Levamos a segurança muito a sério aqui na Kinsta e é por isso que oferecemos autenticação de dois fatores para todos os nossos clientes de hospedagem de WordPress. Nada poderia ser pior do que alguém seqüestrar o acesso a todos os seus sites! Esta funcionalidade está disponível no nosso painel MyKinsta e recomendamos vivamente que todos tirem partido dela. Hoje vamos mergulhar no porquê da importância da autenticação de dois fatores do WordPress, como funciona a nossa funcionalidade 2FA e uma excelente forma gratuita de configurar dois fatores para o seu próprio site WordPress.

Por que a Autenticação de Dois Fatores é Importante

Se você der uma olhada nas principais plataformas CMS como Joomla!, Drupal e Magento; o WordPress é líder com mais de 62.5% da quota de mercado. Devido à sua popularidade, isto também significa que é mais atacado do que os outros. Você não pode realmente dizer que uma plataforma é mais segura que a outra. Principalmente mais ataques ocorrem por causa do mero volume de locais lá fora.

Outro motivo é devido aos proprietários de sites não especializados. O WordPress sempre foi fantástico devido ao fato de quase qualquer pessoa poder pegá-lo e começar a usá-lo, mas isso também significa que há muitos iniciantes que muito provavelmente deixam as portas traseiras abertas por não remendar, não trancar as coisas com as permissões corretas, etc.

O WordFence entrevistou um grande número de proprietários de sites WordPress em 2016 e pediu-lhes que respondessem à seguinte pergunta: “Se você sabe como seu site foi comprometido, por favor descreva como os atacantes ganharam acesso”. 61,5% responderam dizendo que não sabiam como o atacante comprometeu seu site.

Eles também fizeram outra pesquisa para ver o que os atacantes fazem com sites WordPress comprometidos. Como você pode ver, 25% são normalmente tirados offline ou deformados. Esta é provavelmente uma das piores coisas que poderiam acontecer se você dirigisse um negócio de WordPress. É por isso que você deve implementar medidas de segurança primeiro, e não depois.

O que os atacantes do WordPress fazem
O que os atacantes do WordPress fazem

Há muitas maneiras de bloquear um site WordPress, um simples ajuste é alterar a URL de login do WordPress. Isto irá derrubar instantaneamente o número de tentativas de login falhadas que você tem no seu site WordPress a partir de bots e scripts que constantemente escaneam a web procurando por uma maneira de entrar. Mas uma das coisas mais importantes é simplesmente escolher uma senha complexa.

Parece muito fácil, certo? Bem, veja a lista anual da SplashData de 2018 das senhas mais populares roubadas ao longo do ano (ordenadas por ordem de popularidade).

  1. 123456
  2. senha
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. luz do sol
  9. qwerty
  10. iloveyou

É isso mesmo! A senha mais popular é “123456”, seguida por uma espantosa “senha”. Esta é uma das razões porque aqui na Kinsta no novo WordPress instala, nós na verdade forçamos uma senha complexa a ser usada para o seu login wp-admin (como visto abaixo no nosso processo de instalação com um clique).

Forçar a geração de senha segura
Forçar a geração de senha segura

A segurança começa com o básico. O Google tem algumas boas recomendações sobre como escolher uma senha forte. E uma de suas recomendações é permitir a autenticação de dois fatores.

A autenticação de dois fatores envolve um processo de 2 etapas no qual você precisa não só da sua senha para fazer o login, mas também de um segundo método. Geralmente é um texto (SMS), uma chamada telefónica ou uma palavra-passe única baseada no tempo (TOTP). Na maioria dos casos, isto é 100% eficaz na prevenção de ataques por força bruta ao seu site WordPress. Porquê? Porque é quase impossível que o atacante tenha tanto a sua senha como o seu celular.

Confira mais abaixo como ativar a autenticação de dois fatores do WordPress.

Autenticação de Dois Fatores da Kinsta

Aqui em Kinsta, levamos a segurança do usuário muito a sério. Para ajudar nossos clientes a proteger suas contas MyKinsta e sites WordPress, oferecemos suporte 2FA baseado no Authenticator.

