Cómo habilitar la autenticación de dos factores en su sitio de WordPress

Un usuario + una contraseña. Conectarse a la interfaz de administración de WordPress es muy sencillo, siempre y cuando recuerdes estos dos elementos.

Desde el punto de vista de la persona malintencionada o del robot que quiere acceder a tu sitio, es igual de sencillo.

Si encuentran su nombre de usuario y contraseña, se convertirán en el capitán del barco, sin su permiso .

Este es un escenario de desastre y, lamentablemente, no solo le sucede a otros. Para protegerte, puede ser una buena idea activar la autenticación de dos factores en WordPress .

Si aún no está familiarizado con este método de protección, o si desea configurarlo, este artículo le explicará todo.

Después de leerlo, sabrá por qué usar la autenticación de dos factores y cómo habilitarla en su instalación de WordPress usando dos métodos diferentes (ambos usando un complemento).

¡Tus mejores proyectos de WordPress necesitan el mejor anfitrión!

WPMarmite recomienda Bluehost: gran rendimiento, gran soporte. Todo lo que necesitas para un gran comienzo.

Prueba Bluehost

¿Qué es la autenticación de dos factores?

¿Cómo funciona la autenticación de dos factores?

La autenticación de dos factores es un método para asegurar una cuenta de usuario . En WordPress, le permite proteger el acceso a la interfaz de administración (back office) agregando una capa adicional de protección a la autenticación de contraseña.

Así es como funciona:

1. Primero, ingresa su nombre de usuario y contraseña en la página de inicio de sesión de administración . Esto es lo que normalmente hace cada vez que desea acceder a su sitio de WordPress.
2. A continuación, deberá identificarse por segunda vez para poder acceder al administrador , utilizando un dispositivo o un servicio en su poder. Puede ser un teléfono inteligente, por ejemplo, en el que valide el intento de conexión ingresando un código.

Por eso lo llamamos doble autenticación: para conectarse a WordPress, debe identificarse dos veces.

La gran ventaja de este método es que si alguien piratea tu contraseña, no será suficiente para acceder a tu cuenta.
Si la persona malintencionada o el bot no tiene nada más suyo para iniciar sesión (por ejemplo, su dispositivo móvil), no podrá iniciar sesión.

Además, este es un servicio que probablemente ya hayas utilizado en tu día a día. Muchos sitios famosos lo usan, como Google, Facebook y PayPal .

Esto también es cierto para su banco. Para validar un pago (especialmente para grandes cantidades), a menudo se le pide que lo valide en su aplicación bancaria, en la que debe iniciar sesión.

Se utilizan varios nombres para referirse a la autenticación de dos factores. También podemos decir identificación de dos factores, autenticación dual o incluso 2FA .

¿Cuáles son las opciones para la segunda forma de autenticación?

Antes de continuar, echemos un vistazo rápido a los métodos de identificación que se le pueden ofrecer durante el segundo paso de identificación.

Este segundo factor puede tomar varias formas, tales como:

• Un código de seguridad enviado por mensaje de texto o correo electrónico
• Una aplicación de autenticación (por ejemplo, Google Authenticator) que genera un código de seguridad de un solo uso, válido solo por un período de tiempo determinado
• Un token USB , que se inserta en el puerto USB de su computadora
• Una notificación de inserción
• Una huella dactilar o un escaneo de retina.

¿Por qué debería habilitar la autenticación de dos factores en WordPress?

Si bien la autenticación dual agrega un paso adicional al proceso de inicio de sesión, aún tiene una gran ventaja: hace que el acceso a su interfaz de administración sea mucho más seguro .

Al usar este método:

• Limitas los ataques de fuerza bruta . Cuando se producen ataques de fuerza bruta, los bots visitan su página de inicio de sesión de WordPress e intentan averiguar el nombre de usuario y la contraseña de la cuenta de administrador de su sitio probando diferentes combinaciones para controlarlo. Si alguna vez tienen éxito, la autenticación dual les impedirá acceder a su administrador de WordPress.
• Refuerzas la seguridad de tu cuenta de administrador . Incluso si usa una contraseña débil como 123456 o love, no lo haga, tendrá una medida adicional de protección con el segundo factor de autenticación.
• Reduces el riesgo de piratería y proteges mejor algunos datos confidenciales (información personal o los datos bancarios de tus clientes si vendes en una tienda WooCommerce).

¿Es más claro el valor de la autenticación de dos factores? Ahora vayamos al grano. Sigue leyendo para descubrir cómo configurar la autenticación dual en WordPress en unos minutos.

Cómo habilitar la autenticación dual en WordPress

En primer lugar, te recomiendo que hagas una copia de seguridad de tu sitio. En caso de algún problema, podrá darle la vuelta y restaurarlo fácilmente. Para ello, puedes activar el complemento UpdraftPlus, por ejemplo, o utilizar el módulo de copia de seguridad de una herramienta de mantenimiento como WP Umbrella (enlace de afiliado) o ManageWP .

¿Qué opciones tienes?

La forma más fácil y rápida de habilitar la autenticación de dos factores en WordPress es usar un complemento. Hay dos opciones para esto.

