Como configurar 2fa en wordpress

Te presentamos Arkibot,
nuestra nueva herramienta de chatbot.

Pruébala por 9,90€ + impuestos al mes y automatiza el trabajo aburrido.

Ahorra tiempo y dinero aquí

  Introducción

La seguridad de nuestro WordPress o de cualquier sitio web en los que trabajemos dependen en gran medida de los sistemas de seguridad y protecciones que tengamos en él para hacerlos más resistentes a ataques, así fortalecer aún más su seguridad. Con el aumento en el descifrado automático de contraseñas, la información que antes era totalmente confidencial de nuestros usuarios, así como el acceso a nuestro sitio, pueden estar en riesgo.

Es por esto que es tan importante proteger aún más nuestro sitio de WordPress utilizando medidas como lo son la autenticación de dos factores. Hay que tener en cuenta que una contraseña débil es un punto de inflexión donde es posible que un malware o persona ingrese a nuestro administrador o peor. Por lo que en esta guía vamos a ver la autenticación o identificación de dos factores, por qué es muy importante para poder implementar una buena seguridad en nuestro sitio, y no es algo difícil de implementar, por el contrario, contamos con complementos que nos facilitan el trabajo.

  ¿Qué es la identificación de dos factores?

La autenticación de dos factores (2FA) es un tipo de autenticación de múltiples factores (MFA) por lo que podemos saber que esta capa de seguridad es adicional a la base de nuestro sitio web. Es una herramienta adicional para lo que sería la base de un WordPress, la función principal sería la de habilitar una mejora para cuando alguien inicie sesión de WordPress.

En una configuración estándar de WordPress, el usuario o cliente solo debe ingresar dos datos, como lo son el nombre de usuario o correo electrónico y su contraseña para poder iniciar sesión. Estos tres datos son posibles a ser adivinarse mediante ataques de diccionario. Cuando se agrega la identificación de dos factores al sitio de WordPress, de manera general, el usuario deberá ingresar su nombre de usuario y contraseña como usualmente lo hace, con la diferencia de que, al hacerlo, el sistema va a solicitar una información adicional para poder iniciar la sesión. Además de la contraseña, esta información puede ser una de las siguientes:

1. Un dato que solo el usuario o cliente puede conocer, usualmente se trata de una contraseña o código PIN.
2. Un utensilio que solo posee la persona en cuestión que va a ingresar al sitio, como por ejemplo un teléfono celular o cualquier otro dispositivo personal.
3. Una forma de demostrar la identidad, como el uso de tecnologías dactilares o de escaneo facial que actualmente están contenidas en teléfonos.

Los datos pueden suministrarse a los clientes también por medio de varias formas, las cuales pueden ser:

1. Un mensaje de texto o una llamada que nos proporciona un código para poder ingresar al sitio web.
2. Prueba biométrica como se comentó que está presente en teléfonos inteligentes de la actualidad, así como un escaneo facial
3. Una aplicación que se pueda descargar que nos proporcione códigos aleatorios que se restablecen con el tiempo, para que sean únicos y no se puedan conocer de otra forma que no sea con el dispositivo vinculado.

Por ejemplo, si un cliente o usuario va a iniciar sesión en nuestra web o cualquier sitio de WordPress, primero debe ingresar su nombre de usuario y contraseña como normalmente se haría. Posterior a esto, debe ingresar la identificación de dos factores, directamente bajo cualquier ejemplo que se dio previamente, el más común es la posibilidad de configurar la app para servir un código único de acceso.

Igualmente, en un sitio de una seguridad más robusta, como lo puede ser un banco, podría solicitar primero el nombre de usuario y la contraseña, pero esta vez con una variante. Luego de esto, es posible que requieran un código PIN con fecha de expiración usando la tarjeta del dueño, como beneficio adicional, el escaneo de huellas dactilares si está iniciando sesión a través de un teléfono inteligente como una manera adicional de verificar la identidad del usuario.

