Cómo agregar autenticación de dos factores en WordPress (método gratuito)

¿Has notado cómo sitios populares como Facebook y Google te piden que agregues autenticación de dos factores para mejorar la seguridad?

Bueno, ahora puedes agregar autenticación de dos factores a tu sitio web de WordPress. Esto garantiza la máxima seguridad para su sitio de WordPress y todos sus usuarios registrados.

En este artículo, le mostraremos cómo agregar autenticación de dos factores para WordPress usando un complemento y una aplicación de autenticación.

¿Por qué agregar la autenticación de dos factores en WordPress?

Uno de los trucos más comunes que utilizan los piratas informáticos se llama ataques de fuerza bruta. Durante uno de estos ataques, utilizan scripts automatizados que intentan adivinar el nombre de usuario y la contraseña correctos para poder iniciar sesión en su sitio web de WordPress.

Un ataque de fuerza bruta exitoso puede brindar a los piratas informáticos acceso al área de administración de su sitio web. Pueden instalar malware, robar información del usuario y eliminar todo lo que hay en su sitio.

Una de las formas más sencillas de proteger su sitio web de WordPress contra contraseñas robadas es agregar autenticación de dos factores (2FA). Con esta configuración, deberá ingresar su contraseña y un código secundario (de una aplicación, correo electrónico o mensaje de texto) para iniciar sesión en su sitio web.

De esta manera, incluso si alguien robó su contraseña, aún deberá ingresar un código de seguridad desde su teléfono para obtener acceso.

¿Qué es una aplicación de autenticación?

Hay varias formas de configurar el inicio de sesión en dos pasos en WordPress. Sin embargo, el método más seguro y sencillo es utilizar una aplicación de autenticación.

Una aplicación de autenticación es una aplicación para teléfono inteligente que genera una contraseña temporal de un solo uso para las cuentas que guarda en ella.

Básicamente, la aplicación y su servidor usan una clave secreta para cifrar información y generar códigos únicos que puede usar como segunda capa de protección.

Hay muchas aplicaciones disponibles de forma gratuita:

• La aplicación más popular es Google Authenticator, pero no es la mejor opción. Esto se debe a que si pierde su teléfono, no hay forma de recuperar sus cuentas a menos que cree una copia de seguridad con anticipación.

• Recomendamos utilizar Authy ya que es una aplicación gratuita y fácil de usar que también te permite guardar tus cuentas en la nube en un formato cifrado. De esta manera, si pierde su teléfono, simplemente puede ingresar su contraseña maestra para restaurar todas sus cuentas.

• Otros administradores de contraseñas como LastPass y 1Password vienen con su propia versión de autenticador. Son mejores que Google Authenticator ya que te permiten restaurar claves.

Por el bien de este tutorial, usaremos Authy. Puedes seguir nuestro tutorial usando una aplicación diferente si lo deseas, ya que todas funcionan de la misma manera.

Dicho esto, echemos un vistazo a cómo agregar 2FA en WordPress. Simplemente haga clic en los enlaces a continuación para ir al método que prefiera:

Ahora, echemos un vistazo a cómo agregar fácilmente la verificación de dos factores a su pantalla de inicio de sesión de WordPress de forma gratuita.

Método 1: agregar autenticación de dos factores usando WP 2FA

Este método es fácil y recomendado para todos los usuarios. Es flexible y le permite aplicar la autenticación de dos factores para todos los usuarios.

Primero, debe instalar y activar el complemento WP 2FA – Autenticación de dos factores. Para obtener más detalles, consulte nuestra guía paso a paso sobre cómo instalar un complemento de WordPress.

Tras la activación, el asistente de configuración de WPA 2FA se iniciará automáticamente. De lo contrario, puede visitar la página Usuarios »Su perfil y desplazarse hacia abajo hasta la sección 'Configuración de WP 2FA'.

Al hacer clic en el botón 'Configurar autenticación de dos factores (2FA)' se iniciará el asistente de configuración.

El asistente de configuración de WP 2FA

Simplemente haga clic en '¡Comencemos!' para comenzar a configurar el complemento.

En la página siguiente, se le pedirá que elija un método de autenticación.

Hay dos opciones:

• Código único generado con la aplicación 2FA que elijas (recomendado)
• Código único enviado a usted por correo electrónico

Le recomendamos que elija la autenticación mediante el método de la aplicación 2FA (TOTP), ya que es más seguro y confiable.

Una vez que haya hecho su elección, puede hacer clic en el botón "Continuar configuración" para ir a la siguiente página del asistente de configuración.

Se le preguntará qué métodos 2FA alternativos desea que utilicen sus usuarios si el método 2FA principal falla, por ejemplo, si pierden su teléfono.

En el plan gratuito, solo estará disponible el método del código de respaldo. Si desea más métodos 2FA alternativos, deberá actualizar a WP 2FA Premium.

Simplemente haga clic en el botón 'Continuar configuración' para pasar a la página siguiente.

En esta página, puede hacer que el inicio de sesión de dos factores sea obligatorio para algunos o todos los usuarios. Recomendamos esto, especialmente si ejecuta un sitio web de WordPress multiusuario, como un sitio de membresía.

