WordPress aumenta a segurança para blogueiros com autenticação de dois fatores

Automattic, empresa por trás do descontroladamente popular software de blogs WordPress, anunciou a disponibilidade imediata de 2FA (autenticação de dois fatores) para os titulares de contas WordPress.

Como a Apple, que recentemente fez algo semelhante , mas optou por chamá-lo de duas a verificação etapa, o WordPress tem ido para o seu próprio nome, referindo-se ao recurso como autenticação de dois passos.

Se você chamá-lo 2FA, 2SV ou 2SA realmente não importa, porque a idéia subjacente é a mesma: introduzir senhas de uso único que são únicas para cada login.

Como resultado, os atacantes não podem chegar a lugar nenhum, simplesmente roubar o seu nome de usuário regular e combinação de senha.

→ Há muitas maneiras que uma senha de longo prazo pode cair nas mãos dos bandidos. Se você usar a mesma senha em vários sites, você corre o risco de perdê-lo, se qualquer um desses sites hackeados. Se você está infectado com malware, corre o risco de ter sua senha keylogged cada vez que você entrar. Se você compartilhar sua senha com outra pessoa, por exemplo, quando você está em uma pressa para começar um blog de negócios de tempo crítico publicado, você corre o risco de que possam perdê-lo para você.

One-time passwords não são perfeitos – nenhum sistema de segurança é – mas eles levantam a barra abruptamente para bandidos.

Isso porque os bandidos não pode simplesmente pedir, roubar ou emprestar sua senha de hoje e usá-lo em seu lazer de amanhã.

Eles precisam de interpor-se cada vez que você entrar, a fim de recuperar o código de uma só vez.

E se o código de uma só vez é gerada por, ou entregue a um dispositivo que é separado do computador ou dispositivo em que você realmente faz o seu trabalho, o trabalho é ainda mais difícil para os criminosos. (Não é impossível, claro. Mas muito mais difícil.)

Como funciona

Para o WordPress, a Automattic introduziu duas opções.

Você pode baixar e utilizar o software Google Autenticador e usá-lo para gerar códigos de um tempo de login no iOS, Android ou BlackBerry.

Ou você pode optar por ter os seus códigos de login entregue a um telefone celular via SMS.

Com Wikipedia estimando que poderes WordPress mais de 60 milhões de sites em todo o mundo, qualquer coisa que possa melhorar a segurança dos usuários do WordPress é bem-vinda.

Afinal, se descontentes se apossar do seu login WordPress, eles podem usá-lo para atacar você, sua reputação, sua marca, e, por malware upload ou links maliciosos, para atacar seus usuários.

Realmente não importa se você tem um servidor de alto tráfego ou um site boutique, uma vez que ambos representam um passeio livre para os criminosos.

E isso nos leva à pergunta $ 64.000: se você é um usuário do WordPress, você deve ativar o recurso, e ele ficar no caminho?

Não recomendamos ele?

Como você provavelmente sabe: Segurança Nu em si está hospedado por WordPress.com VIP , eu sou um grande apoiador de 2FA, e eu gosto dos caras no Automattic … assim, quem melhor para responder a essas perguntas do que Yours Truly?

Por que vale a pena, eu decidi usar a versão baseado em SMS, garantindo assim que os meus códigos de login são entregues nem para o meu laptop nem o meu tablet, mas para um telefone móvel de baunilha.

Isso transforma o que poderiam ser apenas a autenticação de dois passos (onde eu entro no mesmo dispositivo para o qual o código foi enviado) em algo que eu considero ser autenticação de dois fatores.

Foi fácil de configurar.

Dirigi-me à guia Segurança da minha página Configurações WordPress:

Eu escolhi o link oferecer autenticação de dois Passo via SMS:

Dentro de cerca de cinco segundos, recebi uma única vez, somente dígitos, código de configuração.

(A julgar pela lista de países na janela de configuração, o serviço SMS está disponível em todos os lugares.)

WordPress me mandou um email para confirmar que alguém havia habilitado este novo recurso:

E então eu cliquei até a impressão alguns códigos de backup opção para se apossar de 10 códigos que eu possa usar em caso de emergência:

NB. Não guarde os códigos de backup em seu computador, telemóvel ou tablet. Copiá-las em um pedaço de papel e trancá-los em casa. Se um bandido roubou de seu PC, ele seria capaz de ignorar 2FA, e depois para reconfigurá-lo.

Obviamente, eu não tenho usado o serviço por muito tempo – menos de um dia! – Então eu não posso prometer-lhe que o sistema vai executar na perfeição para sempre, mas a minha impressão imediata é que ele está funcionando muito bem.

Eu entrar como sempre, com meu nome de usuário e senha, e depois esperar por um código de verificação, que entra como a segunda etapa de autenticação:

Até agora, os SMSes foram aparecendo no meu telefone dentro de um segundo do diálogo de verificação surgindo, assim o inconveniente tem sido insignificante.

Se você ativar o recurso, e isso funciona?

Sim. Sim. Recomendado.