  Es necesaria la autentificación dos factores en WordPress

Existen ocasiones en las que pensamos que nuestro sitio es lo suficientemente seguro, pero aun así es más fácil de lo que pensamos el que exista la posibilidad de que alguien robe o adivine una contraseña. Sin contar que, los usuarios de un sitio según su edad pueden utilizar contraseñas más débiles. De hecho, el ciberdelito es uno de los crímenes que está aumentando a medida que pasan los años. Los abusos en plataformas virtuales, perdidas de información, datos y el hurto de contraseñas ha aumentado y se espera que aumente aún más.

El tamaño del sitio no es un factor diferencial para que ocurra esto, el aumento en la piratería de contraseñas significa que nuestro sitio puede mejorar de forma considerable antes estos ataques solo con unas capas más de seguridad en nuestra web.

El hecho de que de alguna forma forcemos a nuestros usuarios para implementar contraseñas seguras es muy importante para la seguridad del sitio en general. Aunque, en algunos casos, una buena contraseña no es suficiente para defendernos. Un error por parte de nuestros usuarios podría terminar en que un hacker pueda acceder a nuestro sitio y a la información personal y poner en riesgo al cliente y a nosotros como dueños del sitio web.

Lo bueno es que podemos implementar la autentificación, dos factores para poder dar un buen alto a esta situación. Incluso, si dicho hacker pudiese lograr descifrar una contraseña, no sería suficiente porque necesitaría llegar o pasar la etapa donde el usuario debe ingresar este código que solo él va a poder ver (autentificación dos factores).

Estos son los beneficios de la identificación de dos factores:

1. Los datos están más seguros, por lo que es posible que los usuarios tengan contraseñas débiles sin que sea un factor principal para los ataques a nuestro sitio.
2. La implementación del 2FA redice drásticamente la posibilidad de que el hacker pueda por algún motivo hacerse pasar por el usuario final.
3. El equipo de administración del sitio tendrá un poco más de seguridad y tranquilidad para poder trabajar a gusto en la administración del mismo.
4. Los clientes también estarán más seguros y garantizados de que es un sistema seguro donde solo ellos mismos son los que van a poder iniciar sesión de forma segura.
5. Si nuestro sitio está protegido, no habrá necesidad de hacer gastos imprevistos en mejorar la seguridad en caso de un ataque repentino.

Ahora que conocemos los beneficios de 2FA para nuestro sitio web y negocio, es hora de instalarlo en WordPress.

  Pasos para agregar la autenticación de dos factores en un sitio WordPress

Existen varias formas de activar esta función, pero una de las más fáciles y rápidas a la hora de configurar es la del uso de un complemento. Pero a estas alturas tenemos muchos complementos disponibles, por lo que vamos a ver unos cuantos complementos 2FA que nos resultaran más fáciles de implementar y configurar.

  ¿Qué necesitamos para usar la doble verificación 2FA?

De momento lo único que vamos a necesitar, además de una cuenta de usuario, administrador o editor web de WordPress y un plugin que incluya la activación de la doble autenticación, es una app móvil como Google Authenticator o Authy, estas ambas gratuitas para iOS y Android, que puede ser instalada en teléfono o tableta.

  Que es Ciberprotector

CiberProtector es una herramienta de seguridad desarrollada por Webempresa que incluye:

Gestor de Contraseñas: CiberProtector te permite crear, guardar, usar y compartir tus contraseñas de acceso de forma segura.
VPN (Red Privada Virtual para encriptar tu conexión a internet): La VPN es una red de seguridad para tu conexión a Internet. Todos los datos que envíes o recibas al navegar se encriptan y se volverán indescifrables para posibles intrusos. La principal ventaja, al ser cliente de Webempresa, es que nunca bloqueamos tu Ip en el Firewall o mediante reglas de mod_security si estás conectado a la VPN.

