Segurança nunca é demais. Criar, utilizar e manter rotinas e ferramentas de segurança é imprescindível, em diversas áreas e esferas.
O WordPress é alvo frequente de hackers, e os administradores não podem nunca dele descuidar. Manter o CMS atualizado é apenas uma das práticas altamente recomendáveis, e nos artigos abaixo você pode ler um pouco mais sobre segurança no WP:
- Como proteger a área administrativa do WordPress com .htaccess;
- Como deixar o WordPress seguro;
- Como proteger o conteúdo do seu blog;
O que é autenticação em dois passos?
No artigo “Como deixar o WordPress seguro” falamos a respeito de autenticação em dois passos, ou autenticação em duas etapas (two-factor authentication). Trata-se de um modo de forçar um determinado site, sistema, CMS, a exigir duas formas distintas de autenticação.
Ou seja, o usuário, antes de ganhar acesso, deve obrigatoriamente preencher dois requisitos iniciais, através dos quais ele confirmará que realmente é quem informa ser (ele confirmará, de certa maneira, sua identidade) e que também é alguém autorizado a acessar o sistema em questão.
Provavelmente você utiliza algum tipo de token fornecido por seu banco (via aplicativo ou chaveiro). Provavelmente, também, você fornece ao seu internet banking um código gerado por tal ferramenta, sempre que precisa acessar sua conta via internet ou então confirmar alguma transação.
Esta também é uma forma de autenticação em dois passos. Resumindo: autenticação em dois passos é a autenticação onde você utiliza um conjunto contendo algo que você sabe (sua senha pessoal) e algo que você possui (token, aplicativo, etc).
Na autenticação em duas etapas o usuário deve fornecer (além da senha pessoal) algo que confirme seu direito de acesso, através de um “segundo passo”. Tal procedimento é realizado através de um meio que se encontra em poder do usuário, digamos. Algo que se encontra em suas mãos.
A senha é algo até mesmo bastante “banal”, uma vez que pode inclusive ser obtida através de meios ilegais, não autorizados (ela pode ser roubada, por exemplo). A autenticação em dois passos geralmente utiliza como “segunda etapa” o celular ou smartphone do usuário, ou seja, algo que realmente pertence a ele. Neste caso, geralmente um código de uso único é gerado pelos sistemas de “two-factor authentication”, e tal código deve então ser usado para que o acesso seja garantido.
Fica fácil perceber que ao utilizar um sistema assim você contribui bastante para evitar problemas com a segurança de seu site. Aqui, mesmo com o comprometimento da senha, mesmo que um hipotético atacante a obtenha, ele ainda assim não conseguirá realizar login, pois lhe faltará este tal “segundo passo” obrigatório.
Percebeu a importância de algo assim? De como é importante e extremamente válido implantar um sistema desses em uma camada extra de proteção?
Vamos agora ensinar você a instalar e configurar um sistema de autenticação em dois passos no seu site em WordPress, de maneira tal que apenas você e as pessoas que você autorizar serão capazes de administrá-lo.
Obviamente, este artigo fornece nossa opinião pessoal a respeito dos métodos, sistemas e plugins mais fáceis de usar e poderosos. Nos focaremos neles e em sua configuração, mas você pode também utilizar o plugin/sistema de sua preferência: apenas certifique-se de realizar os devidos ajustes em links, na instalação, na configuração e na utilização, caso necessário.
Vamos lá:
Criando uma conta junto ao Duo
O sistema de nossa preferência é o “Duo Two-Factor Authentication” (acesse também o site da empresa). É ele que estamos indicando a você, e também a respeito dele tratamos neste artigo. Trata-se de um sistema completo e bastante simples de usar e configurar.
Para que o plugin e o aplicativo funcionem com o seu site, você deve criar uma conta junto ao serviço e obter também algumas informações importantes que posteriormente serão utilizadas.
1) Antes de prosseguir, baixe o aplicativo “Duo Mobile” em seu smartphone. Estão disponíveis versões para Android e iOS, além de BlackBerry, Palm, Windows Phone 7, Windows Mobile e J2ME/Symbian.
2) Crie uma conta no serviço, através deste link. Informe seu nome (“First name” e “Last name”), seu e-mail, seu telefone, e clique em “Create my account” (criar minha conta):
3) A seguir, você será redirecionado para uma tela onde deverá informar uma senha. Informe-a (e guarde-a também) e clique em “Continue”.