Si desea aplicar 2FA para todos los usuarios de su sitio web, simplemente seleccione la opción "Todos los usuarios" y haga clic en "Continuar configuración".

Ahora todos sus usuarios deberán utilizar 2FA.

Sin embargo, tal vez haya algunos usuarios en su sitio web a los que no desee obligar a utilizar 2FA. La siguiente página le permite escribir los nombres de usuario o roles de usuario de esos miembros del equipo.

Una vez que haya hecho eso, al hacer clic en el botón "Continuar configuración" accederá a una página donde podrá decidir qué tan pronto sus usuarios deben comenzar a usar 2FA.

Puede exigirles que comiencen de inmediato o puede darles un período de gracia de, digamos, 3 días, para que tengan tiempo de configurar todo. Simplemente haga clic en la opción que desea utilizar en su sitio web.

Si desea otorgar un período de gracia, puede elegir cuántas horas o días serán. La configuración predeterminada de 3 días funcionará bien para la mayoría de los sitios web.

También hay opciones sobre qué hacer después de que finalice el período de gracia si algunos usuarios no han configurado 2FA. Puede dejarles entrar pero no permitirles acceder al panel o bloquearles para que no puedan iniciar sesión. Para la mayoría de los sitios web, la primera opción será la mejor.

Una vez que haya hecho su elección, puede hacer clic en "Todo listo" para salir del asistente de configuración. ¡Felicitaciones, ha configurado la autenticación de dos factores en su sitio!

Verá la pantalla Finalizar configuración con un mensaje de felicitación. También verá un botón que le permitirá configurar 2FA para su propia cuenta de usuario. Debe hacer clic en el botón 'Configurar 2FA ahora'.

Configurar la autenticación de dos factores para su propia cuenta de usuario

Se iniciará un nuevo asistente de configuración para ayudarlo a configurar la autenticación de dos factores para su propia cuenta de usuario. A otros usuarios de su sitio web se les pedirá que hagan lo mismo.

Lo primero que deberá decidir es qué método 2FA desea utilizar. Debería ver la opción para un código de un solo uso a través de una aplicación de autenticación. También puede ver otras opciones dependiendo de las elecciones que haya realizado durante el asistente de configuración.

Simplemente elija la opción "Código de un solo uso a través de la aplicación 2FA" y luego haga clic en el botón "Siguiente paso".

El complemento ahora le mostrará un código QR y un código de texto.

Deberá escanear el código QR utilizando una aplicación de autenticación. Alternativamente, puedes escribir el código de texto en la aplicación manualmente.

Ahora tendrás que levantar tu dispositivo móvil y abrir tu aplicación de autenticación preferida. Las capturas de pantalla a continuación utilizan Authy, pero otras aplicaciones funcionan de manera similar.

Primero, haga clic en el botón '+' o 'Agregar cuenta' en su aplicación de autenticación.

Luego, la aplicación le pedirá permiso para acceder a la cámara de su teléfono.

Debe otorgar este permiso y luego tocar el botón "Escanear código QR" para poder escanear el código QR que se muestra en la página de configuración del complemento en su computadora.

Una vez que la aplicación reconozca el código QR, automáticamente comenzará a guardar la cuenta.

Después de eso, puede editar el logotipo y el apodo predeterminados de la cuenta. Cuando esté listo, debe tocar el botón "Guardar".

La aplicación de autenticación ahora guardará su cuenta del sitio web.

A continuación, comenzará a mostrar una contraseña de un solo uso. Deberá ingresar esto en la configuración del complemento en su computadora.

Ahora necesitas volver a tu computadora.

En el asistente de configuración del complemento, haga clic en el botón "Estoy listo" para continuar.

El complemento ahora le pedirá que verifique su contraseña de un solo uso.

Simplemente escriba el código de su aplicación móvil en el campo "Código de autenticación" antes de que caduque.

Después de eso, debes hacer clic en el botón 'Validar y guardar' para finalizar la configuración.

A continuación, se le dará la opción de generar y guardar una lista de códigos de respaldo. Estos códigos se pueden utilizar en caso de que no tenga acceso a su teléfono.

Debe hacer clic en el botón 'Generar lista de códigos de respaldo'.

Los códigos de respaldo se generarán y mostrarán.

Puede descargar estos códigos de respaldo en una ubicación segura de su computadora, imprimirlos y guardarlos en un lugar seguro, o enviárselos a usted mismo por correo electrónico. Asegúrate de guardarlos en algún lugar al que puedas acceder si no tienes tu teléfono.

Después de eso, puede hacer clic en el botón "Estoy listo, cerrar el asistente" para salir del asistente de configuración.

Uso de la autenticación de dos factores al iniciar sesión

La próxima vez que sus usuarios inicien sesión, verán una notificación informándoles que deben configurar la autenticación de dos factores, junto con la fecha límite al final del período de gracia.

Pueden hacer clic en un botón para configurar 2FA ahora o elegir que se les recuerde en su próximo inicio de sesión.

