Identificación de 2 factores (2FA) en WordPress – Qué es y cómo configurarla

La seguridad de tu web WordPress depende de los sistemas que implementes para protegerla y reforzar su seguridad. Con el fuerte aumento del forzado automático de contraseñas, la información confidencial de tus usuarios y el acceso a tu sitio están más en riesgo que nunca.

Por eso es tan importante proteger aún más tu sitio WordPress añadiendo la identificación de dos factores. Porque tu sitio es tan seguro como lo sea tu contraseña más débil.

En este artículo te voy a contar qué es la autenticación o identificación de dos factores, por qué es tan importante y cómo implementarla en tu sitio con plugins fáciles de usar y configurar.

¿Qué es la identificación de dos factores?

La identificación de dos factores (2FA) es un tipo de autenticación de múltiples factores (MFA) y es una capa adicional de protección para tu web. Es una herramienta de verificación del usuario adicional, para cuando alguien inicia sesión en su cuenta en tu sitio WordPress.

En una configuración estándar de WordPress, un usuario solo tiene que especificar un nombre de usuario y contraseña para iniciar sesión. Ambos pueden adivinarse mediante ataques de diccionario o si son muy débiles.

Cuando añades la identificación de dos factores en tu sitio WordPress, primero, el usuario deberá introducir su nombre de usuario y contraseña como siempre, pero ahí no acaba la cosa.

Luego tendrá que proporcionar otra información que demuestre que realmente es él quién quiere iniciar la sesión. Además de la contraseña, estos datos pueden ser alguno de los siguientes:

  • Algo que solo el usuario conoce , generalmente una contraseña o un código PIN.
  • Algo que solo el usuario tiene como un dispositivo físico, un teléfono o una llave de hardware.
  • Algo para demostrar que eres tú , como datos biométricos como una huella digital o un escaneo facial.

Estos datos se pueden presentar en una variedad de formas diferentes, que incluyen:

  • Un mensaje de texto o una llamada telefónica que da un código único para acceder.
  • Prueba biométrica como el sensor de huellas dactilares del teléfono.
  • Una aplicación separada que los usuarios pueden descargar y que les da códigos basados ​​en el tiempo que pueden introducir.

Por ejemplo, si un usuario desea iniciar sesión en un sitio WordPress, primero deberá introducir su nombre de usuario y contraseña (algo que solo el usuario sabe) . Luego, entra la identificación de dos factores, ya sea pidiendo que verifique su identidad con un código único enviado por mensaje de texto o un código basado en el tiempo en una aplicación de autenticación (algo que solo el usuario tiene).

O, en un sitio de mayor seguridad como un banco podría requerir el nombre de usuario y contraseña (algo que solo el usuario conoce) primero. Luego, podrían solicitar un código PIN con caducidad de tiempo usando su tarjeta (algo que solo el usuario tiene) en un lector de tarjetas y, como beneficio adicional, el escaneo de huellas digitales si está iniciando sesión a través de su teléfono (algo para demostrar que es quién dice ser).

Por qué deberías añadir identificación de dos factores a tu sitio WordPress

Es más fácil de lo que crees que alguien robe tu contraseña . Además, la mayoría de los usuarios de tu sitio y los miembros del equipo utilizan contraseñas muy débiles.

De hecho, probablemente no será una novedad para ti que los delitos informáticos están en aumento. En los últimos años, las violaciones de datos personales, la pérdida de datos y la exposición de contraseñas han ido en aumento y se prevé que cuesten al mundo 5 mil millones de euros anuales para 2022.

No importa el tamaño de tu web, el aumento en la piratería automatizada de contraseñas significa que tu sitio podría beneficiarse de algunas capas adicionales de seguridad.

Hacer cumplir contraseñas seguras en WordPress para tus usuarios es increíblemente importante para la seguridad de tu web. Sin embargo, una contraseña segura por sí sola no es suficiente. Un desliz de error de usuario podría resultar en que un pirata informático obtenga acceso a tu sitio y podría poner en riesgo los datos de tu cliente o usuario.

La buena noticia es que esto se puede detener implementando la autenticación de dos factores en WordPress. De hecho, incluso si se violara una de sus contraseñas, el pirata informático se detendría en la siguiente etapa. Efectivamente, el segundo factor sería el último.

