Autenticación de dos factores: una guía para usuarios de WordPress
Publicado: 2023-01-03Probablemente haya encontrado un proceso de autenticación de inicio de sesión de dos pasos en la banca en línea y en cualquier sitio que requiera la mayor seguridad para sus usuarios. Debido a que WordPress admite la autenticación de dos factores (2FA), puede tener el mismo nivel de seguridad que un banco. Ya sea que se trate de su propio sitio de WordPress o de los sitios que crea para los clientes, la seguridad sólida es fundamental.
La autenticación de dos factores agrega una capa de protección increíblemente importante que todo propietario de un sitio de WordPress debería considerar seriamente adoptar. Debido a que 2FA hace que muchos intentos de piratería comunes sean imposibles, los piratas simplemente evitarán los sitios protegidos por 2FA y no se molestarán en intentar entrar con métodos que saben que no funcionarán. Cada sitio de WordPress puede beneficiarse de la capa adicional de seguridad que proporciona la autenticación de dos factores.
Por qué las contraseñas seguras no son suficientes
Las ciberamenazas plantean graves riesgos para usted y sus clientes. Si un usuario no autorizado obtiene acceso al panel de administración de su sitio, podría pasar cualquier cosa. Podría perder todos sus datos en un instante. Es posible que pierda el control de su sitio web durante algún tiempo. Los delincuentes pueden recopilar la información personal de sus usuarios. Tus usuarios no estarán contentos, pero tendrás que informarles lo que pasó. La ley requiere que usted revele violaciones de datos de identificación personal.
Sí, siempre es importante exigir contraseñas seguras en todas las cuentas de usuario para proteger su sitio y sus usuarios. Sin embargo, una contraseña segura no brinda suficiente protección por sí sola. Los atacantes pueden penetrar en su sitio adivinando incluso contraseñas seguras o utilizando contraseñas robadas. Esa es una realidad tan común ahora que los inicios de sesión tradicionales basados en contraseña son inadecuados como una sola capa de seguridad.
Las contraseñas seguras no ofrecen una protección lo suficientemente fuerte sin capas adicionales de seguridad. El uso de la autenticación de dos factores para todas sus cuentas de usuario es una medida de seguridad mucho más efectiva porque agrega la capa adicional que necesita para asegurar su sitio y proteger a sus clientes. Eso no quiere decir que no sea necesario aplicar contraseñas seguras. ¡Todavía deberías hacer eso también, y luego agregar 2FA!
La autenticación de dos factores es relativamente fácil de configurar. Cuando lo haga, reducirá drásticamente el riesgo de que usuarios maliciosos no autorizados obtengan acceso de administrador a su sitio de WordPress. ¡Gana, gana!
La autenticación de dos factores bloquea los ataques de fuerza bruta
Detener los ataques de inicio de sesión de fuerza bruta es un gran ejemplo de la protección que la autenticación de dos factores agrega a su sitio de WordPress. Los ataques de fuerza bruta son una amenaza común, pero la autenticación de dos factores los eliminará. En un ataque de inicio de sesión de fuerza bruta, los piratas informáticos prueban rápidamente muchas contraseñas comunes y basadas en diccionarios contra su administrador y otras cuentas de usuario. A veces, los piratas informáticos prueban grandes listas de nombres de usuario, direcciones de correo electrónico y combinaciones de contraseñas robados en su pantalla de inicio de sesión.
Las pruebas automatizadas y con secuencias de comandos de miles de inicios de sesión ilícitos pueden ralentizar su sitio o desconectarlo. Por esta razón, los ataques de inicio de sesión de fuerza bruta a menudo tienen el efecto de ataques de denegación de servicio. Pero si usted y todos los usuarios de su sitio tienen habilitada la autenticación de dos factores, ninguno de estos métodos de fuerza bruta funcionará en absoluto . Ningún hacker querrá intentar inicios de sesión de fuerza bruta en su sitio a gran escala. No habrá posibilidad de éxito para ellos.
Agregar autenticación de dos factores a su sitio de WordPress
En esta guía, discutiremos los detalles de 2FA. Aprenderá cómo funciona la autenticación de usuario en la plataforma WordPress. Luego explicaremos cómo implementar 2FA con complementos de WordPress.
