Security Blog
Security Blog

Autenticação de dois fatores para WordPress

How to secure user accounts and prevent account takeover with two-factor authentication


English version: Two-Factor Authentication for WordPress


A autenticação de dois fatores ou 2FA fornece uma camada adicional de segurança que requer um segundo fator de identificação além de apenas um nome de usuário e uma senha. A autenticação de dois fatores tem sido usada há muito tempo para controlar o acesso a dados pessoais e financeiros processados em bancos ou companhias de seguros; e hoje os proprietários de sites estão usando cada vez mais 2FA para proteger as contas de seus usuários contra criminosos cibernéticos que exploram senhas fracas ou roubadas do WordPress e credenciais comprometidas.

Quando o 2FA está ativado em um site, é necessário que o usuário forneça um código PIN de verificação adicional ao fazer login no site. Este código de verificação é gerado automaticamente e enviado ao usuário por email. Como medida de segurança adicional, você pode especificar um endereço de e-mail separado por usuário, especificamente para entregar códigos de verificação 2FA.

Para continuar, o usuário deve inserir o código PIN de verificação no formulário. Caso o usuário não tenha recebido o código, ele pode tentar obter outro ou cancelar o processo de login.

Two-Factor Authentication form

Two-Factor Authentication form is used to verify the user

Como habilitar a autenticação de dois fatores

Você pode ativar facilmente o 2FA por função na página de administração das Políticas de usuário . WP Cerber Security permite definir diferentes configurações 2FA para cada função. No modo Avançado, você pode especificar um conjunto de condições para impor a autenticação de dois fatores para uma determinada função. O modo Avançado está disponível na versão Profissional do plugin .

Observação: antes de ativar o 2FA para contas de administrador, você deve concluir um login bem-sucedido com o 2FA ativado para qualquer outra função no site.

Two-Factor Authentication policies for WordPress

Two-Factor Authentication policies for WordPress

Configurações 2FA por usuário

Você pode personalizar algumas configurações 2FA por usuário na página de edição do usuário (página de perfil do usuário). Além das configurações 2FA por função, você pode desabilitar ou habilitar a autenticação de dois fatores para um usuário específico. Você pode escolher entre “Sempre ativado”, “Desativado” e “Determinado pelas políticas de função do usuário”. Este recurso está disponível na versão profissional do WP Cerber.

Como medida de segurança adicional, você pode especificar um endereço de e-mail separado especificamente para entregar códigos de verificação.

Two-Factor Authentication for WordPress: per-user settings

Two-Factor Authentication for WordPress: per-user settings in the professional version

Listando endereços IP na lista de permissões

Todos os usuários do WordPress que fazem login a partir de endereços IP na Lista de Acesso IP Branca estão excluídos da autenticação de dois fatores imposta.

Monitorando eventos de autenticação de dois fatores

Quando a autenticação de dois fatores é aplicada a um usuário, o WP Cerber registra esse evento no log de atividades como "Autenticação de dois fatores aplicada". Neste momento um novo código PIN de verificação é gerado e enviado ao usuário. Quando um usuário insere o código PIN de verificação correto, o evento de login é marcado como “código 2FA verificado”.

Para monitorar logins de usuários feitos com autenticação de dois fatores, vá para o log de atividades, selecione o evento "Autenticação de dois fatores aplicada" na lista suspensa e clique no botão Filtrar .

Two Factor Authentication: activity logging

Two Factor Authentication: activity logging

Como gerenciar configurações 2FA em vários sites

Você sabia que pode monitorar e gerenciar configurações 2FA em qualquer número de sites remotamente? Habilite uma tecnologia de gerenciamento remoto Cerber.Hub para gerenciar todas as configurações do WP Cerber e monitorar a atividade do usuário a partir de um painel do WordPress.

Observe que alguns recursos 2FA estão disponíveis apenas na versão profissional .

Características Livre Profissional
Modo 2FA padrão Sim Sim
Modo 2FA avançado Não Sim
Políticas 2FA por usuário Não Sim
Endereço de e-mail separado para códigos 2FA Não Sim
Gerenciando 2FA em vários sites Não Sim

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.