7 melhores plugins de autenticação de dois fatores do WordPress: login seguro

É fácil ignorar a importância de usar senhas fortes e seguras para seus sites e aplicativos. Em uma era de grandes violações de dados, onde verificar se você foi roubado se tornou uma necessidade, ninguém pode afirmar que está isento de riscos de segurança potencialmente abrangentes.

Mais recentemente, uma das maiores plataformas sociais, a Quota, foi comprometida por hackers maliciosos. O resultado? Mais de 100 milhões de usuários tiveram suas informações pessoais expostas. Nomes, e-mails, senhas (criptografadas) e outras informações confidenciais foram acessadas por uma parte fora do Quora.

Esse tipo de ataque pode parecer que não tem nada a ver com você pessoalmente, mas se você já se inscreveu no Quora, está exposto aos riscos de ter suas outras contas comprometidas também.

Outras grandes violações nos últimos tempos incluem Adobe, LinkedIn e, mais recentemente, hackers encontraram uma maneira de explorar um dos plugins GDPR mais populares do WordPress.

É aqui que o 2FA (autenticação de dois fatores) entra em jogo para o WordPress. Ao contrário das páginas tradicionais protegidas por senha, o 2FA apresenta uma segunda camada de verificação de identidade que pode proteger os sites do WordPress.

Neste post, mostramos os sete melhores plugins de autenticação de dois fatores do WordPress para proteger seu site.

1. Dois fatores
2. WP 2FA
3. Autenticação de dois fatores
4. miniOrange 2FA
5. Autenticação de dois fatores Duo
6. Rublon
7. SecSign

O que é a autenticação de dois fatores do WordPress (2FA)?

Você já esqueceu sua senha antes em um site como Google ou Amazon? Quando você tentou redefini-lo, foi solicitado que você verificasse sua identidade duas vezes usando uma frase memorável ou enviando um código PIN para seu telefone celular. Esta é a implementação básica da verificação de dois fatores.

Básico no sentido de que você só precisa verificar sua identidade duas vezes depois de perder o acesso à sua conta.

Uma abordagem mais robusta e segura é garantir que cada tentativa de login seja protegida pela verificação de dois fatores.

Os métodos mais populares empregados para autenticação de dois fatores incluem endereços de e-mail externos, usando um aplicativo de celular como Google Authenticator ou Authy para acessar um código de segurança (TOTP ou HOTP), tokens baseados em hardware (por exemplo, YubiKey) que usam protocolos como FIDO, SMS ou ligações telefônicas e frases memoráveis ​​além da senha.

Felizmente, há um amplo número de plugins do WordPress disponíveis que fornecem soluções de autenticação de dois fatores. Alguns serviços de usuário de plugins como Google Authentication ou Authy, enquanto outros implementam métodos completamente diferentes, como verificação de e-mail e notificações push personalizadas.

Sete melhores plugins de autenticação de dois fatores do WordPress

1. Dois fatores

O Two-Factor é um plug-in de autenticação de dois fatores 100% gratuito que vem de vários colaboradores conhecidos do WordPress.

Além de ser gratuito, seu recurso de destaque é que ele suporta vários métodos de autenticação diferentes, incluindo:

• Códigos de e-mail
• TOTP – funciona com qualquer aplicativo autenticador, como o Google Authenticator
• FIDO Universal 2nd Factor (U2F) – permite que as pessoas usem chaves de segurança físicas, como YubiKey
• Códigos alternativos

As principais desvantagens do plugin são as seguintes:

1. Embora seja ótimo para proteger sua própria conta, ele não oferece tantas opções para aplicar a autenticação de dois fatores para diferentes tipos de usuários em seu site.
2. Ele não oferece nenhuma integração para autenticação baseada em texto.

No geral, se você deseja apenas proteger sua própria conta do WordPress (além de talvez as contas de alguns contribuidores), essa opção 100% gratuita é um ótimo lugar para começar.

2. WP 2FA

O WP 2FA é um popular plugin de autenticação de dois fatores do WordPress da WP White Security, a mesma equipe por trás de várias ferramentas de segurança conhecidas. Mais notavelmente, o plugin WP Activity Log.

O WP 2FA permite configurar a autenticação de dois fatores por meio de vários métodos, em suas versões gratuitas e pagas.