¿Wordpress tiene autenticación de dos factores?
El núcleo de WordPress no tiene autenticación de dos factores integrada. Necesitas agregarlo.
La autenticación de dos factores es una capa de seguridad adicional que agrega a su sitio con un complemento de WordPress y, a veces, un servicio externo. En otras palabras, se basa en las características principales de la cuenta de usuario de una instalación predeterminada de WordPress. 2FA hace que su sitio de WordPress requiera no solo una contraseña, sino también información adicional para verificar la identidad de cada uno de sus usuarios cada vez que intentan iniciar sesión.
La verificación 2FA proviene de una fuente a la que puede acceder un usuario autorizado del sitio, como:
- Un mensaje de texto, una llamada o una notificación enviada a su teléfono
- Un enlace o código enviado por correo electrónico
- códigos QR
La autenticación de dos factores es muy segura. Los atacantes malintencionados y los piratas informáticos no tendrán acceso físico a los canales y dispositivos externos de sus usuarios. Esto significa que incluso si pueden descifrar una contraseña, no podrán obtener acceso no autorizado a su sitio sin una segunda capa de autenticación. Para acceder con la contraseña de un usuario, también tendrían que haber accedido al correo electrónico, la computadora o el teléfono del usuario. Esto puede suceder, pero es extremadamente raro en comparación con los ataques de fuerza bruta con secuencias de comandos que prueban millones de contraseñas todos los días.
¿Necesito 2FA para mi sitio de WordPress?
La ejecución de la autenticación de dos factores impedirá que muchos actores maliciosos en el mundo en línea intenten obtener acceso no autorizado a su sitio. Si bien no es estrictamente necesario, ¿quién no necesita esa protección y tranquilidad?
Si alguna vez su sitio de WordPress ha sido pirateado o ha oído hablar de alguien que lo ha hecho, entonces sabe lo rápido que puede llenarse de enlaces de spam, redireccionamientos y códigos maliciosos que pueden causar un daño inmediato e irreparable a su reputación.
Peor aún, si está ejecutando un sitio de comercio electrónico con WooCommerce, un pirata informático puede acceder a los datos de los clientes, como nombres, direcciones, números de teléfono, direcciones de correo electrónico e incluso números de tarjetas de crédito.
Si eso sucede, tendrá dificultades para salir del desastre.
WordPress 2FA es una segunda línea de defensa que mantiene alejadas a las personas malintencionadas y garantiza que, incluso si se compromete una contraseña, las cuentas permanecerán seguras siempre que la segunda capa de protección siga siendo un candado irrompible para un hacker.
Como propietario de un sitio de WordPress, comprenda que la función de autenticación de dos factores es 100% opcional. Dado que no es una característica principal, solo necesita implementarla en su sitio si así lo desea. Es completamente gratuito y agrega una capa de protección casi indescifrable que aliviará muchas preocupaciones sobre piratería y ataques.
Dicho esto, 2FA es un enfoque sencillo para la seguridad del sitio de WordPress que todos deberían usar si aún no lo están usando o incluso métodos de inicio de sesión seguros y más fuertes que usan claves de acceso en lugar de contraseñas.
Los beneficios de 2FA para sitios de WordPress con múltiples usuarios
En las páginas de inicio de sesión estándar de WordPress sin modificar, usted y sus usuarios simplemente ingresan un nombre de usuario y una contraseña para acceder al sitio. Después del envío de las credenciales de inicio de sesión, si una combinación de nombre de usuario y contraseña coincide con lo que está en la base de datos de WordPress, el usuario obtiene acceso instantáneo al back-end de WordPress y cualquier privilegio basado en las reglas de permisos que haya aplicado.
WordPress tiene seis roles de usuario predefinidos:
- Superadministrador
- Administración
- Editor
- Autor
- Contribuyente
- Abonado
De forma predeterminada, estos roles pueden realizar conjuntos específicos de tareas en su sitio. Las tareas que un rol puede realizar se denominan "Capacidades".