¿No estás aún convencido? Estos son los beneficios de la identificación de dos factores:

  • Tus datos estarán más seguros : Una contraseña débil ya no será la razón por la que haya accesos no deseados a tu web.
  • Te protegerás contra el fraude : La 2FA reduce la probabilidad de que un atacante pueda hacerse pasar por un usuario.
  • Tu equipo tendrá más libertad : Los empleados pueden acceder de forma segura a documentos y datos sin poner en riesgo la información.
  • Aumentarás la confianza de tus usuarios : Tus clientes apreciarán que estés tomando medidas adicionales para asegurarte de que sus datos estén seguros.
  • Reducirás los costes en el futuro: Si tu sitio está protegido, no tendrás que gastar dinero en arreglarlo.

Ahora que conocemos los beneficios de 2FA para tu web y tu negocio, es hora de instalarlo en tu WordPress.

¿Qué necesitas para usar la doble verificación 2FA?

Lo único que vas a necesitar, aparte de tu cuenta de usuario de administrador o editor en la web WordPress y un plugin que incluya la activación de la doble autenticación, es una app móvil como Google Authenticator o Authy, gratuitas para iOS y Android, instalada en tu móvil o tableta.

Si no has usado nunca Google Authenticator o Authy su uso es muy sencillo. Solo tienes que añadir la cuenta (tu web) escaneando el QR o introduciendo la clave secreta.

Las siguientes veces ya tendrás tu cuenta en la lista de la aplicación y el código de identificación aparecerá automáticamente nada más abrir Google Authenticator o Authy para que lo introduzcas en la pantalla de la identificación de dos factores.

Cómo añadir la autenticación de dos factores a tu sitio WordPress

La forma más fácil y rápida de configurar la autenticación de dos factores de WordPress es instalar un plugin.

Pero como cada vez es más complicado elegir entre los muchos plugins que hay para cada necesidad, vamos a ver los plugins de 2FA más sencillos de implementar y configurar.

2FA con WordFence Login Security

Aunque ya sabrás que no lo recomiendo, si por algún motivo ya utilizas el plugin WordFence debes saber que en lo que respecta a la identificación en dos factores tiene ya incluida esta utilidad, tanto dentro del plugin al completo como mediante un plugin que solo ofrece esta herramienta concreta, que sí es recomendable en sí mismo: WordFence Login Security.

Da igual qué elijas, si el plugin WordFence completo o el plugin WordFence Login Security, o cualquiera de los siguientes que vamos a ver, los pasos para activar y empezar a usar la doble identificación son exactamente los mismos.

  1. Activa la doble identificación.
  2. Instala una app de doble autenticación en tu dispositivo móvil (Google Authenticator, Authy, etc.)
  3. Con la app de doble autenticación escanea el código QR para añadir la aplicación (tu web) a la app.
  4. Guarda los códigos de respaldo, por si pierdes el dispositivo móvil poder acceder sin la app.
  5. La próxima vez que accedas, además del usuario/email + contraseña, se te pedirán unos números de caducidad temporal que genera la app de autenticación para tu aplicación (web).

En las capturas anteriores puedes ver que no cambia da igual qué plugin elijas, el completo o el dedicado a la doble autenticación.

Luego, los ajustes también son los mismos, pudiendo configurar:

  • Para qué perfiles de usuario será obligatoria/opcional/inactiva la doble identificación.
  • Si permitirás el periodo de gracia opcional de 30 días (para que el usuario pueda elegir que no se le pida cada día)
  • Requerir 2FA para conexiones XML-RPC (recomendable)
  • Añadir además reCAPTCHA (innecesario)
  • Activar el protocolo NTP (recomendable)
  • Integración con WooCommerce (opcional)

Como verás, cumple perfectamente y funciona sin problemas, así que – aunque no recomiendo usar Wordfence como plugin de seguridad – el plugin Wordfence Login Security es una buena opción para añadir la doble autenticación a tu sitio WordPress.

2FA con iThemes Security

Como es posible que ya sepas, este plugin fue uno de mis favoritos hasta que en el verano de 2021 decidieron complicar totalmente la interfaz, obligando a pasar por un asistente que hizo difícil lo que antes era sencillo.

No obstante, si aún utilizas este plugin para la seguridad de tu web WordPress, también incluye la opción de activar la doble identificación, que encontrarás en el asistente.

