Tutoriais
Tutoriais HostMídia

Como instalar um plugin de TFA ou 2FA (autenticação de dois fatores) no WordPress

Introdução

A segurança de um site, particularmente no caso do WordPress, está intimamente relacionada com o acesso à sua área administrativa.

Resguardar o acesso indevido, usando para isso mecanismos adicionais é uma prática aconselhável, a fim de evitar dores de cabeça relacionadas, como por exemplo, a perda de conteúdo.

Há um conjunto bastante conhecido de medidas que podem ser adotadas para tornar seu site baseado no WordPress, mais seguro e que vão desde medidas mais abrangentes relacionadas ao WordPress, a alteração do usuário padrão (admin) do WordPress, como também a instalação de plugins de segurança especialmente destinados a fortalecer a aplicação em vários aspectos.

Em meio a tudo que é possível fazer, há uma medida simples e rápida e que já constitui um bom procedimento para melhorar a segurança da área administrativa do CMS, que é incluir uma política de autenticação de dois fatores (TFA ou 2FA ou Two-way Factor Authentication).

Há vários plugins gratuitos que fazem o que se propõe, mas entre todas as opções, a mais simples e ao mesmo tempo fucional, é o “Two Factor Authentication”.

O que esse plugin faz, é basicamente incluir mais uma camada de segurança, por meio do fornecimento de um código númerico gerado pelo app Google Authenticator para Android, porém também funciona com outros apps semelhantes, como o Microsoft Authenticator e que é o que indicamos.

O problema de utilizar o app do Google, é que ele não realiza o backup das contas. Assim, se for necessário formatar o smartphone ou alguma outra ação que implique na remoção do app, a conta vinculada a autenticação de dois fatores será perdida e consequentemente também o acesso à área administrativa do WP, o que é uma falha grave do app do Google e que inclusive muitos usuários comentam nas avaliações.

Uma vez que o plugin tenha sido instalado, caso seus dados de acesso primários tenham sido descobertos ou a conta de e-mail cadastrada para recuperação do acesso, tenha sido invadida, ainda existirá mais uma etapa de autenticação, impedindo que ocorra o acesso à área administrativa do WordPress.

Pré-requisitos para adicionar TFA ao WordPress

Mais do que na maior parte dos tutoriais, é fundamental destacar que as seguintes condições são essenciais para o sucesso do procedimento e, sobretudo, manutenção da acessibilidade ao painel de administrativo do WordPress:

  • Realização de um backup completo do WP (arquivos e banco de dados) antes de prosseguir com a instalação do plugin;

  • Conectividade com a Internet;

  • Acesso ao painel administrativo do WP;

  • App Microsoft Authenticator;

  • Uma conta Microsoft.

Passos para adicionar TFA ao WordPress

Antes de prosseguir e conforme informamos anteriormente, é muito importante que ao utilizar um app como o Microsoft Authenticator, seja feito o backup da conta associada ao plugin de TFA, pois em caso de perda, roubo ou necessidade de reinstalação do app, é a única forma de ser possível gerar os códigos numéricos para o segundo fator de autenticação e consequentemente ser possível o acesso ao admin do WP.

A versão paga do plugin Two Factor Authentication, tem um recurso para recuperação emergencial, o que pode ser útil. Em último caso, apenas o backup completo do seu site (arquivo e banco de dados) vai lhe garantir não perder todo o trabalho feito se algo não transcorrer como se espera ou houver problemas com o segundo fator de autenticação.

  • Instale o app Microsoft Authenticator no seu smartphone Android, usando o QR Code a seguir:

    Microsoft Authenticator
  • Acesse a área administrativa do WP;

  • Localize e clique no menu vertical à esquerda, a opção “Plugins” > “Adicionar novo”;

  • Na página que é exibida, à direita do menu horizontal, preencha com “two factor authentication”, no campo “Pesquisar plugins”;

  • Localize o plugin e clique no botão “Instalar Agora”;

  • Com o plugin instalado e ativado, será necessário apenas clicar no link “user settings” logo abaixo do nome do plugin, na lista de plugins instalados e clicar no botão rádio correspondente a “enabled” e a seguir no botão “Salvar alterações”;

Ativação do Two Factor Authentication

  • Abra o app “Microsoft Authenticator” no seu smartphone. No menu no app, vá em “Adicionar conta”. Use a opção “Outra conta”;

  • Com o passo anterior, a câmera do aparelho será habilitada para a leitura do QR Code. Posicione o aparelho para a leitura do código que é exibido na página de configurações do plugin. Confirme a inclusão da conta;

QR Code TFA

  • No menu do app, use a opção “Ative o backup”. Você será solicitado a informar uma conta Microsoft, bem como a respectiva senha. Tendo realizado com sucesso o procedimento, a opção “Ative o backup” não constará mais do menu do app e aparecerá na lista de contas, o domínio em que está o site, bem como o código numérico que é renovado a cada 30 segundos;

  • Na próxima vez que acessar o painel administrativo do WP, após os usuais usuário e senha, você também terá que informar o número que é exibido no app que foi instalado.

Conclusão

A instalação de um plugin para autenticação de dois fatores, é uma importante medida de segurança, que protege a área administrativa do WordPress de acessos não autorizados, caso seus dados primários tenham sido descobertos.