmo suas senhas. 

Para assegurar sua privacidade ao utilizar uma rede Wi-Fi pública, é altamente recomendável o uso de uma VPN. A VPN criptografa todo o seu tráfego de dados, garantindo que outras pessoas na mesma rede não consigam interceptar suas informações ou monitorar os sites que você visita.

Conclusão

Proteger seu site contra invasões e ataques de hackers é fundamental para garantir a segurança e a confiança dos usuários. Implementar medidas como a autenticação de dois fatores (2FA) e o monitoramento contínuo são passos cruciais para fortalecer sua presença digital. 

No entanto, essas iniciativas devem ser complementadas pela escolha de uma hospedagem de site segura, que ofereça uma infraestrutura robusta e proteção avançada contra ameaças.

Texto assinado por Lucas Tavares, da agência Bulki

Trabalho profissionalmente com WordPress desde 2012, posso garantir que a escolha do provedor de hospedagem é crucial para a segurança do site. Agradeço à HostGator pelo convite para escrever este artigo sobre WordPress. Segurança da informação e WordPress são minhas grandes paixões, e nunca deixo de me aprofundar nesses temas.