A versão gratuita suporta qualquer aplicativo autenticador popular – por exemplo, Google Authenticator ou Authy. A versão paga oferece uma integração Authy mais avançada que suporta dois fatores via SMS, notificação por push, WhatsApp e chamadas recebidas.

Ele também suporta códigos de backup únicos caso os usuários percam o acesso ao seu método.

Você também pode configurar políticas de dois fatores personalizáveis, que é uma grande área em que se destaca em relação ao plug-in anterior. Por exemplo, você pode forçar certas funções de usuário a usar dois fatores, tornando-a opcional para outras.

Você também pode acessar outros recursos úteis, como dispositivos confiáveis, integração de usuários com configuração de dois fatores e muito mais.

Há uma versão funcional gratuita no WordPress.org e a versão paga começa em apenas $29.

3. Autenticação de dois fatores

A autenticação de dois fatores é um plugin freemium dos mesmos desenvolvedores do popular plugin de backup UpdraftPlus.

Ele suporta os métodos TOTP e HOTP, que permitem usar qualquer aplicativo autenticador, como Google Authenticator ou Authy.

A versão premium também adiciona códigos de backup de emergência caso o usuário perca o acesso ao dispositivo.

Uma das áreas em que este plugin se destaca sobre o plugin Two-Factor acima é quando se trata de configurar políticas e gerenciar diferentes tipos de usuários. aqui estão alguns exemplos:

• Habilite/desabilite dois fatores para diferentes funções de usuário. Por exemplo, exija isso para administradores, mas não para assinantes.
• Ative/desative dois fatores para funções de usuário específicas.
• Gerencie os dois fatores de outros usuários da sua conta de administrador.
• Permitir dispositivos confiáveis ​​para que os usuários não precisem verificar o mesmo dispositivo por um determinado período de tempo (por exemplo, 30 dias).

Ele também possui alguns outros recursos interessantes, como uma opção para os usuários gerenciarem dois fatores a partir do frontend.

No entanto, é um pouco limitado em seus métodos de dois fatores - não há opção de usar chaves de hardware, e-mail ou SMS/chamadas telefônicas.

Há uma versão funcional gratuita no WordPress.org e a versão paga começa em apenas ~$24.

4. miniOrange 2FA

Soluções de autenticação perfeitas miniOrange para proteger a exposição de dados confidenciais. O plugin WordPress da empresa foi desenvolvido para fornecer fácil integração com o serviço Google Authenticator. No entanto, você pode usar métodos de autenticação adicionais, como códigos QR escaneáveis, notificações push, tokens virtuais e perguntas de segurança.

Ao ativar o plug-in, você pode acessar o miniOrange Dashboard e começar a configurar seu método preferido de verificação de autenticação. O design de interface intuitivo facilita a seleção rápida de uma solução que seja adequada para você.

É importante observar que o miniOrange exige que você instale seu aplicativo móvel se desejar usar técnicas de verificação mais robustas, como notificações push e códigos QR.

A versão gratuita limita o 2FA a um único usuário por site. Caso deseje habilitar o 2FA para mais de um usuário, você deverá considerar uma opção paga. A vantagem de usar a versão premium é que você pode habilitar métodos de autenticação adicionais. Especificamente, verificação de SMS e e-mail.

Se você opera um blog menor e é o único administrador ativo, a versão gratuita deve ser mais do que suficiente para fornecer proteção adequada à segurança do seu site.

5. Autenticação de dois fatores Duo

Duo é um plug-in robusto “2FA as a Service” para ajudar a proteger a segurança da sua conta WordPress. O processo de integração simples leva apenas alguns minutos para configurar.

Depois de terminar de configurar o plugin, outra camada de segurança é adicionada ao seu site WordPress.

Como você pode ver acima, depois que os usuários fizerem login usando suas credenciais padrão do WordPress, eles serão solicitados a verificar novamente sua identidade usando qualquer um dos métodos de autenticação Duo escolhidos.

A lista completa de métodos de autenticação fornecidos pelo Duo inclui:

• Acesso de login com um toque usando o aplicativo Duo, tornando-o uma maneira rápida e fácil de provar sua identidade.
• Senha personalizada gerada a partir do aplicativo. Funciona no modo offline também.
• Uma senha personalizada enviada para o seu número de telefone usando SMS. Novamente, ótimo para quando você não tem acesso à internet.
• Retorno de chamada simples para números de telefone fixo e celular.

