O login em duas etapas adiciona uma camada de segurança ao seu site, exigindo um confirmação que depende do acesso do usuário em outra plataforma. No WordPress, esse recurso pode proteger o seu login de acessos não autorizados e robôs.
Quando o assunto é segurança no WordPress, quase que instantaneamente brotam programadores de todos os cantos para dizer que o sistema é inseguro e que os sites são facilmente violáveis.
Bem, realmente um CMS opensource tão popular enfrenta problemas de vulnerabilidade, mas o fato é que a maior parte da internet utiliza a plataforma - se os problemas de segurança fossem tão graves como os “programadores raiz” gostam de dizer, muito provavelmente ela não seria líder de mercado, concorda?
De qualquer forma, não dá pra confiar plenamente nos recursos nativos do WordPress para proteger o seu site. É bom ter plugins de segurança bem configurados e adicionar diferentes camadas de proteção, principalmente no login: é o onde entra o login em 2 etapas (2FA, ou 2 Factor Authentication).
O recurso já é famoso e bem conhecido em diversas plataformas e aplicativos, e é importante que seu site também o implemente.
Vários plugins oferecem essa função gratuitamente, e vale conferir se o seu plugin de segurança atual já tem (nesse caso, o ideal é configurar por ele mesmo, para evitar conflitos).
Neste artigo, vou ensinar a configurar o login em suas etapas usando o Really Simple Security (antigo Really Simple SSL), que disponibiliza essa funcionalidade gratuitamente, mas saiba que o processo é parecido na maioria das ferramentas. Vamos lá?
1. Baixe e instale o Really Simple Security
A primeira coisa a fazer é baixar e instalar o plugin Really Simple Security, caso ainda não o tenha instalado em seu site WordPress. O passo a passo para fazer isso é:
- no seu painel de controle do WordPress, vá em Plugins > Adicionar Novo;
- na barra de pesquisa, digite “Really Simple Security”;
- localize o plugin (logo do cadeado amarelo) e clique em Instalar Agora;
- Após a instalação, clique em Ativar.
Observe que o Really Simple Security é um plugin famoso e com boa reputação, o que é fundamental verificar antes de instalar algo no WordPress, principalmente no caso de ferramentas de segurança.
Antigamente, este plugin era usado exclusivamente para configurar o redirecionamento automático das páginas do site para a versão com SSL, mas recentemente se tornou uma caixa de ferramentas completa de segurança.
2. Acesse as configurações de Segurança
Com o plugin ativado, um novo item chamado Segurança ou Security, surgirá no menu lateral do painel do WordPress. Você pode clicar nele para acessar as configurações do plugin quando quiser.
Geralmente, após a instalação, você será encaminhado para uma configuração inicial, que pode realizar facilmente seguindo as orientações do plugin - não vou entrar em detalhes nisso para não perder o foco do artigo.
Para configurar o login em duas etapas, você deve acessar, primeiramente, a aba Configurações.
3. Configure os métodos de 2FA
Na aba Configurações, selecione o item Two-Factor Authentication para ter acesso às configurações de 2FA.
Nesta seção, as únicas áreas disponíveis são Two-Factor Authentication e Email Verification. Na primeira delas, você pode configurar o WordPress para permitir que diferentes categorias de usuários configurem a autenticação por dois fatores.
Para ativar a função, basta habilitar a opção Enable Two-Factor Authentication. Logo abaixo, você deve selecionar também as categorias de usuários que serão obrigadas a configurar o 2FA.
Você pode restringir essa camada extra de segurança para usuários de alta hierarquia no site, como Administradores e Editores, mas recomendo habilitar para todos.
Logo abaixo, em Allow grace period, você pode definir um período de “carência” para novos usuários. Isto é, o tempo que os novos usuários tem para configurar o login em duas etapas, antes deles serem forçados a usá-lo.
Na versão gratuita do Really Simple Security, se não estiver enganado, não é possível usar aplicativos autenticadores. Logo, o login em duas etapas só está disponível no modo tradicional, por meio do envio de um código de uso único para o e-mail do usuário.
Essa função é gerenciada pelo próprio plugin e você pode configurar para quais categorias de usuários ela será habilitada em Email Verification. Observe que se você está usando a versão gratuita, precisará adicionar todas as categorias que adicionou na seção anterior - que no meu caso, são todas mesmo.
Feito isso, você deve rolar até o fim da página e salvar em Save (antes de salvar, certifique-se de que tem acesso ao e-mail cadastrado em sua conta no WordPress). Não é necessário continuar, pois todas as demais configurações desta seção estão bloqueadas para usuários com planos pagos.
Após salvar as configurações, todos os usuários serão notificados sobre a autenticação de 2 fatores no próximo login e orientados para a configuração - que consiste justamente em usar um código enviado para o e-mail cadastrado no site, tal como será nas próximas vezes.
4. Gerencie a configuração do login em 2 etapas
Observe que na última área, em Users, você tem o controle de quem já configurou o login em duas etapas e o método usado (que na versão gratuita será sempre o email).
Quando o processo é bem sucedido, você verá Email em Method e Active em Status. Caso algum usuário tenha problemas na configuração, você pode resetar o bloqueio clicando em Reset. Dessa forma, o período de carência dele será renovado e ele poderá tentar novamente. Não se esqueça de salvar novamente ao fazer isso!
É isso aí, você configurou o login em duas etapas no seu WordPress e garantiu uma camada extra de segurança para o seu site. Entenda, porém, que isso não dispensa outros cuidados, como manter seu site e seus plugins sempre atualizados, usar senhas fortes e realizar backups regulares.
Se achar conveniente, você pode experimentar a versão paga do Really Simple Security para aproveitar suas demais funções. É um plugin muito bom e confiável!
Gestor de conteúdo, redator profissional e especialista em SEO (Otimização para Motores de Busca). Ampla experiência em Marketing de Conteúdo, Marketing de Afiliados, hospedagem de sites e blogs WordPress.