Tras activarla, y solo después de terminar todo el tedioso asistente de configuración, podrás configurar la autenticación de dos factores.

En los ajustes podrás elegir los métodos de doble verificación:

  • App móvil
  • Correo electrónico
  • Códigos de identificación de respaldo

Lo más habitual es elegir la app móvil, pero si optas solo por el método de correo electrónico de confirmación, o solo la app móvil, siempre te recomiendo activar los códigos de respaldo, que siempre son un salvavidas.

Una vez los actives, en el próximo acceso, a los usuarios se les pedirá iniciar el proceso de acceso mediante la doble identificación, con los métodos que hayas activado.

Como ves, una vez activados, es muy sencillo e intuitivo.

Lo que es más complicado es cómo definir para qué usuarios activar la doble verificación, pues para ello deberás configurar iThemes Security creando grupos de usuarios y, para cada uno, decidir qué activas y cómo. Esta es la parte que complicaron tanto con el puñetero asistente, y por lo que actualmente tampoco recomiendo este plugin de seguridad.

2FA con SG Security

Otra manera de activar la identificación de dos factores en WordPress es mediante SiteGround Security, actualmente mi plugin favorito de seguridad, que se puede instalar en cualquier sitio WordPress, aunque no esté alojado en SiteGround.

Lo mejor es que, como todo en este plugin de seguridad, activar la autenticación de dos factores es solo un clic.

Una vez activada la identificación de dos factores, la próxima vez que un usuario administrador o editor acceda a tu sitio WordPress, primero tendrá que introducir su usuario y contraseña y, a continuación, se le pedirán los números de caducidad temporal generados por la app móvil de autenticación, pudiendo marcar la casilla para que no se le pida durante 30 días.

Tras acceder, se le mostrarán los códigos de respaldo, animándole a que los guarde en un lugar seguro, y ya podrá acceder.

Simplemente cópialos y guárdalos en un lugar seguro, marca la casilla confirmando que los tienes a buen recaudo y pulsa en el botón de continuar. La siguiente pantalla ya estarás en la administración de WordPress.

Si perdieses estos códigos, o no los guardaste bien o no los encuentras, mientras tengas acceso, en tu perfil de la web los tendrás disponibles, además del QR y la clave secreta.

A partir de este momento, cada vez que tengas que acceder a tu web WordPress se te pedirá la doble verificación del código de identificación con la aplicación Google Authenticator, salvo que marques la casilla de que te recuerde el sistema durante 30 días, pero solo tendrás que teclear los 6 números que genera Google Authenticator al abrir la aplicación, ya no tendrás que volver a escanear el QR.

El proceso es sencillo, no hay dudas, como en la siguiente captura:

En la misma pantalla tendrás un enlace para acceder con los códigos de respaldo, si perdiste acceso a la aplicación Google Authenticator.

La identificación de 2 factores de SG Security funciona con las principales apps móviles de doble autenticación, como Google Authenticator y Authy, y de momento se activa por defecto para administradores y editores, los perfiles de usuario con más acceso y, en consecuencia, más sensibles, aunque está previsto ampliarlo a otros perfiles.

No tiene tantos ajustes como en los otros plugins, pero lo compensa con la sencillez, algo que muchos usuarios valoran positivamente, yo entre ellos, sobre todo con estas nuevas tecnologías, que se le suelen atragantar a la mayoría de los usuarios, así que a pesar de que para configuraciones avanzadas podría quedarse corto, me parece una opción más que válida, y sobre todo sencilla de implementar y configurar.

2FA con WP 2FA

La última opción que te recomendaré es un plugin específico para la identificación de dos factores, y que considero que es el mejor entre los muchos que hay solo para esta utilidad: WP 2FA.

Nada más instalarlo y activarlo se iniciará un asistente de configuración, totalmente recomendable, que te va a preguntar por los métodos que quieres activar, a qué usuarios requerir la doble identificación y unos pocos ajustes más, como puedes ver en las siguientes capturas:

Como ya hemos visto antes un poco la terminología de esta tecnología no me pondré pesado y repetitivo, pues básicamente los ajustes del asistente son los mismos que en otros plugins, así que las capturas son bastante autoexplicativas y fáciles de comprender.

Solo cambiarán las pantallas dependiendo de si eliges la identificación mediante app móvil o correo electrónico.

