¿Cómo configurar 2FA en WordPress?

Proteger nuestro sitio web ya no es algo que podamos dejar para después. Muchas veces pensamos que con tener una contraseña más o menos segura ya estamos cubiertos, pero la realidad es que eso no siempre es suficiente. Basta con que una clave sea débil, se repita en varios servicios o caiga en malas manos para que la seguridad de toda nuestra web quede en riesgo. Justo por eso, hablar de 2FA en WordPress se vuelve cada vez más importante, sobre todo si queremos añadir una capa extra de seguridad en WordPress en el proceso.

Contrata ahora tu plan de hosting desde solo 1,18€/mes. ¡Y con IA incluida!

Elige tu plan con 90% DTO

Cuando activamos 2FA en WordPress, no solo estamos reforzando el inicio de sesión en WordPress, también estamos agregando una barrera más entre nuestro sitio y posibles intentos de acceso indebido. Esa segunda verificación puede llegar por distintos medios, como una app de autenticación, un código temporal o incluso otros métodos adicionales de validación, lo que convierte el acceso en un proceso mucho más seguro.

En esta guía vamos a ver todo esto de una forma mucho más clara y cercana. No solo entenderemos qué es y por qué conviene implementar 2FA en WordPress, sino también qué necesitaremos para ponerlo en marcha y qué opciones tenemos para hacerlo con ayuda de plugins como WP Ciberprotector, Wordfence Login Security, Solid Security o WP 2FA.

La idea es que, al terminar, tengamos una visión mucho más completa de esta medida de seguridad y sepamos cómo aplicarla en nuestra web paso a paso, sin sentir que estamos entrando en algo excesivamente técnico o difícil de gestionar.

¿Qué es la identificación de dos factores?

Cuando hablamos de 2FA en WordPress, nos referimos a una medida de seguridad que añade una verificación adicional al momento de iniciar sesión. Es decir, ya no basta solo con escribir nuestro usuario y contraseña, sino que también se nos pedirá una segunda confirmación para comprobar que somos nosotros.

Visto de forma simple, funciona como una doble barrera de acceso.

¿Cómo funciona la identificación de dos factores?

De forma general, el acceso se divide en dos pasos:

• Primer paso: ingresamos nuestro usuario o correo electrónico y la contraseña.
• Segundo paso: el sistema nos solicita una verificación extra.

Esa segunda verificación puede llegar de distintas formas, por ejemplo:

• un código temporal enviado al móvil,
• un código generado en una aplicación de autenticación,
• un PIN de uso único,
• una validación mediante huella o reconocimiento facial, según el sistema utilizado.

¿Por qué es tan útil?

Aquí es donde 2FA en WordPress cobra verdadera importancia. Aunque tengamos una contraseña segura, siempre existe la posibilidad de que alguien la descubra, la robe o acceda a ella por algún descuido. Si eso llega a pasar, esa segunda validación actúa como un bloqueo adicional.

En otras palabras:

• si alguien consigue nuestra contraseña,
• pero no tiene acceso al segundo código,
• no podrá entrar fácilmente a nuestro sitio.

Imaginemos que queremos entrar al panel de administración o dashboard WordPress de nuestra web.

Normalmente haríamos esto:

• escribimos usuario,
• escribimos contraseña,
• entramos al sitio.

Pero con 2FA en WordPress, el proceso cambia un poco:

• escribimos usuario,
• escribimos contraseña,
• el sistema nos pide un código adicional,
• ingresamos ese código,

y solo entonces se completa el acceso, ese pequeño paso extra puede hacer una gran diferencia en la protección de nuestra web. Implementar este sistema puede ayudarnos a reforzar la seguridad del inicio de sesión, reducir el riesgo de accesos no autorizados, proteger mejor el área de administración y añadir una capa extra de confianza a nuestro sitio.

Es necesaria la autentificación dos factores en WordPress

Existen ocasiones en las que pensamos que nuestro sitio es lo suficientemente seguro, pero aun así es más fácil de lo que pensamos el que exista la posibilidad de que alguien robe o adivine una contraseña. Sin contar que, los usuarios de un sitio según su edad pueden utilizar contraseñas más débiles. De hecho, el ciberdelito es uno de los crímenes que está aumentando a medida que pasan los años. Los abusos en plataformas virtuales, perdidas de información, datos y el hurto de contraseñas ha aumentado y se espera que aumente aún más.

El tamaño del sitio no es un factor diferencial para que ocurra esto, el aumento en la piratería de contraseñas significa que nuestro sitio puede mejorar de forma considerable antes estos ataques solo con unas capas más de seguridad en nuestra web o servidor web.