Seguridad en tus equipos: Nuestra aplicación te ayudará a mantener las medidas básicas para que tu ordenador y tus dispositivos móviles sean más seguros.
Aunque desde Webempresa trabajamos para mantener la seguridad de tu hosting, las medidas que aplicamos deben combinarse con una buena política por parte del usuario para mantener tus accesos protegidos.

Y mas alla de estos beneficios, encontramos uno por el cual agregamos esta mejora de nuestro servicio a esta guia.

Gestor 2FA para que protejas el acceso a tu wePanel / cPanel, Área de Cliente, WordPress y todos los accesos que te permitan activar un 2FA TOTP (Token basado en tiempo): El 2FA genera códigos de autenticación, eso quiere decir que aunque alguien utilice tus datos de acceso, solo podrá loguearse a los sitios guardados y con 2FA activado, si facilitan este código generado por Ciberprotector y que cambia constantemente a cada 30 segundos.

  2FA con plugin de WP Ciberprotector

Para este preciso complemento tenemos una guía explicativa muy completa que incluye videos de como agregar y configurar nuestro complemento de ciberprotector en nuestros sitios wordpress, para ello ingresamos en el siguiente enlace:

  2FA con WordFence Login Security

Wordfence Login Security

Un complemento bastante sencillo, simplemente una vez tenemos instalado el plugin, vamos a seguir los pasos que vamos a ver a continuación para poder configurar el complemento en nuestro sitio web:

1. Activar la autenticación dual.
2. Instalar una aplicación de autenticación de dos factores en su teléfono, ya sea ciberprotector, Google Authenticator, Authy, etc.
3. Una vez tenemos la aplicación descargada, escaneamos el código QR para agregar la aplicación y nuestro sitio web a la aplicación.
4. Guardamos los códigos de respaldo, esto en caso de que se pierda nuestro dispositivo móvil podremos iniciar sesión con este código sin el uso de la aplicación.
5. Ya una vez todo listo la próxima vez que iniciemos sesión, además del nombre de usuario/email + contraseña, se te solicitarán números de caducidad temporales generados por la app que hemos elegido para conectar el complemento con el sitio web.

Ya configurado en nuestro usuario la configuración de dos factores, nos queda activarlo para el resto de usuarios, para ello:

1. Seleccionamos en que perfiles de usuario se hará efectiva la solicitud de una doble autentificación o 2FA esto mediante el panel de selección superior
2. Si permitir el período de gracia opcional de 30 días (para que el usuario pueda elegir que no se le pregunte todos los días el código de 2fa).
3. Requerir 2FA para conexiones XML-RPC (recomendado)
4. También, agregue reCAPTCHA (opcional)
5. Habilitar el protocolo NTP (recomendado)
6. Integración con WooCommerce (opcional)

Como podemos ver, es bastante sencillo de configurar y funciona perfectamente una vez ya configuramos los perfiles, por lo que, el complemento Wordfence Login Security es una buena opción para agregar autenticación doble a su sitio de WordPress.

  2FA con iThemes Security

iThemes Security

Este complemento, al igual que el anterior, resulta de gran utilidad porque nos ayuda a habilitar la doble identificación que es configurable a través de un asistente, cosa que facilita en gran medida el trabajo.

Después de activarlo, y después de completar el asistente de configuración, podremos configurar la autenticación de dos factores. En la configuración vamos a elegir los métodos de doble verificación:

1. Aplicación móvil
2. Correo electrónico
3. Copia de seguridad de códigos de identificación

Lo más seguro sería la opción de app móvil, pero si optas solo por el método de correo electrónico de confirmación, o solo la app móvil, es mejor que se establezcan los códigos de seguridad, ya que es más factible perder el acceso a un correo electrónico que a una app.

