blog webempresa

¿Cómo configurar 2FA en WordPress?

por | Nov 29, 2023 | Aprender WordPress

En la era digital actual, donde la seguridad de nuestros sitios web es más importante que nunca, implementar medidas robustas como la Autenticación de Dos Factores (2FA) en WordPress no es solo una recomendación, sino una necesidad imperante. Hoy, vamos a sumergirnos en el mundo de la seguridad de WordPress, enfocándonos en cómo configurar 2FA, un paso esencial para proteger nuestro sitio contra accesos no autorizados.

La seguridad en línea es un tema en constante evolución, y mantenernos al día con las últimas tendencias y mejores prácticas es crucial para garantizar la integridad de nuestro sitio web y la confianza de nuestros usuarios. En este artículo, abordaremos no solo los pasos prácticos para implementar 2FA, sino también su importancia y los beneficios que aporta en el actual panorama digital.

La Autenticación de Dos Factores ha ido ganando terreno como una de las medidas de seguridad más efectivas y fáciles de implementar. Su capacidad para añadir una capa adicional de protección al proceso de inicio de sesión es indispensable en un mundo donde las amenazas cibernéticas son cada vez más sofisticadas y frecuentes.

Así que, si estamos listos para llevar la seguridad de nuestro sitio WordPress a un nivel superior y asegurarnos de estar al frente en las prácticas de seguridad web, acompáñanos en esta guía detallada. Vamos a ver cómo configurar 2FA en WordPress de manera eficiente y efectiva, garantizando así que nuestro sitio no solo esté protegido, sino también actualizado con los estándares de seguridad más recientes. ¡Empecemos!

¿Qué es la identificación de dos factores?

 

La autenticación de dos factores (2FA) es un tipo de autenticación de múltiples factores (MFA) por lo que podemos saber que esta capa de seguridad es adicional a la base de nuestro sitio web. Es una herramienta adicional para lo que sería la base de un WordPress, la función principal sería la de habilitar una mejora para cuando alguien inicie sesión de WordPress.

En una configuración estándar de WordPress, el usuario o cliente solo debe ingresar dos datos, como lo son el nombre de usuario o correo electrónico y su contraseña para poder iniciar sesión. Estos tres datos son posibles a ser adivinarse mediante ataques de diccionario.

Cuando se agrega la identificación de dos factores al sitio web de WordPress, de manera general, el usuario deberá ingresar su nombre de usuario y contraseña como usualmente lo hace, con la diferencia de que, al hacerlo, el sistema va a solicitar una información adicional para poder iniciar la sesión. Además de la contraseña, esta información puede ser una de las siguientes:

  1. Un dato que solo el usuario o cliente puede conocer, usualmente se trata de una contraseña o código PIN.
  2. Un utensilio que solo posee la persona en cuestión que va a ingresar al sitio, como por ejemplo un teléfono celular o cualquier otro dispositivo personal.
  3. Una forma de demostrar la identidad, como el uso de tecnologías dactilares o de escaneo facial que actualmente están contenidas en teléfonos.

Los datos pueden suministrarse a los clientes también por medio de varias formas, las cuales pueden ser:

  1. Un mensaje de texto o una llamada que nos proporciona un código para poder ingresar al sitio web.
  2. Prueba biométrica como se comentó que está presente en teléfonos inteligentes de la actualidad, así como un escaneo facial
  3. Una aplicación que se pueda descargar que nos proporcione códigos aleatorios que se restablecen con el tiempo, para que sean únicos y no se puedan conocer de otra forma que no sea con el dispositivo vinculado.

Por ejemplo, si un cliente o usuario va a iniciar sesión en nuestra web o cualquier sitio de WordPress, primero debe ingresar su nombre de usuario y contraseña como normalmente se haría. Posterior a esto, debe ingresar la identificación de dos factores, directamente bajo cualquier ejemplo que se dio previamente, el más común es la posibilidad de configurar la app para servir un código único de acceso.

Igualmente, en un sitio de una seguridad más robusta, como lo puede ser un banco, podría solicitar primero el nombre de usuario y la contraseña, pero esta vez con una variante. Luego de esto, es posible que requieran un código PIN con fecha de expiración usando la tarjeta del dueño, como beneficio adicional, el escaneo de huellas dactilares si está iniciando sesión a través de un teléfono inteligente como una manera adicional de verificar la identidad del usuario.

Es necesaria la autentificación dos factores en WordPress

 

Existen ocasiones en las que pensamos que nuestro sitio es lo suficientemente seguro, pero aun así es más fácil de lo que pensamos el que exista la posibilidad de que alguien robe o adivine una contraseña. Sin contar que, los usuarios de un sitio según su edad pueden utilizar contraseñas más débiles. De hecho, el ciberdelito es uno de los crímenes que está aumentando a medida que pasan los años. Los abusos en plataformas virtuales, perdidas de información, datos y el hurto de contraseñas ha aumentado y se espera que aumente aún más.