La mayoría de los usuarios de su sitio estándar probablemente estén en el rol de Suscriptor, que tiene la menor cantidad de capacidades. Sin embargo, es posible que haya administradores, editores y autores adicionales que accedan regularmente al back-end de su sitio. Algunos usuarios pueden ser descuidados con sus contraseñas, pueden compartir cuentas y algunos con privilegios especiales pueden otorgar privilegios a otros usuarios sin su conocimiento. Puede olvidar eliminar usuarios o degradar sus privilegios cuando ya no estén activos o sean necesarios. Todas estas situaciones son comunes y crean oportunidades para los atacantes.
Si un pirata informático descubre solo uno de los nombres de usuario y contraseñas de administrador, instantáneamente tendrá acceso a todo su sitio con todos los privilegios. Eso es malo, obviamente, pero tampoco quieres que hackeen a tus Suscriptores. Incluso en ese caso, tendría que denunciar la infracción, y eso daña la confianza que los usuarios tienen en usted y en su marca.
Cómo la autenticación de dos factores protege los inicios de sesión de los usuarios
La autenticación de dos factores evita que los piratas informáticos irrumpan en las cuentas de los usuarios al verificar dos veces la identidad de un usuario mediante un mensaje de correo electrónico, un mensaje de texto o una aplicación de autenticación. En el momento del inicio de sesión, se activa el segundo método de verificación. Como resultado, el usuario deberá confirmar su inicio de sesión a través de uno de estos canales secundarios.
En pocas palabras, cuando usted u otro usuario del sitio ingresa datos personales de inicio de sesión en la página de inicio de sesión de su sitio (un nombre de usuario y una contraseña), se envía una notificación inmediata a la dirección de correo electrónico o al número de teléfono asociado con el usuario que intenta iniciar sesión. Normalmente, esta notificación de inicio de sesión incluirá un enlace, un código QR o un PIN único para permitir que continúe el intento de inicio de sesión.
Para que los usuarios ingresen al sitio, deberán seguir las instrucciones en el correo electrónico o mensaje de texto. Se les puede pedir que hagan clic en un enlace de acceso específico o que ingresen un PIN.
Si bien este paso adicional ralentiza el proceso de inicio de sesión, la seguridad adicional supera con creces el riesgo de dejar su sitio abierto a simples ataques de nombre de usuario y contraseña que los ciberdelincuentes ejecutan en toda la web todos los días.
¿La autenticación de dos factores es completamente segura?
Ninguna medida de seguridad es 100% infalible. En el mundo de la piratería, donde hay voluntad, los hackers encontrarán la manera. Si sucede lo peor y descubre que su sitio ha sido pirateado, es mejor ejecutar un complemento de copia de seguridad de WordPress que pueda restaurar inmediatamente su sitio a un momento seguro antes de un ataque.
Cuando compara 2FA con los protocolos de protección de contraseña estándar en WordPress, encontrará que la autenticación de dos factores es más segura. El proceso requiere que sus usuarios (y usted) confirmen cada intento de inicio de sesión desde una fuente única para cada usuario. Por lo general, se trata de un teléfono o una cuenta de correo electrónico privada. Eso significa que un pirata informático solo puede obtener acceso al funcionamiento interno de un sitio de WordPress protegido por 2FA si también tiene acceso a los dispositivos de un usuario del sitio y a la información de inicio de sesión externa. Debido a que es muy poco probable que esto suceda, agregar 2FA hace que su sitio sea mucho menos propenso a ser pirateado a través de un inicio de sesión ilícito.
¿Está listo para aprender cómo agregar 2FA a WordPress para proteger su sitio web y sus usuarios? Si es así, siga leyendo para saber cómo incorporar la función 2FA en su sitio y hacer que funcione.
¿Cómo habilito la autenticación de dos factores en WordPress?
Según el host de su sitio, es posible que pueda habilitar la protección 2FA en el cPanel o el portal de usuario de su host.
Sin embargo, si su host no le brinda protección 2FA, puede implementarla fácilmente por su cuenta utilizando los complementos de WordPress.
Complementos de autenticación de dos factores de WordPress
A continuación se enumeran algunos de los mejores complementos de WordPress 2FA que protegerán su sitio de ataques de inicio de sesión con secuencias de comandos de inmediato .