Comparado ao método tradicional baseado em SMS 2FA que envia códigos de login via mensagem de texto, nosso método baseado no Autenticador utiliza códigos gerados dinamicamente no Google Authenticator, 1Password, e outros aplicativos 2FA. Isto significa que sua configuração 2FA está protegida contra ataques de segurança básicos como a troca do SIM.

Recomendamos ativar o 2FA para todos os seus serviços de Internet que o suportam. Para ativar a autenticação de dois fatores no MyKinsta, confira nosso artigo na base de conhecimento.

Habilitar Autenticação de Dois Fatores do WordPress

Agora que você tem o seu painel de controle Kinsta protegido, você também pode habilitar a autenticação de dois fatores do WordPress no seu site. Recomendamos um dos dois plugins seguintes.

Two Factor Authentication

O plugin Two Factor Authentication WordPress é desenvolvido pelos mesmos autores do UpdraftPlus, o popular plugin de backup. Ele suporta os protocolos TOTP + HOTP padrão (Google Authenticator, Authy, e muitos outros). Existe tanto uma versão gratuita como uma versão premium.

Two Factor Authentication WordPress plugin
Two Factor Authentication WordPress plugin

Atualmente tem mais de 10.000 instalações ativas com uma classificação de 4,5 das 5 estrelas e apresenta as seguintes características:

  • Códigos QR gráficos para uma digitalização móvel fácil
  • Inclui suporte para os formulários de login do WooCommerce e Afiliados-WP
  • Compatível com WordPress Multisite (o plugin deve ser ativado em rede)
  • Códigos de emergência e layouts de design premium (versão premium)

Google Authenticator

Se você está procurando uma solução completamente gratuita, o plugin do Google Authenticator WordPress funciona muito bem. Nota: Isso significa, no entanto, que você estará saltando em torno de duas aplicações diferentes. Você pode determinar qual é o tempo mais eficaz para o seu ambiente. Se você quiser ficar com um aplicativo, atualizar para o seu plano inicial pode ser o caminho a seguir. Neste exemplo, vamos utilizar o Autenticador gratuito do Google Authenticator.

O plug-in Google Authenticator tem mais de 30.000 instalações ativas com uma classificação de 4,5 de 5 estrelas. É completamente gratuito e você pode configurá-lo para uma quantidade ilimitada de usuários. A maioria dos outros plugins automáticos lá fora, você notará que eles têm limitações, a menos que você atualize para um plano pago. Você pode baixar o plugin do Google Authenticator do repositório WordPress ou procurando por ele dentro do seu painel de controle do WordPress em “Adicionar novos” plugins.

Uma vez instalado você pode clicar no seu perfil de usuário, marcá-lo ativo e criar uma nova chave secreta ou digitalizar o código QR.

Configurações do Google Authenticator
Configurações do Google Authenticator

Você pode então usar um dos aplicativos gratuitos do Authenticator no seu telefone:

Depois de habilitar isso, agora será necessária sua senha normal para fazer o login mais o código do aplicativo Google Authenticator no seu telefone. Você vai notar um campo adicional que agora aparece na sua página de login do WordPress. Além disso, este plugin é totalmente compatível com o plugin que recomendamos anteriormente para alterar a sua URL de login do WordPress.

Login do Google Authenticator WordPress
Login do Google Authenticator WordPress

E é isso! Agora você tem autenticação de dois fatores na sua conta Kinsta e no seu site WordPress.

Resumo

Estamos entusiasmados por oferecer autenticação de dois fatores aos clientes Kinsta, uma vez que esta tem sido uma das nossas características mais solicitadas. Proteger os seus sites WordPress ficou um pouco mais fácil! Confira nosso guia mais avançado sobre segurança do WordPress para ver como realmente bloquear o seu site.

Tem alguma pergunta sobre como funciona a autenticação de dois fatores do WordPress? Sinta-se à vontade para nos deixar um comentário abaixo ou abrir um ticket de suporte de dentro do seu painel MyKinsta.

QR Code é uma marca registrada da DENSO WAVE INCORPORATED nos Estados Unidos e em outros países.

Brian Jackson

Brian tem uma enorme paixão pelo WordPress, e tem utilizado há mais de uma década e até desenvolve alguns plugins premium. Brian gosta de blogs, filmes e caminhadas. Conecte-se com Brian no Twitter.