Primero, puede elegir un complemento dedicado a la autenticación dual en WordPress . El directorio oficial de WordPress tiene docenas de ellos.

Entre los más populares (más de 5.000 instalaciones activas), encontrarás:

• Dos factores ( más de 50 000 instalaciones activas)
• WP 2FA: autenticación de dos factores para WordPress ( más de 40 000 instalaciones activas)
• Autenticador de Google ( 30K+ instalaciones activas)
• Autenticación de dos factores ( más de 20 000 instalaciones activas)
• Google Authenticator de miniOrange ( más de 20 000 instalaciones activas)
• Duo Two-Factor Authentication ( más de 9 000 instalaciones activas)

La otra opción es aprovechar la función de autenticación doble que ofrece un complemento de seguridad de propósito general como SecuPress, iThemes Security o Wordfence Security.

Veamos cómo implementarlos en detalle.

Cómo habilitar la autenticación dual en WordPress con el complemento WP 2FA

Si desea utilizar un complemento dedicado a la autenticación dual en WordPress, el complemento WP 2FA es una opción confiable y efectiva por varias razones:

• Es el complemento más popular después de Two-Factor. Y a diferencia de Two-Factor, WP 2FA le permite configurar la autenticación de dos factores para todos los usuarios (con Two-Factor, cada usuario tendrá que configurarla por sí mismo).
• Es uno de los mejor valorados.
• Se actualiza con frecuencia .
• Es fácil de usar y de aprender.
• Se ofrecen varios métodos de segunda autenticación : correo electrónico, texto, aplicación de autenticación, código de recuperación, etc.
• Está desarrollado y mantenido por una empresa que se especializa en la seguridad de WordPress: WP White Security también ofrece el excelente complemento WP Activity Log.
• Sus usuarios pueden configurar la autenticación de dos factores sin iniciar sesión en la administración . Pueden hacer esto desde el front-end, lo cual es muy conveniente para los clientes de una tienda en línea (WP 2FA se integra con WooCommerce), un área de miembros, etc.

Sin transición, aprendamos cómo configurarlo en unos pocos pasos rápidos.

Paso 1: Instale y active el complemento WP 2FA

Primero, instale y active el complemento en su interfaz de administración de WordPress. Para hacer esto, vaya al menú Complementos > Agregar nuevo .

Paso 2: seleccione un método de autenticación para sus usuarios

Una vez que se activa el complemento, un asistente de configuración se iniciará automáticamente en su pantalla. Haga clic en el botón azul "Comencemos" para comenzar:

Luego se le pedirá que elija un método de autenticación para sus usuarios. Tiene dos opciones para el segundo factor de autenticación:

• Usando una aplicación como Google Authenticator o Authy
• Envío de un código por correo electrónico . En este caso, WP 2FA recomienda activar el complemento WP Mail SMTP para mejorar la capacidad de entrega de los correos electrónicos enviados por WordPress.

Si quieres ofrecer estas dos opciones a tus usuarios, deja ambas casillas marcadas.

De lo contrario, desmarque la casilla de su elección si no desea ofrecer uno de los métodos de autenticación. Haga clic en "Continuar configuración" para continuar con la configuración:

En el siguiente paso, también puede optar por enviar un código de respaldo de un solo uso , en caso de que el método de autenticación anterior (a través de una aplicación o por correo electrónico) no funcione.

Para elegir esta opción, deje marcada la casilla "Códigos de copia de seguridad", luego haga clic en "Continuar con la configuración":

Paso 3: Defina qué roles de usuario usarán autenticación dual en WordPress

En el tercer paso, WP 2FA le pide que elija quién usará la autenticación dual en su sitio de WordPress. Hay tres opciones:

• Todos los usuarios : en este caso, todos deberán autenticarse dos veces para iniciar sesión, independientemente de su rol de usuario (administrador, autor, editor, colaborador y suscriptor).
• Ciertos usuarios y/o roles definidos (“Solo para usuarios y roles específicos”). Aquí puede restringir el uso de la autenticación de dos factores a ciertos usuarios y roles.
• No aplicar a ningún usuario . En este caso, cada usuario será libre de activarlo o no.

Continúe con el siguiente paso haciendo clic en "Continuar con la configuración":

Paso 4: configurar un período de gracia

Si elige aplicar la autenticación de dos factores en todos o algunos de sus usuarios, puede darles la opción de configurar la autenticación de dos factores dentro de un período de gracia determinado.

WP 2FA le permite:

• Obligue a sus usuarios a configurar la autenticación de dos factores de inmediato ("Los usuarios deben configurar 2FA de inmediato")
• Defina un período de gracia para configurar 2FA ("Dar a los usuarios un período de gracia para configurar 2FA") que se puede configurar en días u horas.

Si decide establecer un retraso de configuración, tendrá que elegir qué sucederá si el usuario no realiza ninguna acción durante el retraso:

• O bien, no podrán acceder al tablero o a su página de usuario ("No permitirles acceder al tablero/página de usuario") hasta que configuren el inicio de sesión dual en WordPress
• O la cuenta del usuario será bloqueada ("Bloquear al usuario"). Solo un administrador podrá desbloquearlo.

