Como se recuperar de um bloqueio 2FA do WordPress

Dec 28, 2023

Página inicial » Rede de blogueiros de segurança » Como se recuperar de um bloqueio 2FA do WordPress

Usar 2FA para proteger seu site WordPress é de longe uma das melhores medidas de segurança que você pode tomar. Ele adiciona uma camada adicional de segurança e é muito fácil de configurar. Além disso, tem um histórico comprovado de interromper a grande maioria dos ataques baseados em login, como ataques de força bruta. Embora muitos administradores do WordPress já tenham implementado o 2FA, muitos ainda evitam essa tecnologia. Uma das principais razões para isso é o equívoco sobre bloqueios.

Neste artigo, veremos as etapas preventivas que você pode executar para evitar bloqueios. Também veremos o que você pode fazer se tiver sido bloqueado devido à perda do dispositivo 2FA ou a uma interrupção do serviço.

Índice

O 2FA pode ser facilmente implementado em qualquer site WordPress usando um plugin WordPress. Na maioria dos casos, o plug-in funciona independentemente de qualquer outro serviço e não requer nenhuma assinatura de terceiros. Isso reduz o número de 'partes móveis' no ecossistema. Alguns métodos 2FA, como SMS, Whatsapp e voz, exigirão uma assinatura separada para funcionar, pois dependem de redes de terceiros para fornecer o OTP (One Time Password) necessário para o funcionamento do 2FA.

Neste artigo, usaremos o plug-in WP 2FA para ilustrar as opções de recuperação 2FA ao usar 2FA no WordPress. Deve-se notar que o WP 2FA vem com nada menos que seis canais de autenticação diferentes para escolher, tornando-o um dos plugins WordPress 2FA mais abrangentes disponíveis no mercado atualmente.

Planejar com antecedência costuma ser a melhor maneira de evitar as dores de um bloqueio 2FA. Se você já configurou o 2FA ou ainda está na fase de pesquisa, há etapas que você pode seguir para evitar bloqueios. Isso não apenas aliviará sua apreensão e a de seus usuários sobre a tecnologia, mas também evitará o tempo de inatividade e eliminará a perda de produtividade.

Um dos problemas que muitos administradores do WordPress enfrentam é que os usuários não configuram a autenticação de dois fatores dentro do período de cortesia fornecido. Dependendo de como a política é configurada, a conta do usuário pode ser bloqueada, exigindo que um administrador a desbloqueie.

Embora essa possa ser a opção mais segura, se você for um administrador gerenciando mais do que seu quinhão de usuários distraídos, convém bloquear o acesso ao painel até que o 2FA seja configurado. Isso garante que os usuários configurem o 2FA sem exigir intervenção de sua parte para desbloquear a conta.

O WP2FA oferece uma seleção de métodos alternativos de autenticação 2FA para ajudá-lo a prevenir bloqueios. Como os bloqueios podem ocorrer por vários motivos que podem estar fora de seu controle – como um usuário esquecer ou perder o telefone – tomar medidas preventivas é sempre uma escolha inteligente.

Os métodos de verificação alternativos permitem que você escolha um método 2FA alternativo caso o método principal falhe. Aqui, um usuário pode configurar qualquer um dos métodos disponíveis como seus métodos primários e, em seguida, pré-configurar um método secundário. Vamos ilustrar isso com um exemplo. Um usuário pode ter o aplicativo TOTP Authenticator definido como método principal e e-mail como segundo. Se eles esquecerem o telefone, levá-lo para reparos ou ficar sem bateria, eles podem simplesmente optar por receber o OTP por e-mail.

O WP 2FA também oferece códigos de backup que os usuários podem fazer o pré-download para usar caso não consigam fazer login com seu método principal.

Se você estiver bloqueado no momento e não tiver um método de backup ou método secundário configurado, ainda poderá recuperar o acesso à sua conta do WordPress. No entanto, levará apenas um pouco mais de trabalho, mas não deve demorar mais do que alguns minutos.

Antes de prosseguir, você deve primeiro verificar se há algum outro usuário administrador que ainda tenha acesso ao WordPress. Se for esse o caso, você pode solicitar que redefinam sua configuração 2FA por meio da página de perfil.

Se não houver ninguém que possa redefinir sua configuração 2FA, você precisará desativar manualmente o plug-in para poder acessar o WordPress sem precisar inserir seu código 2FA. Você precisará de acesso FTP/SFTP ou SSH para renomear o nome da pasta do plug-in. Isso desativará efetivamente o plug-in, permitindo que você faça login sem 2FA.