El hecho de que de alguna forma forcemos a nuestros usuarios para implementar contraseñas seguras es muy importante para la seguridad del sitio en general. Aunque, en algunos casos, una buena contraseña no es suficiente para defendernos. Un error por parte de nuestros usuarios podría terminar en que un hacker pueda acceder a nuestro sitio y a la información personal y poner en riesgo al cliente y a nosotros como dueños del sitio web.

Lo bueno es que podemos implementar la autentificación dos factores, para poder dar un buen alto a esta situación. Incluso, si dicho hacker pudiese lograr descifrar una contraseña, no sería suficiente porque necesitaría llegar o pasar la etapa donde el usuario debe ingresar este código que solo él va a poder ver (autentificación dos factores).

Estos son los beneficios de la identificación de dos factores:

1. Los datos están más seguros, por lo que es posible que los usuarios tengan contraseñas débiles sin que sea un factor principal para los ataques a nuestro sitio.
2. La implementación del 2FA redice drásticamente la posibilidad de que el hacker pueda por algún motivo hacerse pasar por el usuario final.
3. El equipo de administración del sitio tendrá un poco más de seguridad y tranquilidad para poder trabajar a gusto en la administración del mismo.
4. Los clientes también estarán más seguros y garantizados de que es un sistema seguro donde solo ellos mismos son los que van a poder iniciar sesión de forma segura.
5. Si nuestro sitio está protegido, no habrá necesidad de hacer gastos imprevistos en mejorar la seguridad en caso de un ataque repentino.

Ahora que conocemos los beneficios de 2FA para nuestro sitio web y negocio, es hora de instalarlo en WordPress.

Pasos para agregar la autenticación de dos factores en un sitio WordPress

En esta era de ciberseguridad avanzada, la Autenticación de Dos Factores (2FA) se ha convertido en una herramienta indispensable para asegurar nuestros sitios WordPress. Aquí vamos a ver algunas herramientas y plugins para WordPress que nos ayudaran a través de los pasos actualizados para implementar 2FA, manteniendo nuestro sitio a la vanguardia de la seguridad digital.

¿Qué necesitamos para usar la doble verificación 2FA?

De momento lo único que vamos a necesitar, además de una cuenta de usuario, administrador o editor, en nuestro dashboard de WordPress y un plugin que incluya la activación de la doble autenticación, es una app móvil como Google Authenticator o Authy, estas ambas gratuitas para iOS y Android, que puede ser instalada en teléfono o tableta.

Que es Ciberprotector

CiberProtector es una herramienta de seguridad desarrollada por Webempresa que incluye:

Gestor de contraseñas: nos permite crear, guardar, usar y compartir tus contraseñas de acceso de forma segura.

VPN (Red Privada Virtual para encriptar tu conexión a internet): La VPN es una red de seguridad para tu conexión a Internet. Todos los datos que envíes o recibas al navegar se encriptan y se volverán indescifrables para posibles intrusos. La principal ventaja, al ser cliente de Webempresa, es que nunca bloqueamos tu IP en el Firewall o mediante reglas de mod_security si estás conectado a la VPN.

Seguridad en tus equipos: nuestra aplicación te ayudará a mantener las medidas básicas para que tu ordenador y tus dispositivos móviles sean más seguros.
Aunque desde Webempresa trabajamos para mantener la seguridad de tu hosting, las medidas que aplicamos deben combinarse con una buena política por parte del usuario para mantener tus accesos protegidos.

Y mas alla de estos beneficios, encontramos uno por el cual agregamos esta mejora de nuestro servicio a esta guia.

Gestor 2FA el area de cliente, WordPress y todos los accesos que te permitan activar un 2FA TOTP (Token basado en tiempo): si nos encontramos en un wepanel o cPanel el implementar 2FA va a generar códigos de autenticación, eso quiere decir que aunque alguien utilice tus datos de acceso, solo podrá loguearse a los sitios guardados y con 2FA activado, si facilitan este código generado por Ciberprotector y que cambia constantemente a cada 30 segundos.

Actualmente, si tienes alguna duda con respecto a nuestro plugin de ciberprotector en cualquiera de sus presentaciones, contamos con guías que pueden ayudarte a comprender más todos los usos que podemos darle al plugin o aplicación, para ello ingresamos en Guias Ciberprotector

2FA con plugin de WP Ciberprotector

Este plugin podemos gestionarlo como cualquier otro plugin de WordPress, haciendo una instalación de plugin en WordPress tanto manual o por medio del repositorio de WordPress, una vez lo hemos instalado de forma correcta, tendremos algunas opciones disponibles.

Para ello solo ingresamos al panel lateral de nuestro dashboard WordPress, luego a Ciberprotector, por último tendremos que seguir los pasos que nos encontraremos en nuestro sitio, solo ingresamos, activamos los ajustes y descargamos la aplicación para móvil de ciberprotector.

