Como proteger seu periódico OJS com autenticação de dois fatores

Se você gerencia um periódico acadêmico no Open Journal Systems (OJS), a segurança deve ser uma prioridade máxima. As instalações do OJS são cada vez mais visadas por hackers — de injeções de spam e sequestro de SEO a acesso não autorizado a contas editoriais. Um periódico comprometido não perde apenas dados; perde credibilidade.

O passo mais eficaz que você pode dar? Habilitar a autenticação de dois fatores (2FA).

Por que os periódicos OJS são vulneráveis

O OJS é usado por mais de 40.000 periódicos em todo o mundo. Essa popularidade o torna um alvo. Os vetores de ataque comuns incluem:

  • Senhas fracas — editores e avaliadores geralmente usam senhas simples, especialmente ao gerenciar contas em vários periódicos
  • Contas compartilhadas — algumas equipes editoriais compartilham credenciais de login, impossibilitando rastrear quem fez o quê
  • Instalações desatualizadas — muitos periódicos rodam versões mais antigas do OJS com vulnerabilidades de segurança conhecidas
  • Sem proteção contra força bruta — o OJS não limita as tentativas de login por padrão

Uma única conta de administrador comprometida pode dar a um invasor o controle total sobre o seu periódico — artigos publicados, identidades de avaliadores, dados de submissão e decisões editoriais.

O que é Autenticação de Dois Fatores?

A autenticação de dois fatores adiciona uma segunda etapa ao processo de login. Após inserir uma senha, os usuários também devem fornecer um código de uso único de um aplicativo de autenticação (como Google Authenticator, Authy ou 1Password). Mesmo que alguém roube uma senha, não poderá fazer login sem o código.

O padrão da indústria para isso é o TOTP (Time-based One-Time Password), a mesma tecnologia usada pelo Google, GitHub e praticamente todas as principais plataformas.

O OJS suporta 2FA nativamente?

Não. O OJS não possui autenticação de dois fatores integrada. Ele depende de autenticação simples de usuário/senha, com integração LDAP opcional para instituições que o utilizam.

Isso significa que você precisa de um plugin.

Configurando o 2FA no OJS

O plugin Two-Factor Authentication para OJS adiciona 2FA completo baseado em TOTP ao seu periódico. Aqui está o que ele oferece:

Imposição Baseada em Funções

Nem todo usuário precisa de 2FA. Um avaliador que faz login uma vez para enviar uma avaliação tem necessidades de segurança diferentes de um gerente de periódico com acesso de administrador. O plugin permite escolher quais funções exigem 2FA:

  • Administradores do Site — sempre recomendado
  • Gerentes de Periódico — altamente recomendado
  • Editores e Editores de Seção — recomendado
  • Autores e Avaliadores — opcional, dependendo de sua política de segurança

Exigir um código em cada login pode ser frustrante, especialmente para editores que fazem login diariamente. O recurso de navegador confiável permite que os usuários marquem seus dispositivos como confiáveis por um número configurável de dias. Eles só precisarão do código novamente após o término do período de confiança ou ao fazer login em um novo dispositivo.

Códigos de Backup

Se um usuário perder o telefone ou trocar de dispositivo, os códigos de backup garantem que ele não fique bloqueado. Cada usuário recebe um conjunto de códigos de backup de uso único durante a configuração, que podem ser usados no lugar do código do autenticador.

Gerenciamento Inteligente de Avaliadores

Os avaliadores externos geralmente têm interação mínima com seu periódico — eles fazem login, enviam uma avaliação e saem. Forçá-los a configurar o 2FA pode criar atrito e atrasar as avaliações. O plugin lida com isso de forma elegante, permitindo que você isente contas apenas de avaliadores dos requisitos de 2FA.

Controles de Administrador

Os gerentes de periódicos podem:

  • Ver quais usuários têm o 2FA habilitado
  • Redefinir o 2FA para usuários que perderem o acesso ao seu autenticador
  • Monitorar a adoção do 2FA em toda a equipe editorial

Além do 2FA: Outras Medidas de Segurança

A autenticação de dois fatores é a mudança individual de maior impacto, mas uma boa segurança é feita em camadas:

  1. Mantenha o OJS atualizado — instale patches de segurança prontamente
  2. Use HTTPS — habilite force_ssl = On no config.inc.php
  3. Senhas fortes — imponha requisitos mínimos de senha
  4. Backups regulares — backups diários de banco de dados e arquivos, armazenados fora do servidor
  5. Limite o acesso de administrador — dê as funções de Administrador do Site ou Gerente de Periódico apenas para pessoas que realmente precisam delas
  6. Instale plugins de fontes confiáveis — use apenas plugins da PKP Plugin Gallery ou de desenvolvedores verificados

Como Começar

O plugin Two-Factor Authentication é instalado em menos de 5 minutos — faça o upload do ZIP através da Galeria de Plugins, habilite-o e configure quais funções exigem 2FA.

Sua equipe editorial será guiada pelo processo de configuração no próximo login, com instruções claras para escanear o QR code com seu aplicativo de autenticação preferido.

Não espere por um incidente de segurança. Proteger a integridade do seu periódico e os dados de seus colaboradores começa com um único passo.

Saiba mais sobre o plugin Two-Factor Authentication →

← Todos os artigos