El tamaño del sitio no es un factor diferencial para que ocurra esto, el aumento en la piratería de contraseñas significa que nuestro sitio puede mejorar de forma considerable antes estos ataques solo con unas capas más de seguridad en nuestra web o servidor web.

seguridad

El hecho de que de alguna forma forcemos a nuestros usuarios para implementar contraseñas seguras es muy importante para la seguridad del sitio en general. Aunque, en algunos casos, una buena contraseña no es suficiente para defendernos. Un error por parte de nuestros usuarios podría terminar en que un hacker pueda acceder a nuestro sitio y a la información personal y poner en riesgo al cliente y a nosotros como dueños del sitio web.

Lo bueno es que podemos implementar la autentificación dos factores, para poder dar un buen alto a esta situación. Incluso, si dicho hacker pudiese lograr descifrar una contraseña, no sería suficiente porque necesitaría llegar o pasar la etapa donde el usuario debe ingresar este código que solo él va a poder ver (autentificación dos factores).

Estos son los beneficios de la identificación de dos factores:

  1. Los datos están más seguros, por lo que es posible que los usuarios tengan contraseñas débiles sin que sea un factor principal para los ataques a nuestro sitio.
  2. La implementación del 2FA redice drásticamente la posibilidad de que el hacker pueda por algún motivo hacerse pasar por el usuario final.
  3. El equipo de administración del sitio tendrá un poco más de seguridad y tranquilidad para poder trabajar a gusto en la administración del mismo.
  4. Los clientes también estarán más seguros y garantizados de que es un sistema seguro donde solo ellos mismos son los que van a poder iniciar sesión de forma segura.
  5. Si nuestro sitio está protegido, no habrá necesidad de hacer gastos imprevistos en mejorar la seguridad en caso de un ataque repentino.

Ahora que conocemos los beneficios de 2FA para nuestro sitio web y negocio, es hora de instalarlo en WordPress.

Pasos para agregar la autenticación de dos factores en un sitio WordPress

 

En esta era de ciberseguridad avanzada, la Autenticación de Dos Factores (2FA) se ha convertido en una herramienta indispensable para asegurar nuestros sitios WordPress. Aquí vamos a ver algunas herramientas y plugins para WordPress que nos ayudaran a través de los pasos actualizados para implementar 2FA, manteniendo nuestro sitio a la vanguardia de la seguridad digital.

¿Qué necesitamos para usar la doble verificación 2FA?

 

De momento lo único que vamos a necesitar, además de una cuenta de usuario, administrador o editor, en nuestro dashboard de WordPress y un plugin que incluya la activación de la doble autenticación, es una app móvil como Google Authenticator o Authy, estas ambas gratuitas para iOS y Android, que puede ser instalada en teléfono o tableta.

Que es Ciberprotector

 

CiberProtector es una herramienta de seguridad desarrollada por Webempresa que incluye:

Gestor de contraseñas: nos permite crear, guardar, usar y compartir tus contraseñas de acceso de forma segura.
VPN (Red Privada Virtual para encriptar tu conexión a internet): La VPN es una red de seguridad para tu conexión a Internet. Todos los datos que envíes o recibas al navegar se encriptan y se volverán indescifrables para posibles intrusos. La principal ventaja, al ser cliente de Webempresa, es que nunca bloqueamos tu Ip en el Firewall o mediante reglas de mod_security si estás conectado a la VPN.

Seguridad en tus equipos: nuestra aplicación te ayudará a mantener las medidas básicas para que tu ordenador y tus dispositivos móviles sean más seguros.
Aunque desde Webempresa trabajamos para mantener la seguridad de tu hosting, las medidas que aplicamos deben combinarse con una buena política por parte del usuario para mantener tus accesos protegidos.

Y mas alla de estos beneficios, encontramos uno por el cual agregamos esta mejora de nuestro servicio a esta guia.

Gestor 2FA el area de cliente, WordPress y todos los accesos que te permitan activar un 2FA TOTP (Token basado en tiempo): si nos encontramos en un wepanel o cPanel el implementar 2FA va a generar códigos de autenticación, eso quiere decir que aunque alguien utilice tus datos de acceso, solo podrá loguearse a los sitios guardados y con 2FA activado, si facilitan este código generado por Ciberprotector y que cambia constantemente a cada 30 segundos.

Actualmente, si tienes alguna duda con respecto a nuestro plugin de ciberprotector en cualquiera de sus presentaciones, contamos con guías que pueden ayudarte a comprender más todos los usos que podemos darle al plugin o aplicación, para ello ingresamos en Guias Ciberprotector

2FA con plugin de WP Ciberprotector

 

Este plugin podemos gestionarlo como cualquier otro plugin de WordPress, haciendo una instalación de plugin en WordPress tanto manual o por medio del repositorio de WordPress, una vez lo hemos instalado de forma correcta, tendremos algunas opciones disponibles.