Una vez seguimos los pasos que nos encontramos en la aplicación y escaneamos el código QR que se nos va a mostrar en el sitio. Una vez seguidos todos los pasos podemos pasar a la configuración de nuestra aplicación para personalizarla un poco más, sin embargo, ya el proceso estaría completado e implementado en nuestro sitio el uso de este código.

2FA con WordFence Login Security

Otro de los plugins más importantes para poder realizar esta mejora en nuestro sitio es el plugin de 2FA con WordFence Login Security, este plugin funciona de forma similar al que hemos visto en el plugin anterior, con la diferencia que este se utiliza y se implementa mediante otro plugin.

Es decir no requiere la instalación del plugin anterior para funcionar de forma correcta.

Un plugin bastante sencillo, solo tenemos que ingresar a su panel una vez tenemos instalado el plugin, vamos a seguir los pasos que vamos a ver a continuación para poder configurar el plugin en nuestro sitio web:

1. Activar la autenticación dual.
2. Instalar una aplicación de autenticación de dos factores en su teléfono, ya sea ciberprotector, Google Authenticator, Authy, etc.
3. Una vez tenemos la aplicación descargada, escaneamos el código QR para agregar la aplicación y nuestro sitio web a la aplicación.
4. Guardamos los códigos de respaldo, esto en caso de que se pierda nuestro dispositivo móvil podremos iniciar sesión con este código sin el uso de la aplicación.
5. Ya una vez todo listo la próxima vez que iniciemos sesión, además del nombre de usuario/email + contraseña, se te solicitarán números de caducidades temporales generados por la app que hemos elegido para conectar el plugin con el sitio web.

Ya configurado en nuestro usuario la configuración de dos factores, nos queda activarlo para el resto de usuarios, para ello:

1. Seleccionamos en que perfiles de usuario se hará efectiva la solicitud de una doble autentificación o 2FA esto mediante el panel de selección superior
2. Si permitir el período de gracia opcional de 30 días (para que el usuario pueda elegir que no se le pregunte todos los días el código de 2fa).
3. Requerir 2FA para conexiones XML-RPC (recomendado)
4. También, agregue reCAPTCHA (opcional)
5. Habilitar el protocolo NTP (recomendado)
6. Integración con WooCommerce (opcional)

Como podemos ver, es bastante sencillo de configurar y funciona perfectamente una vez ya configuramos los perfiles, por lo que, el plugin de Wordfence Login Security es una buena opción para agregar autenticación doble a su sitio de WordPress.

2FA con Solid Security plugin

Antes conocido como IThemes security este no solo cambio su nombre, sino también la forma en la que trabaja, optimizando aún más sus características principales y su forma en la que trabajar la seguridad de nuestro sitio. Hay que tener en cuenta que este plugin no solo nos ayudara a implementar la seguridad 2FA, sino que activa otras configuraciones para mejorar más el sitio.

En este caso lo utilizaremos como ejemplo para lo que necesitamos en este momento, que es el poder implementar la seguridad de dos factores en nuestro sitio.

Este plugin, al igual que el anterior, resulta de gran utilidad porque nos ayuda a habilitar la doble identificación que es configurable a través de un asistente, cosa que facilita en gran medida el trabajo.

Después de activarlo, y después de completar el asistente de configuración, podremos configurar la autenticación de dos factores. En la configuración vamos a elegir los métodos de doble verificación:

1. Aplicación móvil
2. Correo electrónico
3. Copia de seguridad de códigos de identificación

De la misma forma podemos hacer uso del nuevo selector de todos los elementos, con él nos ahorraremos la selección si tenemos planeado aplicarlo a todos los aspectos de nuestro sitio.

Lo más seguro sería la opción de app móvil, pero si optas solo por el método de correo electrónico de confirmación, o solo la app móvil, es mejor que se establezcan los códigos de seguridad, ya que es más factible perder el acceso a un correo electrónico que a una app.

Una vez que los activamos, en el próximo inicio de sesión, se nos solicitara a los usuarios que inicien el proceso de configuración de su inicio por medio del 2FA, utilizando los métodos que hemos activado previamente, una vez que está activo, es fácil de entender.

Lo que es un poco más complicado es cómo definir para qué usuarios activar la doble verificación, porque para ello tendremos que configurar Solid Security creando grupos de usuarios y en cada grupo de usuario, decidir qué activas. Igualmente, este plugin por defecto tiene activo todos los usuarios para esta mejora de 2fa.

2FA Con WP 2FA

Como último caso tenemos un plugin que nos ayudara a gestionar en gran medida la configuración de 2FA, este plugin no es más que WP 2FA. Con este plugin podemos obligar a los usuarios de nuestro sitio web a utilizar la autentificación 2FA.

Este plugin es sencillo de utilizar y configurar gracias a los asistentes con los que cuenta, esto lo hace un plugin sencillo para personas que somos nuevas en WordPress y queremos implementar esta función sin complicaciones.