4) Continuando, já parcialmente logado no painel de administração do Duo, você deverá escanear um QR Code com o aplicativo “Duo Mobile” (o qual já deve ter sido instalado no seu dispositivo – veja item 1, acima).
Inicie a app no celular, toque em “Add account” e aponte a câmera para o código QR exibido no site. Após o escaneamento, observe que sua conta será devidamente adicionada, já com os dados que você informou previamente (incluindo seu nome).
5) Ainda no painel de administração do Duo, repare que o botão “Continue”, logo abaixo do QR Code, foi habilitado. Clique nele.
6) O serviço solicitará logo a seguir um outro número de telefone (diferente do solicitado anteriormente, durante o cadastro).
Este é o telefone para o qual os códigos de uso único serão enviados, o telefone que será utilizado para a autenticação, posteriormente. Portanto, tenha cautela aqui. No caso, utilize seu celular. Informe o número do celular e clique em “Finish”.
7) O site do Duo logo a seguir exigirá uma autenticação em duas etapas, para a confirmação de sua identidade. Na próxima janela, você pode solicitar e utilizar um dentre três tipos de autenticação:
- Via push (você deverá clicar em “Approve”, no popup exibido no smartphone);
- Text me (você deverá informar no site do serviço um código enviado para seu celular via mensagem de texto);
- Call me (você deverá informar no site do serviço um código fornecido através de uma chamada telefônica);
Obs: lembre-se de que o Duo também utilizará autenticação em dois passos sempre que você tentar nele efetuar login.
8) Assim que você autorizar o acesso no aplicativo para celular, através de um dos 3 métodos acima descritos, seu acesso ao site do Duo será liberado, e você já poderá acessar a área administrativa do serviço. Terminamos aqui o processo de criação da conta.
Incluindo o WordPress na proteção do Duo
9) Agora, precisamos adicionar uma instalação do WordPress (no caso, o nosso site) na lista de aplicativos protegidos pelo Duo. Após a criação da conta junto ao serviço (e do respectivo login – veja acima), na área de administração do Duo, vá em “Applications”.
10) Role a tela para baixo e localize a opção “WordPress”. Clique no link “Protect this application”, logo abaixo do nome:
11) É assim, portanto, que obteremos a “Integration key”, a “Secret key” e o “API hostname”. São estes dados/chaves que farão a “ligação” entre nossa conta junto ao Duo e o WordPress que desejamos proteger (através de um plugin que será instalado – mais abaixo). Na tela a seguir, copie os 3 códigos para algum local seguro e reserve-os. Iremos utilizá-los adiante.
Obs: se você usa algum gerenciador de senhas, este é um bom momento para usá-lo, guardando tais informações em uma nota segura.
Baixando e instalando o plugin
Para que tudo funcione a contento, precisamos também instalar um plugin no nosso WordPress. Vamos agora baixá-lo e instalá-lo. Não se preocupe, é tudo também bastante simples.
Obs: podemos instalar plugins no WordPress simplesmente enviando o pacote de instalação para o servidor. Mas, para facilitar, vamos realizar a instalação através da própria interface de administração do CMS.
12) Acesse a área administrativa do seu WP. No menu esquerdo, vá em “Plugins” ==> “Adicionar novo”.
13) No campo de busca localizado no canto superior direito, digite “Duo Two-Factor Authentication” (sem aspas) e tecle <ENTER>. O WP irá então localizar o plugin em seu banco de dados, exibindo o resultado a seguir:
14) Clique no botão “Instalar agora”, ao lado do nome do plugin. O plugin será então baixado e instalado, rapidamente. Na próxima tela, clique no link “Ativar plugin”:
Configurando o plugin
15) Após a ativação do plugin, ainda na área administrativa do WP, vá em “Configurações” ==> “Duo Two-Factor”, no menu da esquerda:
16) Chegou então o momento de finalmente ligarmos nossa instalação do WordPress com nossa conta junto ao Duo. Repare que agora o plugin solicitará 3 códigos:
- Integration key;
- Secret key;
- API hostname;
Você já os tem à mão (veja o procedimento 11, acima). Copie-os e cole-os nos respectivos campos e clique em “Salvar alterações”:
17) Observe que após o procedimento acima, o Duo já iniciará a proteção do WordPress. Você já começará a utilizar a autenticação em duas etapas a partir deste momento.
Uma breve explicação é fornecida na tela para a qual você é redirecionado a seguir:
18) Conforme imagem acima, clique no botão “Start setup” para os procedimentos iniciais.
