Haga que su sitio web sea más seguro con la autenticación de múltiples factores

Tal vez estés cansado de memorizar tantas contraseñas diferentes y asumes que tu empresa de hosting se encarga de la seguridad de tu sitio web. Pero te aseguro: si proteges y cuidas la seguridad de tu sitio web, te salvarás de mayores disgustos y consecuencias no deseadas. Ten en cuenta que una brecha de seguridad en tu sitio web no solo te afecta a ti y a tu negocio, sino que también puede afectar a tus clientes e incluso puedes terminar con problemas legales por no haber tomado las medidas de seguridad adecuadas.

Para ayudarlo a dormir un poco más tranquilo (si eso es posible en esta época), le explicaré cómo puede hacer que su sitio web de WordPress sea más seguro con la autenticación de múltiples factores.

¿Qué es la autenticación multifactor (MFA)?

No solo has visto Multi-Factor Authentication (MFA) en muchas películas, sino que ya la usas para confirmar pagos en línea con tu tarjeta de crédito o iniciando sesión en tu correo electrónico, entre otros. Es un método de control de acceso a la computadora en el que solo se le otorga acceso a una persona después de que presente más de una prueba de identidad diferente. Estas pruebas o factores de autenticación pueden ser diversos:

• Algún objeto físico que posea la persona, como una memoria USB con un identificador único, una tarjeta de crédito, una llave, etc.
• Algún secreto que la persona sepa, como una contraseña, un pin, etc.
• Alguna característica biométrica de la persona, como huella dactilar, iris, voz, velocidad de escritura, patrón de intervalo de pulsación de teclas, etc.

El caso de combinar solo dos factores también se conoce como “verificación en dos pasos” o “autenticación de dos factores” o “2FA”. Y la idea es que la autenticación multifactor siempre será más segura que solo un nombre de usuario y una contraseña.

¿Por qué debería agregar MFA a mi sitio web de WordPress?

Uno de los métodos para descifrar contraseñas sigue siendo un ataque de fuerza bruta. Este ataque consiste, como su nombre indica, en la prueba bruta de posibles combinaciones de usuarios y contraseñas. Este tipo de ataques son llevados a cabo por botnets que utilizan algoritmos y herramientas cada vez más sofisticados.

Muchas empresas de alojamiento ya incluyen cortafuegos y otras herramientas para evitar este tipo de ataques. Aun así, también existen otras recomendaciones que pueden ayudar a mitigar una brecha de seguridad, como obligar a los usuarios a agregar contraseñas seguras u obligarlos a cambiarlas cada 3 meses.

Pero agregar autenticación multifactor a su sitio web lo hace 100% seguro contra ataques de fuerza bruta. Ese factor extra y el paso de identificar a la persona es jaque mate para este tipo de bot.

Cómo implementar la verificación en dos pasos

Agregar una verificación en dos pasos significa que tendremos que agregar un paso de verificación adicional a la autenticación habitual de usuario y contraseña. La forma más sencilla es que cada usuario tenga instalada en su teléfono una aplicación de autenticación que muestre un código temporal que solo es válido durante unos segundos y que este es el que tiene que añadir como forma de verificación (además de la contraseña ).

Las aplicaciones móviles más conocidas son Google Authenticator, Authy, HENNGE OTP, FreeOTP o SoundLogin (en caso de autenticación por sonido), entre otras. Todos ellos disponibles como aplicaciones para Android e iOS.

Veamos a continuación cómo podemos implementar la verificación en dos pasos con Google Authenticator. Tenga en cuenta que el proceso sería muy similar con cualquiera de las aplicaciones antes mencionadas.

Autenticador de Google

Google Authenticator es una aplicación simple que está disponible en Android e iOS y simplemente muestra un código numérico de 6 dígitos que cambia cada 30 segundos. Este es el que debe usar después de haber iniciado sesión en su WordPress o cualquier otro servicio donde lo esté usando, como su servicio de correo, alojamiento, nube, redes sociales, etc. Para cada cuenta, verá un código y el tiempo restante hasta que se actualice.

Todas las personas que vayan a acceder a tu WordPress usando 2FA deben descargar la aplicación Google Authenticator en su móvil para poder verificar su identidad con este sistema.

Instalar y activar un complemento para 2FA

Hay varios complementos disponibles que le permiten realizar la autenticación de usuario en dos pasos, como Google Authenticator, Wordfence Login Security, Google Authenticator de miniOrange o autenticación de dos factores. Veamos los pasos a seguir con el complemento Google Authenticator.

En primer lugar, desde su panel de WordPress, haga clic en el complemento "Agregar nuevo":

Busque el complemento que desea instalar, que en nuestro caso es "Google Authenticator", y haga clic en "Instalar" y "Activar:"

Configurar el complemento

Después de activar el complemento, tendrá la nueva opción de configuración de Google Authenticator.

En la ventana de configuración de Google Authenticator tienes la opción de indicar si quieres que sean los propios usuarios los que decidan si usar o no la doble autenticación y qué roles quieres que tenga habilitada la doble autenticación.

A continuación, en el perfil de cada usuario que tenga alguno de los roles marcados con doble autenticación, encontrarás las opciones de configuración de Google Authenticator.

Puede indicar si el usuario debe tener habilitado 2FA, si el usuario necesita más tiempo para iniciar sesión, el nombre de la cuenta que se muestra en la aplicación instalada en su teléfono, un código secreto, mostrar el código QR y si permitir agregar un contraseña en la aplicación.

Agregar la cuenta configurada a la aplicación móvil

Ahora, la primera vez que alguien a quien se le ha indicado que inicie sesión con 2FA, aparecerá la siguiente ventana pidiéndole que escanee su código QR en su móvil y confirme el código generado que ve en la aplicación.

En la aplicación Google Authenticator en su dispositivo móvil, el usuario debe hacer clic en el botón "+" en la parte inferior derecha de la pantalla de la aplicación para agregar una nueva cuenta, seleccionar escanear un código y, después de escanear el código que muestra su sitio de WordPress , la configuración estará lista.

Ahora todo lo que tiene que hacer el usuario es ingresar el código que aparece en la aplicación en la pantalla inicial y la configuración está completa.

La próxima vez que el usuario quiera acceder al sitio, deberá hacerlo en dos pasos: primero ingresando su nombre de usuario y contraseña y, a continuación, su código de Google Authenticator.

¡Y eso es! Con esto tendrás doblemente asegurada la seguridad de tu web.

Conclusión

Mantener la seguridad en su sitio web implica seguir un conjunto de mejores prácticas para minimizar el riesgo de ser víctima de ataques. Aunque protegerse al 100% es imposible, ya has visto que instalar una doble barrera de seguridad en tu web es sencillo y gratuito , ¡así que no esperes a tener un problema cuando sabes que más vale prevenir que curar!

Imagen destacada de FLY:D en Unsplash.