Una vez hemos realizado la instalación del plugin en WordPress, solo con activarlo ya se nos mostrará el asistente para la configuración del plugin. Desde aquí podemos seguir los pasos que vamos a ver en las imágenes de esta guía.

Seguimos con la configuracion, ahora avanzamos a la seleccion de metodos de 2FA.

Es importante que activemos esto para todos los usuarios; de lo contrario, tendremos una brecha de seguridad importante en nuestros sitios web.

Estos plugins nos dan la opción de permitir que cada ciertos días se tenga que configurar de forma obligatoria a los usuarios, tanto nuevos como viejos, esta es una de las opciones más rentables para invertir en la seguridad de nuestros sitios.

Una vez terminemos de configurar estos ajustes, tendremos el código QR en pantalla para configurar nuestro usuario como primero 2fa.

Como ya hemos visto antes, la configuración del asistente es la misma que en otros plugins, por lo que las capturas de pantalla son bastante autoexplicativas y fáciles de entender.

Solo nos va a mostrar diferentes ajustes dependiendo de que elijamos para la identificación, si correo electrónico o autentificación por medio de la aplicación móvil. Una vez terminamos con esto ya habríamos terminado de configurar los ajustes básicos, pero podemos hacer más cosas, al ser un plugin especifico y pensado solo para 2FA podemos encontrar más opciones, que no se muestran en el asistente inicial, que deberíamos revisar.

Para ello tenemos un nuevo elemento en la administración llamado WP 2FA, con dos páginas de configuración de ajustes adicionales:

1. Políticas 2FA
2. Ajustes

Políticas 2FA

En la política 2FA podremos seleccionar los métodos de configuración que tenemos en el asistente:

1. Seleccionar entre los métodos de doble identificación disponibles
2. Elegir para qué perfiles forzar la doble identificación
3. Definir un período de gracia o desactivar este mismo
4. Si se creará una página de configuración 2FA externa para los usuarios o si la configuración estará en el administrador de WordPress
5. Elegir a dónde redirigir a los usuarios después de configurar su página 2FA
6. Permitir a los usuarios la posibilidad de deshabilitar 2FA en su perfil o privarlos de esta posibilidad

Ajustes 2FA

En la sección de ajustes nos encontraremos con 3 pestañas, que contienen:

Ajustes y plantillas de correo electrónico: Aquí se puede personalizar los textos de los correos electrónicos que envía el sistema a través de este plugin, y son los que recibe el usuario al momento de solicitar el acceso al sitio.

Configuración general: algunas configuraciones técnicas sobre cómo funciona el plugin, que normalmente no se tienen que cambiar.

Marca blanca: Esta opción nos permite personalizar los textos que se muestran a los usuarios en el proceso de doble autenticación.

Como podemos ver, es un plugin completo, que nos permite personalizar varios aspectos, este también tiene una versión prémium que es de pago, pero no es realmente innecesaria, al menos que necesitemos aplicar políticas de caducidad de doble DNI, estadísticas y poco más.

Conclusiones

Al final de nuestro viaje por el camino de la seguridad en WordPress, resaltamos la importancia vital de la Autenticación de Dos Factores (2FA). Esta medida no es solo una capa adicional de seguridad; es una declaración de nuestro compromiso con la protección de nuestra presencia digital y la confianza de nuestros usuarios. En un mundo donde los desafíos de seguridad evolucionan de forma rapida, estar un paso adelante es crucial, y la implementación de 2FA en WordPress es un paso fundamental en esa dirección.

El proceso de configurar 2FA, como hemos visto, es sencillo pero poderoso. Al adoptar esta práctica, no solo estamos siguiendo las tendencias actuales de seguridad digital, sino que también estamos preparando nuestro sitio para enfrentar los desafíos de seguridad del mañana.

Mantener nuestro sitio web seguro es una tarea continua y dinámica, y la implementación de 2FA es un ejemplo brillante de cómo medidas simples pero efectivas pueden tener un impacto significativo. Como administradores de sitios WordPress, debemos seguir las mejores prácticas de seguridad para garantizar la protección de nuestro sitio y la seguridad de nuestros visitantes.

Mientras el mundo digital sigue evolucionando, también lo hacen las herramientas y estrategias que utilizamos para protegerlo. La configuración de 2FA en WordPress es una muestra de cómo podemos adaptarnos y mejorar de forma constante nuestras medidas de seguridad.

También te puede interesar:

• Campo de Cantidad en el Listado de Productos en Woocommerce
• Botón Guardar en Favoritos o Ver más tarde en WordPress
• Clonar WordPress con All In One WP Migration
• Menú de panel deslizante en WordPress
• Plugin de reservas para WordPress
• Tareas de mantenimiento WordPress
• Ventajas del comercio electrónico