Magazine WordPress
O que é a autenticação a dois passos e porque precisas dela no WordPress
Já conheces a história?
António tinha confiança ilimitada nos vizinhos. A aldeia era pequena, umas quatro dezenas de habitantes, todos se conheciam há muitos anos e nunca tinha havido qualquer problema.
De todas as dificuldades que tinha de enfrentar na vida, a insegurança não era um deles.
António saia de casa sempre da mesma forma. Fechava a porta mas nunca rodava a chave. Parecia-lhe uma cautela totalmente desnecessária. Naquela aldeia do norte de Portugal, com aquelas pessoas, nunca haveria problemas. Se houvesse gente de fora, por certo os seus vizinhos estariam de olho.
Durante anos não teve problemas.
Um dia, António chegou a casa, abriu a porta como sempre fazia, foi à cozinha matar a sede e dirigiu-se para a sala. Foi nesse momento que reparou que algo não estava bem.
O espaço onde costumava estar a televisão, encontrava-se vazio. O mesmo acontecia com o lugar destinado ao rádio, que usava para ouvir os relatos da bola.
As gavetas do mobiliário da sala estavam remexidas. António começou a sentir os suores frios, o coração acelerou e uma sensação estranha percorreu-lhe o corpo.
Foi ao quarto. Gavetas abertas e remexidas. Dois relógios tinham desaparecido. A carteira onde guardava o dinheiro de casa também.
A casa tinha sido assaltada.
Não sabia por quem.
Chamou a Guarda e ficou a aguardar por novidades. Talvez encontrassem o autor ou autores do crime.
Talvez fosse a hora de ‘deitar trancas à porta’.
Um site é como uma casa, precisa de trancas
Todos sabemos que a Internet é um local bem mais perigoso do que a aldeia de António. Afinal, a Internet é um reflexo do mundo offline. Portanto, tudo o que reforce a segurança do teu site é obrigatório.
É o caso do sistema de autenticação a dois passos.
Depois de o implementar, para alguém aceder à área de administração do teu site WordPress vai precisar de, pelo menos, duas coisas:
- Uma coisa que sabes, como a combinação do nome de utilizador e a senha;
- Uma coisa que tens, como um código numérico ou alfa-numérico, fornecido por uma aplicação, mensagem SMS ou um token.
Alguém com os teus dados de acesso – nome de utilizador e senha -, não poderá aceder ao painel sem esse código, que é modificado em períodos de tempo muito curtos, de 20 ou 30 segundos, ou que te chega através da receção de uma mensagem. Já lá vamos.
A autenticação a dois passos acrescenta uma camada de segurança.
É como uma fechadura que exige duas chaves diferentes para permitir a abertura da porta.
“Recomendamos o uso da autenticação a dois passos sempre que possível. Ajuda a reduzir o risco numa circunstância em que a sua senha fique comprometida. É uma linha extra de defesa para a sua conta e é uma das melhores formas de assegurar que a sua conta não será acedida com facilidade”.
Autenticação a dois passos reforça a segurança do WordPress
No WordPress, os ataques do estilo ‘força-bruta‘ estão entre os métodos mais populares. Os maus tentam adivinhar o nome de utilizador e a senha, usando aplicações automáticas que fazem milhares de tentativas por cada minuto. Se forem bem sucedidos, ficas em maus lençóis.
É por isso que a primeira de todas as medidas de segurança é não usar admin como nome de utilizador.
Outra é usar uma senha complexa, única, longa e imprevisível.
A autenticação a dois passos funciona como outro método de reforço de segurança.
Sejamos claros.
Não significa que podes ficar tranquilo para o resto da tua vida. O site pode ser atacado por outras vias mas, pelo menos, ao aplicar os dois passos, reduzes de forma significativa as possibilidade de intrusão.
Recebe o código de autenticação da forma como preferires
Há diversas formas de receberes o código de autenticação. Depende da aplicação ou sistema que usares:
- Email: O código chega através de um email;
- SMS: É enviado para o teu telemóvel enquanto mensagem;
- Aplicação: Gera um código de forma automática, válido por pequenos períodos de tempo;
- Tokens USB: Precisas de inserir um token numa porta USB, sendo ainda necessário uma senha para o token.
Há sistemas mais agraváveis que outros mas, nestes casos, não se trata de uma questão de beleza visual, apenas a melhor experiência de utilização relacionada com o reforço de segurança.
Sistemas de autenticação a dois passos no WordPress
No ecosistema WordPress há diversas soluções de autenticação a dois passos. Para este artigo selecionamos aquelas que consideramos mais práticas e relevantes.
Google Authenticator
O plugin Google Authenticator é um dos mais populares. Oferece a possibilidade de fazer a autenticação a dois passos através da aplicação Google Authenticator.
A app desenvolvida pela Google está disponível para iPhone (e iPad), Android e Blackberry.
O plugin não foi criado pela Google.
O processo é simples.
- Tens de instalar e ativar o plugin;
- Definir uma chave secreta ou usar o código QR;
- Precisas de descarregar e instalar a aplicação Google Authenticator (gratuita) para o teu telefone ou tablet;
- Introduzir a chave secreta ou usar o código QR;
A partir de agora, sempre que pretenderes aceder ao painel do site terás de abrir a aplicação no telefone e inserir o código de autenticação, que sofre uma alteração a cada 30 segundos.