Si te fijas en las capturas anteriores, hay un momento en que el asistente ni siquiera me deja acceder a la administración, requiriéndome la doble autenticación, eso es debido a que si no permites un periodo de gracia el requisito es inmediato, incluso para ti que estás instalando y configurando el plugin, algo que no es malo sino todo lo contrario.

De todos modos, tampoco te preocupes, pues si luego decides cambiar el método de identificación, por ejemplo, podrás hacerlo desde los ajustes de tu perfil de usuario de WordPress.

Con esto habrías terminado de configurar los ajustes básicos, pero aún hay más, pues al ser un plugin específico tiene bastantes ajustes adicionales, que no se te muestran en el asistente inicial, que conviene revisar.

Para ello tienes un nuevo elemento en la administración llamado WP 2FA, con dos páginas de configuración de ajustes adicionales:

  • Políticas 2FA
  • Ajustes

Políticas 2FA

En la de política 2FA podrás:

  • Seleccionar los métodos disponibles de doble identificación
  • Elegir para qué perfiles forzar la doble identificación
  • Definir un periodo de gracia o no
  • Si se creará una página externa de ajustes de 2FA para los usuarios o los ajustes estarán en el admin de WordPress
  • Elegir a dónde redirigir a los usuarios tras configurar su página de 2FA
  • Si los usuarios podrán desactivar o no el 2FA en su perfil

Ajustes WP 2FA

En la sección de ajustes vas a encontrar 3 pestañas, a saber:

  • Ajustes de correos electrónicos: Aquí puedes personalizar los textos y más opciones de los correos electrónicos enviados por el sistema de doble autenticación.
  • Ajustes generales: Unos pocos ajustes técnicos sobre el funcionamiento del plugin, que normalmente no tendrás que modificar.
  • Marca blanca: Te encantará saber que puedes personalizar los textos que se muestran a los usuarios en el proceso de doble identificación.

Como ves, es el más completo de todos en lo que se refiere a posibilidades de personalización, no hay competencia posible en este sentido.

También tiene una versión premium, de pago, pero realmente no es necesaria salvo para aplicar políticas de caducidad de la doble identificación, estadísticas y poco más.

¿Cuál es el mejor plugin de identificación 2FA de dos factores?

Creo que está claro que el más completo es WP 2FA, no hay duda. El hecho de ser un plugin especializado de 2FA se nota, y supera con nota a cualquiera del resto de opciones, por personalización, por ajustes, por todo.

Ahora bien ¿deberías instalar un plugin específico de 2FA si tu plugin de seguridad ya ofrece esta herramienta?

Pues yo creo que, salvo que NECESITES alguna funcionalidad concreta que ofrezca el plugin específico y no esté disponible en tu plugin de seguridad, yo usaría la característica 2FA de tu plugin de seguridad, por no sobrecargar cabeceras de plugins en tu sitio, activar más código, tener que mantener más plugins, etc. Por economía de recursos podría decirse.

(5 votos, promedio: 5) Valora este artículo para ayudar a mejorar la calidad del blog

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

Sobre el autor

3 comentarios en “Identificación de 2 factores (2FA) en WordPress – Qué es y cómo configurarla”

  1. Como habitualmente, buenas aclaraciones, Fernando. Hasta hace no tanto, las opciones más fiables para esta utilidad pasaban por herramientas de pago. O a lo mejor era simplemente que no me había documentado bien. ¡Gracias!

  2. Gracias por el post. Me queda la duda hasta qué punto será recomendable implementarla en un e-commerce. Lo digo por la posibilidad de que los posibles clientes huyan cuando empieces a «marearlos».
    Quizá sí sea buena idea implantarla para el perfil de administrador; pero no sé si al no implantarla para clientes serviría para algo o no.

    1. Yo nunca lo pondría para clientes, que de hecho ni siquiera tienen acceso al admin, podrías asustarlos de tanta seguridad. Sería lo ideal, sí, pero la realidad es que para la gente la seguridad es un estorbo

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información base sobre privacidad:
  • Responsable: Fernando Tellado ([email protected])
  • Fin del tratamiento: Moderación de comentarios para evitar spam
  • Legitimación: Tu consentimiento
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  • Derechos: Acceso, rectificación, portabilidad, olvido

 

Ir arriba Ir al contenido