19) A seguir, informe o dispositivo preferido. Observe que é possível utilizar um celular, um tablet ou então um telefone fixo. Obviamente, um celular (com o aplicativo “Duo Mobile” já instalado – veja item 1, acima) é a melhor escolha. Escolha, portanto, a opção “Mobile phone” e clique em “Continue”:
20) A seguir, informe o número do seu celular, incluindo o código do país (marque inclusive o campo “Double-check your number”, após o preenchimento), e clique em “Continue”:
21) O Duo também solicitará, a seguir, qual é a plataforma do dispositivo selecionado (iPhone, Android, BlackBerry, Windows Phone ou outros). Marque o checkbox correto e clique em “Continue”:
22) Na tela seguinte, marque a opção “I have Duo Mobile installed” (Eu tenho o Duo Mobile instalado) e clique em “Continue”.
23) Na próxima tela, existe um código QR que deve ser escaneado. Observe que estamos, neste momento, adicionando um dispositivo autorizado.
Abra o aplicativo “Duo Mobile” no seu smartphone e clique no botão com o sinal de “+”, no canto superior direito. Aponte a câmera para o QR Code e repare que após a leitura o botão “Continue” será habilitado. Clique nele.
Pronto, o dispositivo acabou de ser adicionado à lista de dispositivos autorizados. Na tela seguinte, seu número será exibido, juntamente com a plataforma e o seu usuário. Clique no botão “Done”:
Sua instalação do WordPress já está devidamente protegida através de autenticação em dois passos, via Duo. A partir daqui, você deverá utilizar o sistema em todos os logins, informando, além da sua senha pessoal de acesso à área administrativa, um dos métodos de autenticação fornecidos/exigidos pelo Duo.
Você também pode gerenciar sua conta junto ao serviço à qualquer momento, através deste link. É possível também incluir novos administradores e usuários, no Duo (“Administrators” e “Users”), bem como adicionar novas instalações do WordPress, para a devida proteção (Applications).
Vale também lembrar que o Duo pode ser utilizado com outros sistemas e ferramentas, como por exemplo Drupal e LastPass.
Obs: para desabilitar a proteção em seu site, primeiramente remova o aplicativo protegido (WordPress) na administração do Duo, em “Applications” (opção “Remove application”). A seguir, desinstale o plugin do WordPress.
Usando a autenticação em dois passos no WordPress
O sistema já está instalado. Tudo está devidamente configurado, se você seguiu todos os procedimentos acima. Já é possível, então, desfrutar de toda a proteção adicional.
24) Simplesmente acesse o formulário de login do seu WordPress (possivelmente em “https://www.nomedosite.tld/wp-login.php”).
25) Preencha normalmente os campos “Nome de usuário” e “Senha”, com seus dados pessoais de acesso (repare que até aqui nada mudou). Após o preenchimento, clique em “Login”.
26) Agora entrará em cena a autenticação em dois passos. De agora em diante, isto sempre acontecerá quando você tentar acessar a dashboard do WP.
Ninguém mais conseguirá acessar a área de administração a menos que seja capaz de fornecer as informações solicitadas pelo Duo, informações estas, é claro, que somente você e/ou as pessoas por você autorizadas terão condições de obter.
A seguinte tela será exibida, de agora em diante:
Conforme podemos perceber, o Duo lista todos os dispositivos (devices) já ligados à conta e autorizados a acessar a administração do WordPress.
Há também a possibilidade de utilizar notificações push (Duo Push), para autorizar ou negar o acesso através de um popup no smartphone (procedimento um tanto quanto mais rápido e simples), ou então códigos numéricos enviados através de SMS (Passcode).
Neste último caso, é necessário clicar no link logo abaixo do campo “Passcode” para solicitar o envio dos códigos para seu celular, através de SMS – lembrando que o código deverá ser informado no respectivo campo.
Escolhido o método de autenticação desejado, clique em “Log in”. A seguir, no caso do “Duo Push”, você deverá autorizar o acesso no popup exibido no celular (use a opção “Approve”). Caso tenha optado por “Passcode”, verifique o SMS recebido, informe um dos códigos recebidos no campo necessário (veja imagem acima) e clique em “Log in”.
Obs: certifique-se de verificar, antes de liberar o acesso, os dados fornecidos pelo aplicativo no celular, no caso de usar notificações push. Libere o acesso apenas quando os dados exibidos correspondam com os seus ou então com os de outros usuários autorizados.
O aplicativo exibe o usuário que está solicitando acesso, bem como o IP, o local (incluindo o país), a data e o horário. Fique atento.