Se você quer ter tranquilidade quando se trata de segurança do seu site WordPress (além de ter um backup), o Duo é uma das opções mais fáceis de usar.

6. Rublon

É um fato bem conhecido que os hackers estão sempre tentando novos métodos e técnicas para invadir sites. E se você gerencia informações confidenciais, não há desculpa para evitar ir além para garantir proteção no nível do setor.

Esta é a premissa do Rublon, uma solução de autenticação de dois fatores avançada e sofisticada. Você pode configurar vários métodos de verificação, como obter um link enviado ao seu e-mail para confirmação. Rublon salvará as informações do seu dispositivo e permitirá que você faça login usando apenas uma senha.

Além disso, você pode usar o Rublon App para levar a segurança do seu site com você onde quer que vá. Faça login usando seu nome de usuário/senha padrão e verifique sua identidade digitalizando o código QR usando seu telefone.

A melhor parte é que você pode instalar este plugin e esquecê-lo. Sem curvas de aprendizado extenuantes ou recursos complexos, apenas segurança 2FA simples para sites WordPress.

7. Sec Sign

O SecSign fornece uma experiência universal de autenticação 2FA baseada em dispositivos móveis para sites WordPress. O plug-in usa métodos de criptografia de última geração para garantir proteção de força bruta.

Além disso, as chaves privadas geradas pelo SecSign nunca são conectadas a um servidor externo. Em vez disso, as chaves são criadas diretamente pelo aplicativo móvel e você é a única pessoa a vê-las.

A principal diferença entre este e outros plugins neste resumo é que o SecSign usa sua plataforma de identificação pessoal: SecSign ID. Isso significa que você não usará suas credenciais do WordPress. Em vez disso, você pode usar o Portal SecSign para gerar nomes de ID exclusivos para cada um de seus usuários.

Como resultado, você pode aproveitar métodos de verificação como impressão digital (para usuários da Apple) e técnicas menos complexas, como seleção de imagem personalizada.

Qual plugin de autenticação de dois fatores você deve usar?

Escolher o melhor plugin de autenticação de dois fatores do WordPress realmente depende de duas coisas principais:

1. Os métodos de autenticação de dois fatores que você deseja usar. Por exemplo, chaves FIDO físicas vs aplicativos de smartphone TOTP.
2. Quanta flexibilidade você precisa para impor a autenticação de dois fatores em diferentes tipos de usuários.

Claro, seu orçamento também pode entrar em jogo.

Se você deseja apenas proteger sua própria conta do WordPress, o plugin Two-Factor é um ótimo lugar para começar, pois suporta uma variedade de métodos diferentes e é fácil de usar.

Por outro lado, você pode querer considerar WP 2FA ou Autenticação de dois fatores se você se encaixar em uma ou mais das seguintes situações:

1. Você deseja impor a autenticação de dois fatores para outros usuários em seu site, incluindo talvez ter regras diferentes para diferentes tipos de usuários. Por exemplo, você pode exigir dois fatores para funções de usuário Editor, mas não para funções de usuário Assinante.
2. Você deseja usar SMS ou chamadas telefônicas como método de autenticação.

O WP 2FA pode lidar com essas duas coisas, o que o torna uma ótima opção geral. A autenticação de dois fatores faz um bom trabalho ao configurar políticas para diferentes tipos de usuários, mas não oferece suporte a SMS ou telefonema como método de dois fatores.

Empacotando

Você não pode colocar um preço na segurança dos dados. A exposição a ataques pode prejudicar a identidade da sua marca, diminuir a confiança que os usuários têm em seus produtos ou serviços e causar dores de cabeça e perda de tempo quando seu site é invadido. Embora não seja possível garantir 100% de segurança, a autenticação de dois fatores é uma das melhores técnicas disponíveis para impedir o acesso não autorizado ao site.

Os plugins que exploramos neste post são incrivelmente rápidos de instalar e simples de configurar. Mesmo que você não goste da ideia de usar um aplicativo móvel, usar seu telefone para verificar o acesso ao seu site ou ter um código exclusivo armazenado em algum lugar seguro, é melhor do que confiar apenas em uma única senha.

Para saber mais sobre as melhores práticas de segurança, não perca 14 maneiras de proteger seu site WordPress – passo a passo e 10 plugins para intensificar a segurança do WordPress.