Una vez que los activamos, en el próximo inicio de sesión, se nos solicitara a los usuarios que inicien el proceso de configuración de su inicio por medio del 2FA, utilizando los métodos que hemos activado previamente, una vez que está activo, es fácil de entender.

Lo que es un poco más complicado es cómo definir para qué usuarios activar la doble verificación, porque para ello tendremos que configurar iThemes Security creando grupos de usuarios y en cada grupo de usuario, decidir qué activas. Igualmente, este complemento por defecto tiene activo todos los usuarios para esta mejora de 2fa.

  2FA Con WP 2FA

Esta opción es una de las más fáciles de configurar, con tan solo realizar la instalación del complemento y activarlo, se nos va a mostrar un asistente para poder configurar el complemento desde allí, en este asistente nos preguntará por los métodos que queremos activar, los usuarios a activar la 2FA, y más opciones, como podemos ver en las siguientes capturas de pantalla:

Una vez terminemos de configurar estos ajustes, tendremos el código QR en pantalla para configurar nuestro usuario como primero 2fa.

Como ya hemos visto antes, la configuración del asistente es la misma que en otros complementos, por lo que las capturas de pantalla son bastante autoexplicativas y fáciles de entender.

Solo nos va a mostrar diferentes ajustes dependiendo de que elijamos para la identificación, si correo electrónico o autentificación por medio de la aplicación móvil. Una vez terminamos con esto ya habríamos terminado de configurar los ajustes básicos, pero podemos hacer más cosas, al ser un plugin especifico y pensado solo para 2FA podemos encontrar más opciones, que no se muestran en el asistente inicial, que deberíamos revisar.

Para ello tenemos un nuevo elemento en la administración llamado WP 2FA, con dos páginas de configuración de ajustes adicionales:

1. Políticas 2FA
2. Ajustes

  Políticas 2FA

En la política 2FA podremos seleccionar los métodos de configuración que tenemos en el asistente:

1. Seleccionar entre los métodos de doble identificación disponibles
2. Elegir para qué perfiles forzar la doble identificación
3. Definir un período de gracia o desactivar este mismo
4. Si se creará una página de configuración 2FA externa para los usuarios o si la configuración estará en el administrador de WordPress
5. Elegir a dónde redirigir a los usuarios después de configurar su página 2FA
6. Permitir a los usuarios la posibilidad de deshabilitar 2FA en su perfil o privarlos de esta posibilidad

  Ajustes 2FA

En la sección de ajustes nos encontraremos con 3 pestañas, que contienen:

Ajustes y plantillas de correo electrónico: Aquí se puede personalizar los textos de los correos electrónicos que envía el sistema a través de este complemento, y son los que recibe el usuario al momento de solicitar el acceso al sitio.

Configuración general: algunas configuraciones técnicas sobre cómo funciona el complemento, que normalmente no se tienen que cambiar.

Marca blanca: Esta opción nos permite personalizar los textos que se muestran a los usuarios en el proceso de doble autenticación.

Como podemos ver, es un complemento completo, que nos permite personalizar varios aspectos, este también tiene una versión prémium que es de pago, pero no es realmente innecesaria, al menos que necesitemos aplicar políticas de caducidad de doble DNI, estadísticas y poco más.

  Conclusión

Como podemos ver, tenemos complementos especializados como lo es WP Ciberprotector, que estan hechos de forma especializada para cumplir esta función, y supera a cualquiera de las otras opciones, para la personalización, para la configuración, para todo; sin embargo, también tenemos otras alternativas buenas como lo serian los complementos de seguridad generalizados como ithemes, wordfence o wp 2fa.

Lo mejor que podemos hacer es instalar el complemento especializado de 2fa de Ciberprotector, al menos que necesitemos una de las características específicas de los demás complementos de seguridad, algo que nos beneficia al momento de optimizar la velocidad de nuestro sitio o las cargas excesivas de recursos por parte de otros complementos.

Argenis

Equipo de soporte WordPress y WooCommerce en Webempresa.