Termina haciendo clic en “Todo listo”:

Paso 5: elija el método de inicio de sesión dual en WordPress para su cuenta de usuario

El último paso es configurar la doble autenticación para su cuenta de usuario. Para hacer esto, haga clic en el botón "Configurar 2FA ahora":

Luego se abrirá una ventana resaltada en su pantalla que le pedirá que elija qué método de autenticación desea usar:

• Autenticación a través de una aplicación ("Código de un solo uso a través de la aplicación 2FA"). Este es el método que elegiré aquí.
• Autenticación por correo electrónico (“Código de un solo uso por correo electrónico”).

Paso 6: Genere un código de autenticación en una aplicación de autenticación de dos factores

Para autenticarse a través de una aplicación, debe elegir una. WP 2FA es compatible con las siguientes aplicaciones:

• Autenticador de Google
• autista
• Autenticador de Microsoft
• Dúo
• Ultimo pase
• GratisOTP
• Okta

A los efectos de esta prueba, me basaré en Google Authenticator, que es probablemente el más famoso .

Descarga esta aplicación en tu smartphone. Ábralo, luego escanee el código QR que ofrece el complemento WP 2FA en su interfaz de administración. Cuando haya terminado, haga clic en el botón "Estoy listo".

Luego ingrese el código generado por la aplicación Google Authenticator, y recuerde validar haciendo clic en el botón correspondiente (“Validar y Guardar”):

Paso 7: Conéctese a WordPress

Para verificar que todo funciona correctamente, cierre sesión en la interfaz de administración de WordPress.

En la página de inicio de sesión del administrador, ingrese su nombre de usuario y contraseña como de costumbre. Si todo está bien, se le pedirá que ingrese un código único generado por la aplicación que usará .

En el caso de Google Authenticator, este es un código de 6 dígitos que se regenera cada 30 segundos.

Y eso es todo, su sitio ahora es mucho más seguro. ¡Felicidades!

También puede personalizar el texto del correo electrónico que le enviará un código de autenticación (si elige este método en la configuración del complemento), a través del menú WP 2FA > Configuración > Correos electrónicos y plantillas. Finalmente, también es posible cambiar el texto que se muestra en la página de inicio de sesión cuando tiene que ingresar su código de autenticación.

Únase a los suscriptores de WPMarmite

Obtenga las últimas publicaciones de WPMarmite (y también recursos exclusivos).

SUSCRÍBASE AHORA

Cómo habilitar la autenticación de dos factores con un complemento de seguridad general

Si usted mismo ha pasado por el proceso de configuración de la autenticación de dos factores en WordPress, es posible que haya descubierto que los pasos son relativamente simples.

Por otro lado, es posible que hayas encontrado que lleva un poco de tiempo implementarlo. El complemento WP 2FA tiene múltiples opciones de configuración, lo que puede hacer que las cosas se arrastren un poco.

Si desea ir un poco más rápido, aunque con menos opciones en la configuración, hay otra forma.

Este es el uso de un complemento de seguridad de propósito general. La mayoría de ellos ofrecen una opción para habilitar la autenticación dual en su sitio de WordPress.

WPMarmite ha dedicado tutoriales detallados a tres de los complementos de seguridad más famosos, en los que descubrirá cómo configurar la autenticación dual. Estos son los siguientes complementos:

• Wordfence Security (incluido en la versión gratuita). Si no quieres aprovechar todas las funciones que ofrece Wordfence, ten en cuenta que también ofrece un complemento más ligero y con menos opciones (Wordfence Login Security), que incluye autenticación dual.
• iThemes Seguridad (incluido en la versión gratuita)
• SecuPress también ofrece autenticación de dos factores (2FA), pero solo en su versión Pro. SecuPress ofrece un método interesante en este sentido: Passwordless . Para iniciar sesión, el usuario no necesita ingresar una contraseña. Simplemente ingresan su dirección de correo electrónico en la página de inicio de sesión de WordPress y luego reciben un correo electrónico con un enlace único que les permitirá iniciar sesión solo una vez.

Si elige usar un complemento de seguridad de propósito general, no habilite un complemento de autenticación de dos factores dedicado como WP 2FA o uno de sus competidores al mismo tiempo. Esto sería contraproducente y te expondrás a riesgos de incompatibilidad.

Conclusión

La autenticación dual en WordPress es una forma efectiva de fortalecer la seguridad de su sitio . Por ejemplo, le permite proteger mejor su sitio contra ataques de fuerza bruta.

A lo largo de estas líneas, has descubierto dos métodos principales para activarlo en tu instalación de WordPress:

1. Con un complemento dedicado como WP 2FA .
2. Con un complemento de seguridad de uso general como Wordfence, iThemes Security o SecuPress.

Sin embargo, no confíe solo en la autenticación de dos factores para proteger su sitio. Considere usar contraseñas seguras, por ejemplo, así como un complemento antispam como Akismet.

¿Ha implementado el inicio de sesión dual en su sitio? Si es así, ¿qué comentarios puede compartir con nosotros? Dé su opinión a los lectores de WPMarmite publicando un comentario.