Introdução
A segurança de um site, particularmente no caso do WordPress, está intimamente relacionada com o acesso à sua área administrativa.
Resguardar o acesso indevido, usando para isso mecanismos adicionais é uma prática aconselhável, a fim de evitar dores de cabeça relacionadas, como por exemplo, a perda de conteúdo.
Há um conjunto bastante conhecido de medidas que podem ser adotadas para tornar seu site baseado no WordPress, mais seguro e que vão desde medidas mais abrangentes relacionadas ao WordPress, a alteração do usuário padrão (admin) do WordPress, como também a instalação de plugins de segurança especialmente destinados a fortalecer a aplicação em vários aspectos.
Em meio a tudo que é possível fazer, há uma medida simples e rápida e que já constitui um bom procedimento para melhorar a segurança da área administrativa do CMS, que é incluir uma política de autenticação de dois fatores (TFA ou 2FA ou Two-way Factor Authentication).
Há vários plugins gratuitos que fazem o que se propõe, mas entre todas as opções, a mais simples e ao mesmo tempo fucional, é o “Two Factor Authentication”.
O que esse plugin faz, é basicamente incluir mais uma camada de segurança, por meio do fornecimento de um código númerico gerado pelo app Google Authenticator para Android, porém também funciona com outros apps semelhantes, como o Microsoft Authenticator e que é o que indicamos.
O problema de utilizar o app do Google, é que ele não realiza o backup das contas. Assim, se for necessário formatar o smartphone ou alguma outra ação que implique na remoção do app, a conta vinculada a autenticação de dois fatores será perdida e consequentemente também o acesso à área administrativa do WP, o que é uma falha grave do app do Google e que inclusive muitos usuários comentam nas avaliações.
Uma vez que o plugin tenha sido instalado, caso seus dados de acesso primários tenham sido descobertos ou a conta de e-mail cadastrada para recuperação do acesso, tenha sido invadida, ainda existirá mais uma etapa de autenticação, impedindo que ocorra o acesso à área administrativa do WordPress.
Pré-requisitos para adicionar TFA ao WordPress
Mais do que na maior parte dos tutoriais, é fundamental destacar que as seguintes condições são essenciais para o sucesso do procedimento e, sobretudo, manutenção da acessibilidade ao painel de administrativo do WordPress:
-
Realização de um backup completo do WP (arquivos e banco de dados) antes de prosseguir com a instalação do plugin;
-
Conectividade com a Internet;
-
Acesso ao painel administrativo do WP;
-
App Microsoft Authenticator;
-
Uma conta Microsoft.
Passos para adicionar TFA ao WordPress
Antes de prosseguir e conforme informamos anteriormente, é muito importante que ao utilizar um app como o Microsoft Authenticator, seja feito o backup da conta associada ao plugin de TFA, pois em caso de perda, roubo ou necessidade de reinstalação do app, é a única forma de ser possível gerar os códigos numéricos para o segundo fator de autenticação e consequentemente ser possível o acesso ao admin do WP.
A versão paga do plugin Two Factor Authentication, tem um recurso para recuperação emergencial, o que pode ser útil. Em último caso, apenas o backup completo do seu site (arquivo e banco de dados) vai lhe garantir não perder todo o trabalho feito se algo não transcorrer como se espera ou houver problemas com o segundo fator de autenticação.
-
Instale o app Microsoft Authenticator no seu smartphone Android, usando o QR Code a seguir:
-
Acesse a área administrativa do WP;
-
Localize e clique no menu vertical à esquerda, a opção “Plugins” > “Adicionar novo”;
-
Na página que é exibida, à direita do menu horizontal, preencha com “two factor authentication”, no campo “Pesquisar plugins”;
-
Localize o plugin e clique no botão “Instalar Agora”;
-
Com o plugin instalado e ativado, será necessário apenas clicar no link “user settings” logo abaixo do nome do plugin, na lista de plugins instalados e clicar no botão rádio correspondente a “enabled” e a seguir no botão “Salvar alterações”;
-
Abra o app “Microsoft Authenticator” no seu smartphone. No menu no app, vá em “Adicionar conta”. Use a opção “Outra conta”;
-
Com o passo anterior, a câmera do aparelho será habilitada para a leitura do QR Code. Posicione o aparelho para a leitura do código que é exibido na página de configurações do plugin. Confirme a inclusão da conta;
-
No menu do app, use a opção “Ative o backup”. Você será solicitado a informar uma conta Microsoft, bem como a respectiva senha. Tendo realizado com sucesso o procedimento, a opção “Ative o backup” não constará mais do menu do app e aparecerá na lista de contas, o domínio em que está o site, bem como o código numérico que é renovado a cada 30 segundos;
-
Na próxima vez que acessar o painel administrativo do WP, após os usuais usuário e senha, você também terá que informar o número que é exibido no app que foi instalado.
Conclusão
A instalação de um plugin para autenticação de dois fatores, é uma importante medida de segurança, que protege a área administrativa do WordPress de acessos não autorizados, caso seus dados primários tenham sido descobertos.