Cuando hagan clic en el botón 'Configurar 2FA ahora', se les guiará por los mismos pasos que cuando configuró 2FA para su propia cuenta de usuario en la sección anterior.

Cuando inicien sesión después de configurar la autenticación de dos factores, verán la pantalla de inicio de sesión de WordPress normalmente. Sin embargo, cuando ingresen su nombre de usuario y contraseña, se mostrará una segunda pantalla solicitando el código de su aplicación de autenticación.

Deberán ingresar el código de la aplicación en su teléfono antes de poder iniciar sesión. Alternativamente, pueden ingresar un código de respaldo si no tienen su teléfono con ellos.

Esto hace que su sitio web sea más seguro. Si un pirata informático descubre el nombre de usuario y la contraseña de uno de sus usuarios, no podrá iniciar sesión a menos que también tenga acceso a su teléfono.

Método 2: agregar autenticación de dos factores mediante dos factores

Este método es menos flexible ya que no permite imponer inicios de sesión de dos factores para todos los usuarios. Cada usuario tendrá que configurarlo por su cuenta y podrá desactivarlo desde su perfil. Sin embargo, es un método rápido y sencillo si solo desea configurar 2FA para su propia cuenta.

Primero, necesitas instalar y activar el complemento Two-Factor. Para obtener más detalles, consulte nuestra guía paso a paso sobre cómo instalar un complemento de WordPress.

Tras la activación, debe visitar la página Usuarios »Perfil y desplazarse hacia abajo hasta la sección 'Opciones de dos factores'.

Desde aquí, debes elegir una opción de inicio de sesión de dos factores. El complemento le permite utilizar el correo electrónico, una aplicación de autenticación y los métodos de claves de seguridad FIDO U2F.

Recomendamos utilizar el método de la aplicación de autenticación. Simplemente escanee el código QR en la pantalla usando una aplicación de autenticación como Google Authenticator, Authy o LastPass Authenticator.

Una vez que haya escaneado el código QR, la aplicación le mostrará un código de verificación que deberá ingresar en las opciones del complemento y hacer clic en el botón "Enviar".

El complemento ahora establecerá la clave secreta. Puede restablecer esta clave en cualquier momento desde la página de configuración para volver a escanear el código QR.

No olvide hacer clic en el botón 'Actualizar perfil' en la parte inferior de la página para guardar su configuración.

Ahora, cada vez que inicie sesión en su sitio web de WordPress, se le pedirá que ingrese el código de autenticación generado por la aplicación en su teléfono.

Preguntas frecuentes sobre la autenticación de dos factores (2FA) en WordPress

A continuación se ofrecen algunas respuestas a algunas de las preguntas más frecuentes sobre el uso del inicio de sesión en dos pasos en WordPress.

1. ¿Cómo inicio sesión con 2FA si no tengo acceso a mi teléfono?

Si está utilizando una aplicación de autenticación con una opción de copia de seguridad en la nube como Authy, también puede instalar la aplicación en su computadora portátil.

Esto le da acceso a los códigos de autenticación incluso cuando no tiene su teléfono con usted. También le permite restaurar fácilmente sus claves secretas cuando compra un teléfono nuevo.

Muchas aplicaciones de autenticación también te permiten generar códigos de respaldo. Estos códigos se pueden utilizar como contraseñas de un solo uso cuando no tienes acceso a tu teléfono.

2. ¿Cómo iniciar sesión sin ningún código desde mi aplicación de autenticación?

Si no tiene acceso a su teléfono, computadora portátil o códigos de respaldo, solo puede iniciar sesión desactivando el complemento 2FA.

Puede ver nuestra guía sobre cómo desactivar todos los complementos de WordPress cuando no puede acceder al área de administración.

Una vez que desactive todos los complementos, esto también deshabilitará el complemento de autenticación de dos factores y podrá iniciar sesión en su sitio web de WordPress. Una vez que haya iniciado sesión, puede reactivar los complementos y restablecer la configuración de autenticación de dos factores.

3. ¿Necesito proteger con contraseña la carpeta de administración de WordPress?

La seguridad del sitio web funciona mejor cuando tiene varias capas de seguridad para proteger su sitio web, comenzando con lo básico como el uso de HTTPS y el alojamiento seguro de WordPress.

La verificación de dos factores hace que tu inicio de sesión en WordPress sea seguro, pero puedes hacerlo aún más seguro protegiendo con contraseña el directorio de administración de WordPress. Esto significa que los usuarios no podrán acceder a su página de inicio de sesión a menos que primero ingresen un nombre de usuario y contraseña.

Esperamos que este artículo le haya ayudado a agregar la verificación de dos factores para iniciar sesión en WordPress. Es posible que también desee ver nuestra guía sobre cómo obtener un certificado SSL gratuito para su sitio de WordPress o nuestra selección experta de los mejores complementos de seguridad de WordPress.

Si le gustó este artículo, suscríbase a nuestro canal de YouTube para ver tutoriales en vídeo de WordPress. También puedes encontrarnos en Twitter y Facebook.