Habilite a autenticação multi-fator para proteger seu site WordPress - dummies

A autenticação refere-se ao ato de confirmar a identidade da pessoa que está tentando fazer logon e obter acesso à sua instalação do WordPress - assim como quando você faz login no seu site WordPress usando um nome de usuário e uma senha. A idéia de autenticação multifactorial decorre da idéia de que uma única senha não é suficiente para garantir o acesso a qualquer ambiente.

Autenticação multifactorial também é chamada autenticação forte e, quando em uso, requer mais de um método de autenticação de usuário. O WordPress, por padrão, requer apenas um: um nome de usuário com senha. A autenticação multifactorial adiciona camadas de medidas de autenticação para segurança adicional para logins de usuários.

Para usar a autenticação multi-fator, você pode usar um plugin gratuito chamado Autenticador do Google. Ele fornece autenticação de usuário de dois fatores através do uso de um aplicativo em seu dispositivo móvel ou tablet (iPhone, iPad, Droid e assim por diante). Para que este plugin funcione, você precisa do seguinte:

• Aplicação de autenticação do Google: Encontre na Apple App Store para dispositivos iOS ou Google Play Store para dispositivos Android.

• Plugin do Google Authenticator: Você pode encontrar isso no Diretório de Plugins.

Quando você realiza ambas as tarefas, você pode configurar o plugin para uso em seu site. Siga estas etapas para configurar o plugin para cada usuário individual em seu site:

1. Clique no link Todos os Usuários no menu Usuários em seu Painel de Controle.

   A página Usuários é aberta.

2. Selecione o perfil de usuário que deseja editar clicando no link Editar abaixo do seu nome na lista Usuários.

   A página Editar usuários é aberta.

3. Selecione a caixa de seleção Ativo na seção Configurações de autenticação do Google.

4. Digite uma descrição na caixa de texto Descrição.

   Esta é a descrição que você pode ver no aplicativo Google Authenticator em seu dispositivo móvel.

   Se você estiver usando um iPhone ou iPad como seu dispositivo de autenticação, o campo de descrição não deve ter espaços. No momento da escrita, um bug no aplicativo Apple impede que ele funcione se houver algum espaço na descrição.

   

5. Clique no botão Mostrar / Ocultar QR code.

   Isso exibe o código QR na página. Um código QR é um código de barras que pode ser lido por um dispositivo móvel ou tablet usando a câmera.

6. Abra o aplicativo Google Authenticator em seu dispositivo móvel ou tablet.

7. No painel do seu site WordPress, clique no botão Criar novo segredo.

   Isso atualiza a chave secreta e o código QR necessários para conectar seu dispositivo móvel ou tablet.

8. No aplicativo Google Authenticator em seu dispositivo móvel ou tablet, clique no botão Scan Barcode.

   A câmera no seu dispositivo começa.

9. Digitalize o código de barras exibido na página do Autenticador do Google no seu painel de controle do WordPress tirando uma foto dele com o dispositivo.

   Aponte a câmera do seu dispositivo na tela do computador e alinhe o código QR nos suportes da câmera do seu dispositivo móvel. O aplicativo lê automaticamente o código QR assim que ele está alinhado corretamente e exibe um código de 6 dígitos que identifica seu blog.

   O código de 6 dígitos será atualizado em um intervalo baseado em tempo. Depois que o código QR é escaneado, o usuário recebe uma mensagem em seu dispositivo móvel que contém um código numérico único.

10. Clique no botão Atualizar Perfil na parte inferior da tela Editar Usuários em seu Painel de Controle.

    Isso atualiza a página Editar usuários com uma mensagem no topo indicando que as configurações do Autenticador do Google foram salvas com sucesso.

Agora, com o plugin do Google Authenticator no local, sempre que alguém tentar fazer login no seu WordPress Dashboard, ela deve preencher seu nome de usuário e senha, como sempre; No entanto, com a autenticação multi-fator no local, o usuário também precisa inserir o código de autenticação que foi enviado para o dispositivo móvel na Etapa 9. Sem esse código exclusivo, o usuário não pode fazer login no painel de controle do WordPress.

Com as etapas anteriores concluídas, você ativou uma forma de autenticação multi-fator, no seu painel de controle do WordPress.

O código de verificação do aplicativo do Google Authenticator é baseado no tempo, e é por isso que é muito importante que seu celular e seu blog WordPress estejam configurados no mesmo fuso horário.

Se você receber a mensagem de que o código de verificação de Autenticação do Google que você está usando é inválido ou expirado, você deve excluir o plugin e depois entrar nas configurações do Painel de WordPress e verificar se o fuso horário está configurado no mesmo horário zona como seu dispositivo móvel ou tablet.

As etapas a seguir mostram como a autenticação multi-fator está agora implementada no seu blog:

1. Feche o seu painel de controle do WordPress.

   Esta etapa o registra completamente e exibe a página de login.

   

2. Digite seu nome de usuário no campo Nome de usuário.

3. Digite sua senha no campo Senha.

   Não não clique no botão Logar ainda.

4. Abra o aplicativo Google Authenticator em seu dispositivo móvel ou tablet e localize o código de número de 6 dígitos atribuído ao seu blog.

   Este código de número de 6 dígitos atualiza a cada 60 segundos. Se você tiver mais de um blog usando o aplicativo, encontre o código que corresponde à descrição que você atribuiu ao site da Etapa 4 na lista anterior.

5. Digite o código de verificação de número de 6 dígitos no campo de código do Autenticador do Google.

6. Clique no botão Iniciar sessão.

   Agora você está logado com sucesso no seu painel de WordPress utilizando um método de autenticação de dois fatores.

A maior falha com este plugin é a incapacidade de forçar todos os usuários a configurar por padrão. É por isso que é importante que o princípio do menor privilégio seja empregado em seu site - dê acesso apenas aos usuários que absolutamente o exigem. Em um mundo ideal, no entanto, cada uma de suas contas de usuário exigirá uma autenticação de dois fatores para fazer login em suas contas em seu site.

Se você não tem acesso a um dispositivo móvel, o WordPress possui alguns plugins que você pode usar, incluindo estes dois:

• Senhas de papel perfeitas

• Yubikey Plugin