Dúvidas?
Envie email para suporte@virgu.com ou ligue +351 911 000 717 (Artur Azevedo)
Já conheces a história?
António tinha confiança ilimitada nos vizinhos. A aldeia era pequena, umas quatro dezenas de habitantes, todos se conheciam há muitos anos e nunca tinha havido qualquer problema.
De todas as dificuldades que tinha de enfrentar na vida, a insegurança não era um deles.
António saia de casa sempre da mesma forma. Fechava a porta mas nunca rodava a chave. Parecia-lhe uma cautela totalmente desnecessária. Naquela aldeia do norte de Portugal, com aquelas pessoas, nunca haveria problemas. Se houvesse gente de fora, por certo os seus vizinhos estariam de olho.
Durante anos não teve problemas.
Um dia, António chegou a casa, abriu a porta como sempre fazia, foi à cozinha matar a sede e dirigiu-se para a sala. Foi nesse momento que reparou que algo não estava bem.
O espaço onde costumava estar a televisão, encontrava-se vazio. O mesmo acontecia com o lugar destinado ao rádio, que usava para ouvir os relatos da bola.
As gavetas do mobiliário da sala estavam remexidas. António começou a sentir os suores frios, o coração acelerou e uma sensação estranha percorreu-lhe o corpo.
Foi ao quarto. Gavetas abertas e remexidas. Dois relógios tinham desaparecido. A carteira onde guardava o dinheiro de casa também.
A casa tinha sido assaltada.
Não sabia por quem.
Chamou a Guarda e ficou a aguardar por novidades. Talvez encontrassem o autor ou autores do crime.
Talvez fosse a hora de ‘deitar trancas à porta’.
Todos sabemos que a Internet é um local bem mais perigoso do que a aldeia de António. Afinal, a Internet é um reflexo do mundo offline. Portanto, tudo o que reforce a segurança do teu site é obrigatório.
É o caso do sistema de autenticação a dois passos.
Depois de o implementar, para alguém aceder à área de administração do teu site WordPress vai precisar de, pelo menos, duas coisas:
Alguém com os teus dados de acesso – nome de utilizador e senha -, não poderá aceder ao painel sem esse código, que é modificado em períodos de tempo muito curtos, de 20 ou 30 segundos, ou que te chega através da receção de uma mensagem. Já lá vamos.
A autenticação a dois passos acrescenta uma camada de segurança.
É como uma fechadura que exige duas chaves diferentes para permitir a abertura da porta.
“Recomendamos o uso da autenticação a dois passos sempre que possível. Ajuda a reduzir o risco numa circunstância em que a sua senha fique comprometida. É uma linha extra de defesa para a sua conta e é uma das melhores formas de assegurar que a sua conta não será acedida com facilidade”.
No WordPress, os ataques do estilo ‘força-bruta‘ estão entre os métodos mais populares. Os maus tentam adivinhar o nome de utilizador e a senha, usando aplicações automáticas que fazem milhares de tentativas por cada minuto. Se forem bem sucedidos, ficas em maus lençóis.
É por isso que a primeira de todas as medidas de segurança é não usar admin como nome de utilizador.
Outra é usar uma senha complexa, única, longa e imprevisível.
A autenticação a dois passos funciona como outro método de reforço de segurança.
Sejamos claros.
Não significa que podes ficar tranquilo para o resto da tua vida. O site pode ser atacado por outras vias mas, pelo menos, ao aplicar os dois passos, reduzes de forma significativa as possibilidade de intrusão.
Há diversas formas de receberes o código de autenticação. Depende da aplicação ou sistema que usares:
Há sistemas mais agraváveis que outros mas, nestes casos, não se trata de uma questão de beleza visual, apenas a melhor experiência de utilização relacionada com o reforço de segurança.
No ecosistema WordPress há diversas soluções de autenticação a dois passos. Para este artigo selecionamos aquelas que consideramos mais práticas e relevantes.
O plugin Google Authenticator é um dos mais populares. Oferece a possibilidade de fazer a autenticação a dois passos através da aplicação Google Authenticator.
A app desenvolvida pela Google está disponível para iPhone (e iPad), Android e Blackberry.
O plugin não foi criado pela Google.
O processo é simples.
A partir de agora, sempre que pretenderes aceder ao painel do site terás de abrir a aplicação no telefone e inserir o código de autenticação, que sofre uma alteração a cada 30 segundos.
O plugin é gratuito.
Google Authenticator – Two Factor Authentication (2FA) é um plugin da miniOrange e reuniu um lote de fãs em relativamente pouco tempo.
Visualmente é mais atraente que o anterior.
O processo começa pelo habitual:
Este plugin permite que definas papéis dentro do site que implicam a autenticação a dois passos. Por exemplo, se tiveres um autor no teu site a quem pretendas facilitar o acesso, podes optar por esse caminho. Os administradores devem ter sempre a dupla autenticação.
Numa loja online, por exemplo, deves evitar que os clientes precisem de usar este método para aceder às suas contas no teu site.
Mais sobre isto daqui a pouco.
Authy é o plugin oficial da empresa com o mesmo nome. Senhora de uma sólida reputação, a Authy desenvolveu um plugin simples mas com o essencial.
Authy pertence ao mesmo grupo do Twilio e é grátis até 100 autenticações por mês. Para maiores utilizações tem planos premium.
Também permite gestão por papéis.
Duo Two-Factor Authentication é um plugin simples, embora seja necessária uma conta no site da Duo Security, para obter as chaves de segurança e a API hostname.
Duo é grátis até10 utilizadores. Se precisares de mais, há três escalões de preços e respetivas funcionalidades, entre os 3, 6 e 9 dólares por mês e utilizador.
Rublon Two-Factor Authentication é, à partida, o mais fácil de todos e o mais desejável para quem detesta senhas e palavras-passe.
A Rublon tem ainda (e recomenda) uma app para Android, iOS e Windows Phone.
É grátis para uso pessoal e para um site. Para mais contas tens de aderir a um plano premium. Os preços são de 2 dólares por mês e utilizador.
Two Factor Authentication é um plugin da mesma equipa do UpdraftPlus.
Também utiliza o Google Authenticator.
Permite gerir que tipo de utilizadores tem de passar pela autenticação a dois passos, além de ser compatível com instalações multisite e WooCommerce.
Tem versão grátis e premium, sendo que a gratuita não limita a autenticação a apenas um utilizador.
É de fácil instalação e configuração.
A questão surgiu na sequência de uma conversa sobre estes plugins:
“Nenhum dos sistemas que recomendas se aplica a WooCommerce, pois não?”.
É uma boa questão.
Há plugins de autenticação a dois passos que são transversais a todo o site. Uma situação que é desagradável para lojas online. Afinal, não queremos complicar a vida aos clientes e obriga-los a seguir a realizar uma dupla autenticação seria o equivalente a vê-los sair porta a fora sem realizar qualquer compra.
No entanto, se tens uma loja online não precisas de te preocupar.
Dos plugins aqui referidos, há três que permitem definir a A2P por papéis no teu site.
Desta forma podes excluir todos os utilizadores com o papel de cliente da necessidade de cumprir este passo extra de segurança.
São eles:
Desta lista não faz parte o iThemes Security (formerly Better WP Security), da iThemes. É o mais usado dos plugins deste segmento de segurança WordPress. Mas a funcionalidade de Two-Factor authentication só está disponível na versão premium.
Agora é a tua vez.
Deixa de lado a preguiça, investiga a melhor solução para o teu caso e aplica esta camada de segurança no teu site. São apenas uns minutos que te podem poupar horas e dores de cabeça.