A segurança digital deve ser uma preocupação de
usuários do WordPress.
O CMS é um software de código aberto, o que significa que ele é
constantemente incrementado por uma comunidade de desenvolvedores,
que adicionam novas propriedades, recursos e corrigem bugs e falhas
de segurança.
Entretanto, essa alta disponibilidade de informação
acerca dos códigos do WordPress também ressalta as vulnerabilidades
do sistema — milhões de credenciais são roubadas ou comprometidas
na Web todos os anos.
Essas vulnerabilidades devem ser mitigadas pelos próprios
usuários, por meio do uso
de ferramentas de segurança associadas ao WordPress.
Felizmente, muitos desenvolvedores criam ferramentas inovadoras. A
mais recente é um plugin de propriedade do WP Busters, que permite
aos usuários fazer login em seus sites WordPress via Touch
ID, Face ID ou pin.
Chamado de Passwordless WP, o plugin é um projeto do
desenvolvedor full-stack Ilya Zolotov e como o próprio nome sugere,
elimina a necessidade de adição de senhas durante o processo de
autenticação, o que torna o processo extremamente seguro e
mais simples.
Depois de encontrar o seu email pessoal — associado a senhas
antigas — em um banco de dados público, Zolotov passou a usar um
navegador sem extensões e scripts e desenvolveu o Passwordless WP.
A primeira versão do plugin usou bibliotecas criptográficas
estáveis e teve uma experiência de usuário
simplificada. O desenvolvedor acredita que a tecnologia que
operacionaliza a ferramenta terá amplo suporte a partir de agora.
Como o plugin funciona?
Os logins sem senha são tratados no nível do usuário, o que
significa que cada usuário em um site WordPress deve
registrar um token de sua página de perfil.
O plugin recebe dados do dispositivo usado pelo usuário e efetiva
o reconhecimento. Logo, ele não armazena os dados pessoais
de acesso, é o token armazenado no WordPress que opera de
forma integrada com o dispositivo.
O plugin funciona para qualquer instalação do WordPress e tem
apenas um requisito mínimo de PHP
7.2. Além disso, ele requer HTTPS, a menos que seja usado em um
ambiente de teste localhost.
O processo é simples e leva apenas alguns minutos. Uma vez na
tela do token de registro, os usuários precisam apenas clicar
em um botão e escolher o método de autenticação em seu
sistema operacional.
Quais os diferenciais do Passwordless WP?
De acordo com Zolotov, o plugin tem um protocolo rápido, seguro e certificado. Enquanto outros usam SMS ou e-mail para enviar o código ou link necessário para o login, o Passwordless WP não comporta link para serviços de terceiros ou dados pessoais no servidor.
Existem outros plugins que operam de forma similar ao Passwordless
WP, como o WP-WebAuthn.
Quer adicionar uma camada a mais de segurança em seu site em
WordPress? Veja
agora como obter uma autenticação de dois fatores!
