Plugins de autenticação de dois fatores (2FA) para WordPress

Garantir a segurança do seu site baseado no WordPress – ou qualquer outro CMS – envolve muita coisa, mas um aspecto que normalmente é negligenciado, é a autenticação ou mecanismo para acesso ao admin.

Conseguir acesso à área administrativa do WP mesmo quando se faz uso de senhas seguras, é uma das principais formas de invasão, simplesmente porque o responsável não adotou um mecanismos de autenticação mais robusto.

Por isso nosso trabalho hoje será de entender a importância de incrementar sua segurança e apresentar uma variedade de plugins usados para resolver o problema.

O que é autenticação de dois fatores?

Autenticação de dois fatores (TFA ou 2FA ou ainda Two-way Factor Authentication) é a instituição de uma segunda etapa de verificação por parte do sistema que será acessado, para garantir que se trata de um usuário legítimo ou que tem permissão para fazer log in.

Tão mais seguro será o protocolo, quanto mais desvinculado do primeiro, for o segundo método de verificação.

Sendo assim, quando o protocolo adicional usa por exemplo, um requisito de posse, como uma chave gerada por um token ou um cartão de certificado digital ou mesmo um SMS enviado para um celular, avançar após a segunda etapa, exige ter posse do dispositivo (token, cartão ou celular), o que torna inviável ao invasor o acesso, mesmo que ele tenha conhecimento do usuário e senha.

Portanto, uma autenticação de dois fatores é tão mais forte, quanto mais improvável for por parte de terceiros atender aos dois requisitos exigidos.

Existem métodos 2FA que também podem ser chamados de MFA ou Multi-Factor Authentication (Autenticação Multi Fator em português), pois podem usar três ou mais meios de autenticação, mesmo que exijam apenas duas diferentes formas para garantir o acesso.

Um exemplo conhecido de emprego de MFA, é o acesso a contas Microsoft, que além dos tradicionais usuário e senha, também faz uso de um PIN (Personal Idententification Number) para login no Windows, número de celular, Authenticator (app para Android e iOS), e-mail de verificação e ainda uma chave alfanumérica (código de recuperação), para determinadas situações.

Por que usar um plugin de autenticação de dois fatores no WP?

A autenticação de dois fatores – TFA ou 2FA ou Two-way Factor Authentication – está presente e vem sendo cada vez mais adotada nas diversas situações quotidianas, como para ingressar nos principais serviços de e-mail gratuitos, nas principais redes sociais, nos apps bancários e em uma série de outros serviços online.

Em tempos que tanto se discute sobre a segurança do mundo digital, os vazamentos de dados, invasões de sites e todas as demais ameaças associadas, razões não faltam para justificar a adoção de mecanismos que tornem a segurança de tudo o que fazemos, mais robusta.

Quando analisamos o mais tradicional método de autenticação – usuário e senha – e que ainda é a única barreira que distingue um usuário legítimo de um criminoso virtual, ficam evidentes os motivos pelos quais consiste de uma barreira tão frágil:

  • Brute force – por meio de botnets – "robot" (robô) + "network" (rede) – realizam ataques de força bruta (brute force) contra quaisquer sites baseados no WordPress que consigam encontrar, todos os dias, usando diferentes técnicas, como por exemplo, ataque de dicionário para descobrir senhas e conseguir acesso;

  • Senha fraca – o uso de senhas fracas é das principais causas do acesso por parte de terceiros e que algumas vezes nem mesmo requer ser alvo de um ataque maciço por uma botnet;

  • Malwares – se o dispositivo usado para acesso ao admin está infectado por algumas classes de malwares, ter a senha revelada é algo comum;

  • Wi-Fi público – o acesso à área administrativa do WP fazendo uso de um Wi-Fi público e que não tenha uma política de segurança minimamente adequada, pode ser uma possível causa para ter sua senha revelada;

  • Rede vulnerável – tal qual o acesso feito por Wi-Fi público, não cuidar da segurança do roteador Wi-Fi / modem doméstico ou mesmo da empresa, é uma via de acesso fácil aos invasores, os quais podem conseguir seus dados;