Para ello solo ingresamos al panel lateral de nuestro dashboard WordPress, luego a Ciberprotector, por último tendremos que seguir los pasos que nos encontraremos en nuestro sitio, solo ingresamos, activamos los ajustes y descargamos la aplicación para móvil de ciberprotector.

Una vez seguimos los pasos que nos encontramos en la aplicación y escaneamos el código QR que se nos va a mostrar en el sitio. Una vez seguidos todos los pasos podemos pasar a la configuración de nuestra aplicación para personalizarla un poco más, sin embargo, ya el proceso estaría completado e implementado en nuestro sitio el uso de este código.

2FA con WordFence Login Security

 

Otro de los plugins más importantes para poder realizar esta mejora en nuestro sitio es el plugin de 2FA con WordFence Login Security, este plugin funciona de forma similar al que hemos visto en el plugin anterior, con la diferencia que este se utiliza y se implementa mediante otro plugin.

Es decir no requiere la instalación del plugin anterior para funcionar de forma correcta.

wordfence login security

Un plugin bastante sencillo, solo tenemos que ingresar a su panel una vez tenemos instalado el plugin, vamos a seguir los pasos que vamos a ver a continuación para poder configurar el plugin en nuestro sitio web:

 

  1. Activar la autenticación dual.
  2. Instalar una aplicación de autenticación de dos factores en su teléfono, ya sea ciberprotector, Google Authenticator, Authy, etc.
  3. Una vez tenemos la aplicación descargada, escaneamos el código QR para agregar la aplicación y nuestro sitio web a la aplicación.
  4. Guardamos los códigos de respaldo, esto en caso de que se pierda nuestro dispositivo móvil podremos iniciar sesión con este código sin el uso de la aplicación.
  5. Ya una vez todo listo la próxima vez que iniciemos sesión, además del nombre de usuario/email + contraseña, se te solicitarán números de caducidades temporales generados por la app que hemos elegido para conectar el plugin con el sitio web.

Ya configurado en nuestro usuario la configuración de dos factores, nos queda activarlo para el resto de usuarios, para ello:

 

  1. Seleccionamos en que perfiles de usuario se hará efectiva la solicitud de una doble autentificación o 2FA esto mediante el panel de selección superior
  2. Si permitir el período de gracia opcional de 30 días (para que el usuario pueda elegir que no se le pregunte todos los días el código de 2fa).
  3. Requerir 2FA para conexiones XML-RPC (recomendado)
  4. También, agregue reCAPTCHA (opcional)
  5. Habilitar el protocolo NTP (recomendado)
  6. Integración con WooCommerce (opcional)

Como podemos ver, es bastante sencillo de configurar y funciona perfectamente una vez ya configuramos los perfiles, por lo que, el plugin de Wordfence Login Security es una buena opción para agregar autenticación doble a su sitio de WordPress.

2FA con Solid Security plugin

 

Antes conocido como IThemes security este no solo cambio su nombre, sino también la forma en la que trabaja, optimizando aún más sus características principales y su forma en la que trabajar la seguridad de nuestro sitio. Hay que tener en cuenta que este plugin no solo nos ayudara a implementar la seguridad 2FA, sino que activa otras configuraciones para mejorar más el sitio.

En este caso lo utilizaremos como ejemplo para lo que necesitamos en este momento, que es el poder implementar la seguridad de dos factores en nuestro sitio.

Solid security

Este plugin, al igual que el anterior, resulta de gran utilidad porque nos ayuda a habilitar la doble identificación que es configurable a través de un asistente, cosa que facilita en gran medida el trabajo.

Seguridad dos factores en plugin

Después de activarlo, y después de completar el asistente de configuración, podremos configurar la autenticación de dos factores. En la configuración vamos a elegir los métodos de doble verificación:

  1. Aplicación móvil
  2. Correo electrónico
  3. Copia de seguridad de códigos de identificación

De la misma forma podemos hacer uso del nuevo selector de todos los elementos, con él nos ahorraremos la selección si tenemos planeado aplicarlo a todos los aspectos de nuestro sitio.

todos los metodos

Lo más seguro sería la opción de app móvil, pero si optas solo por el método de correo electrónico de confirmación, o solo la app móvil, es mejor que se establezcan los códigos de seguridad, ya que es más factible perder el acceso a un correo electrónico que a una app.

Una vez que los activamos, en el próximo inicio de sesión, se nos solicitara a los usuarios que inicien el proceso de configuración de su inicio por medio del 2FA, utilizando los métodos que hemos activado previamente, una vez que está activo, es fácil de entender.