O plugin é gratuito.
Google Authenticator – Two Factor Authentication (2FA)
Google Authenticator – Two Factor Authentication (2FA) é um plugin da miniOrange e reuniu um lote de fãs em relativamente pouco tempo.
Visualmente é mais atraente que o anterior.
O processo começa pelo habitual:
- Instala e ativa o plugin
- Vais receber um email, na conta de administrador do site, pedindo para confirmar o endereço;
- Depois de confirmado, seleciona o separador Setup Two-Factor;
- Podes escolher diversas formas de efetuar a autenticação: Google Authenticator, email, token, SMS, código QR, e a aplicação Authy, entre outros.
- Escolhe o que considerares preferível. Recomendamos o Google Authenticator.
Este plugin permite que definas papéis dentro do site que implicam a autenticação a dois passos. Por exemplo, se tiveres um autor no teu site a quem pretendas facilitar o acesso, podes optar por esse caminho. Os administradores devem ter sempre a dupla autenticação.
Numa loja online, por exemplo, deves evitar que os clientes precisem de usar este método para aceder às suas contas no teu site.
Mais sobre isto daqui a pouco.
Authy
Authy é o plugin oficial da empresa com o mesmo nome. Senhora de uma sólida reputação, a Authy desenvolveu um plugin simples mas com o essencial.
- Instala e activa o plugin;
- Regista-te no site da Authy para ter uma conta e insere a chave Authy API key;
- O plugin funciona com um token enviado por SMS ou chamada telefónica;
- Um token dentro da app para smartphone, iOS e Android, ou navegador Chrome;
- Uma notificação via app.
Authy pertence ao mesmo grupo do Twilio e é grátis até 100 autenticações por mês. Para maiores utilizações tem planos premium.
Também permite gestão por papéis.
Duo Two-Factor Authentication
Duo Two-Factor Authentication é um plugin simples, embora seja necessária uma conta no site da Duo Security, para obter as chaves de segurança e a API hostname.
- Instala e ativa o plugin;
- Vai a Settings para fazer a configuração;
- Insere a chaves necessárias e a API hostname;
- Também podes selecionar os papéis dos utilizadores que precisam de autenticação;
- Podes escolher a autenticação por Notificação Push; chamada telefónica ou introdução de um código.
Duo é grátis até10 utilizadores. Se precisares de mais, há três escalões de preços e respetivas funcionalidades, entre os 3, 6 e 9 dólares por mês e utilizador.
Rublon Two-Factor Authentication
Rublon Two-Factor Authentication é, à partida, o mais fácil de todos e o mais desejável para quem detesta senhas e palavras-passe.
- Instala e ativa o plugin;
- Quando fizeres o próximo login no site vais receber um email que a Rublon te envia;
- Carrega no link e acede ao teu site;
- Na próxima vez que acederes a partir do mesmo dispositivo terá apenas de usar a senha;
A Rublon tem ainda (e recomenda) uma app para Android, iOS e Windows Phone.
É grátis para uso pessoal e para um site. Para mais contas tens de aderir a um plano premium. Os preços são de 2 dólares por mês e utilizador.
Two Factor Authentication
Two Factor Authentication é um plugin da mesma equipa do UpdraftPlus.
Também utiliza o Google Authenticator.
Permite gerir que tipo de utilizadores tem de passar pela autenticação a dois passos, além de ser compatível com instalações multisite e WooCommerce.
Tem versão grátis e premium, sendo que a gratuita não limita a autenticação a apenas um utilizador.
É de fácil instalação e configuração.
Que solução usar em sites com loja online?
A questão surgiu na sequência de uma conversa sobre estes plugins:
“Nenhum dos sistemas que recomendas se aplica a WooCommerce, pois não?”.
É uma boa questão.
Há plugins de autenticação a dois passos que são transversais a todo o site. Uma situação que é desagradável para lojas online. Afinal, não queremos complicar a vida aos clientes e obriga-los a seguir a realizar uma dupla autenticação seria o equivalente a vê-los sair porta a fora sem realizar qualquer compra.
No entanto, se tens uma loja online não precisas de te preocupar.
Dos plugins aqui referidos, há três que permitem definir a A2P por papéis no teu site.
Desta forma podes excluir todos os utilizadores com o papel de cliente da necessidade de cumprir este passo extra de segurança.
São eles:
- Google Authenticator – Two Factor Authentication (2FA)
- Duo Two-Factor Authentication
- Authy
- Two Factor Authentication
Conclusão
Desta lista não faz parte o iThemes Security (formerly Better WP Security), da iThemes. É o mais usado dos plugins deste segmento de segurança WordPress. Mas a funcionalidade de Two-Factor authentication só está disponível na versão premium.
Agora é a tua vez.
Deixa de lado a preguiça, investiga a melhor solução para o teu caso e aplica esta camada de segurança no teu site. São apenas uns minutos que te podem poupar horas e dores de cabeça.