  • CMS desatualizado – um CMS qualquer – e não apenas o WordPress – que não é frequentemente atualizado, pode conter falhas de segurança que permitam não apenas acesso à dados como a senha, mas como a quaisquer outros armazenados;

  • Dispositivo de terceiros – fazer uso de dispositivos de terceiros, cuja segurança não pode ser atestada e que pode conter malwares ou outras falhas, como sistema operacional desatualizado, também pode ser motivo para ter uma senha exposta;

  • Phishing (engenharia social) – ser alvo de phishing, em que técnicas de engenharia social são usadas a fim de persuadir o usuário e fornecer dados que não deveria, também não é raro.

Plugins de autenticação de dois fatores (2FA) para WordPress

Antes de apresentarmos cada uma das opções que trouxemos, é importante salientar que a lista não está necessariamente ordenada dos melhores para os piores, porque tal classificação teria alguma subjetividade. A ordem em que aparecem é totalmente aleatória.

Considere apenas como uma razoavelmente extensa lista de escolhas.

1. Wordfence

A primeira opção não é apenas um plugin para 2FA, mas uma completa solução de segurança. Esse plugin de segurança para WordPress, entre tudo o que oferece, consta uma ferramenta de autenticação de dois fatores.

O Wordfence tem uma versão paga (premium) e uma gratuita, cujas diferenças entre uma e a outra, são a frequência de atualizações, suporte técnico e alguns recursos adicionais.

2. Google Authenticator

Essa alternativa merece constar de qualquer lista do tipo, pela facilidade e confiabilidade.

Muita gente que já utiliza métodos 2FA em serviços como o Gmail, Dropbox, Amazon, entre outros, já teve que usá-lo e, portanto, já tem o app instalado no seu celular Android ou iPhone.

Assim, instalar e usar com o Google Authenticator para WordPress, será um processo simples e familiar.

3. Two Factor Authentication

Mais uma opção que utiliza um app de celular que gera códigos de curta duração / validade (30 segundos) para uso único e que após isso, expiram.

O Two Factor Authentication Pode ser usado com diferentes ferramentas do tipo, mas recomendamos usar o Authenticator (Microsoft), uma vez que ele gera um backup que pode ser usado em caso de perda ou roubo do aparelho, ou ainda diante de qualquer procedimento que signifique reinstalar o app.

4. Two-Factor

Apenas semelhante em nome ao anterior – porém mais curto – o Two-Factor é na verdade uma alternativa de MFA, na medida em que é possível escolher diferentes métodos para a segunda autenticação.

Há quatro alternativas que podem ser selecionadas: códigos enviados para uma conta de e-mail informada, códigos gerados únicos temporários (TOTP) via app Google Authenticator, chaves físicas de segurança (FIDO/U2F) e que são um elemento físico e de posse e por fim, códigos de backup para uso único.

5. Duo

O Duo WordPress é também uma solução MFA, uma vez que oferece diferentes formas para método alternativo de acesso.

É possível escolher entre cinco opções:

  • Uma confirmação simples por meio de app próprio, com um toque;

  • Códigos temporários únicos (TOTP), mas gerados pelo app Duo;

  • Chaves entregues por SMS;

  • Chamada telefônica;

  • Códigos gerados por tokens OATH conectados via USB.

6. Rublon

Para quem gosta de dispor das diferentes alternativas para a segunda camada de segurança, o Rublon Two-Factor Authentication (2FA) aparece como mais uma boa opção.

Tal como o Duo, ele oferece confirmação por push (celular) bastando um toque para confirmação, senhas temporárias de uso único (TOTP) e chaves enviadas via SMS, tokens com chaves físicas de segurança (FIDO/U2F). Mas dispõe alternativamente também de links de confirmação para uma conta de e-mail previamente cadastrada e códigos QR Code para serem lidos por um smartphone usando o app próprio.

Conclusão

Incluir autenticação de dois fatores em um site WordPress, é uma das medidas mais importantes para garantir a segurança do site contra ameaças digitais.

Comentários ({{totalComentarios}})