Lo que es un poco más complicado es cómo definir para qué usuarios activar la doble verificación, porque para ello tendremos que configurar Solid Security creando grupos de usuarios y en cada grupo de usuario, decidir qué activas. Igualmente, este plugin por defecto tiene activo todos los usuarios para esta mejora de 2fa.

2FA Con WP 2FA

 

Como último caso tenemos un plugin que nos ayudara a gestionar en gran medida la configuración de 2FA, este plugin no es más que WP 2FA. Con este plugin podemos obligar a los usuarios de nuestro sitio web a utilizar la autentificación 2FA.

Este plugin es sencillo de utilizar y configurar gracias a los asistentes con los que cuenta, esto lo hace un plugin sencillo para personas que somos nuevas en WordPress y queremos implementar esta función sin complicaciones.

Wp 2fa

Una vez hemos realizado la instalación del plugin en WordPress, solo con activarlo ya se nos mostrará el asistente para la configuración del plugin. Desde aquí podemos seguir los pasos que vamos a ver en las imágenes de esta guía.

Una vez terminemos de configurar estos ajustes, tendremos el código QR en pantalla para configurar nuestro usuario como primero 2fa.

Como ya hemos visto antes, la configuración del asistente es la misma que en otros plugins, por lo que las capturas de pantalla son bastante autoexplicativas y fáciles de entender.

Solo nos va a mostrar diferentes ajustes dependiendo de que elijamos para la identificación, si correo electrónico o autentificación por medio de la aplicación móvil. Una vez terminamos con esto ya habríamos terminado de configurar los ajustes básicos, pero podemos hacer más cosas, al ser un plugin especifico y pensado solo para 2FA podemos encontrar más opciones, que no se muestran en el asistente inicial, que deberíamos revisar.

Para ello tenemos un nuevo elemento en la administración llamado WP 2FA, con dos páginas de configuración de ajustes adicionales:

  1. Políticas 2FA
  2. Ajustes

Políticas 2FA

 

En la política 2FA podremos seleccionar los métodos de configuración que tenemos en el asistente:

 

  1. Seleccionar entre los métodos de doble identificación disponibles
  2. Elegir para qué perfiles forzar la doble identificación
  3. Definir un período de gracia o desactivar este mismo
  4. Si se creará una página de configuración 2FA externa para los usuarios o si la configuración estará en el administrador de WordPress
  5. Elegir a dónde redirigir a los usuarios después de configurar su página 2FA
  6. Permitir a los usuarios la posibilidad de deshabilitar 2FA en su perfil o privarlos de esta posibilidad

Ajustes 2FA

 

En la sección de ajustes nos encontraremos con 3 pestañas, que contienen:

Ajustes y plantillas de correo electrónico: Aquí se puede personalizar los textos de los correos electrónicos que envía el sistema a través de este plugin, y son los que recibe el usuario al momento de solicitar el acceso al sitio.

Configuración general: algunas configuraciones técnicas sobre cómo funciona el plugin, que normalmente no se tienen que cambiar.

Marca blanca: Esta opción nos permite personalizar los textos que se muestran a los usuarios en el proceso de doble autenticación.

Como podemos ver, es un plugin completo, que nos permite personalizar varios aspectos, este también tiene una versión prémium que es de pago, pero no es realmente innecesaria, al menos que necesitemos aplicar políticas de caducidad de doble DNI, estadísticas y poco más.

    Conclusiones

     

     

    Al final de nuestro viaje por el camino de la seguridad en WordPress, resaltamos la importancia vital de la Autenticación de Dos Factores (2FA). Esta medida no es solo una capa adicional de seguridad; es una declaración de nuestro compromiso con la protección de nuestra presencia digital y la confianza de nuestros usuarios. En un mundo donde los desafíos de seguridad evolucionan de forma rapida, estar un paso adelante es crucial, y la implementación de 2FA en WordPress es un paso fundamental en esa dirección.

    El proceso de configurar 2FA, como hemos visto, es sencillo pero poderoso. Al adoptar esta práctica, no solo estamos siguiendo las tendencias actuales de seguridad digital, sino que también estamos preparando nuestro sitio para enfrentar los desafíos de seguridad del mañana.

    Mantener nuestro sitio web seguro es una tarea continua y dinámica, y la implementación de 2FA es un ejemplo brillante de cómo medidas simples pero efectivas pueden tener un impacto significativo. Como administradores de sitios WordPress, debemos seguir las mejores prácticas de seguridad para garantizar la protección de nuestro sitio y la seguridad de nuestros visitantes.

    Mientras el mundo digital sigue evolucionando, también lo hacen las herramientas y estrategias que utilizamos para protegerlo. La configuración de 2FA en WordPress es una muestra de cómo podemos adaptarnos y mejorar de forma constante nuestras medidas de seguridad.

    ¿Te ha resultado útil este artículo?

    Promo Junio Webempresa