1. Autenticación de dos factores de seguridad de iThemes
En nuestra opinión, la mejor suite de seguridad de sitios de WordPress con todo incluido disponible es iThemes Security Pro con autenticación de dos factores. No solo protege su sitio con 2FA, sino que también incluye características adicionales de seguridad del sitio:
- Protección contra ataques de fuerza bruta
- Detección de cambio de archivo
- 404 Detección de errores
- Cumplimiento de contraseña fuerte
- Bloqueo de spam y bots defectuosos
- Modo Ausente
iThemes Security Pro elimina las conjeturas sobre la seguridad de WordPress. No debería tener que ser un profesional de la seguridad para usar un complemento de seguridad, por lo que iThemes Security Pro facilita la seguridad y la protección de su sitio web de WordPress, incluso si no tiene muchos conocimientos técnicos.
Agregar autenticación de dos factores usando el complemento de seguridad de WordPress iThemes Security Pro es fácil incluso para el usuario más novato. Una vez que esté instalado y activado, los usuarios del sitio deberán ingresar una contraseña junto con un código sensible al tiempo que se envía a un dispositivo secundario.
Pros, contras y costos
- Ventajas de iThemes Security Pro: obtiene mucha más protección de seguridad que solo la autenticación de dos factores. Aún mejor, la opción 2FA es robusta y fácil de usar. Tendrá la confianza de saber que su sitio está completamente protegido contra inicios de sesión maliciosos cuando active el complemento.
- Contras de iThemes Security Pro: el complemento cuesta más que las otras opciones pagas de 2FA, pero obtienes más por tu dinero.
- Costo de iThemes Security Pro: si solo necesita proteger un sitio, el costo del complemento es de $ 80 por año. Para hasta diez sitios, costará $127 por año. Para sitios ilimitados, puede emplear el complemento por $ 199 por año. Esa es una inversión que vale la pena hacer cuando consideras la alternativa.
2. Autenticación de dos factores de Rublon
Si está buscando un complemento de autenticación de dos factores fácil de usar para WordPress, eche un vistazo al complemento de autenticación de dos factores de Rublon. El complemento Rublon 2FA protegerá rápidamente su sitio contra todos los inicios de sesión no autorizados sin ningún obstáculo técnico de su parte.
Una vez que descargue e instale el complemento Rublon, la próxima vez que intente iniciar sesión en WordPress, deberá hacer clic en un enlace de verificación que se envía a la dirección de correo electrónico de su cuenta de usuario de WordPress. Luego, después de hacer clic en el enlace para verificar su identidad, se le preguntará si desea que el sitio recuerde su dispositivo para futuros inicios de sesión. Esto significa que no necesitará verificar su identidad cada vez que inicie sesión, siempre y cuando utilice el mismo dispositivo y navegador cada vez que acceda al sitio.
Si está utilizando un dispositivo o navegador diferente después de la verificación, simplemente deberá repetir el proceso y guardarlo también. ¡Solo tenga cuidado de nunca hacer esto en un dispositivo al que otras personas tengan acceso!
La versión gratuita del complemento Rublon 2FA es una de las mejores opciones para los sitios de WordPress que solo tienen un usuario . Al actualizar a la versión paga, este complemento también se puede usar para proteger sitios web de múltiples usuarios.
Pros, contras y costos
- Ventajas de la autenticación de dos factores de Rublon : en su mayoría, los administradores del sitio no tienen intervención. Una vez que haya instalado y activado el complemento, no requiere ningún entrenamiento o configuración. Funciona nada más sacarlo de la caja.
- Desventajas de la autenticación de dos factores de Rublon: no admite notificaciones automáticas ni verificación de mensajes de texto. Por ese motivo, solo tendrá verificación de correo electrónico para 2FA.
- Costo de la autenticación de dos factores de Rublon: la versión personal de un sitio web de este complemento es completamente gratuita. En consecuencia, si está ejecutando un sitio multiusuario o tiene varios sitios, deberá obtener la versión paga del complemento. Para hacer esto, póngase en contacto con su equipo de ventas para obtener una cotización.
3. Autenticación de dos factores dúo
Duo Two-Factor Authentication es uno de los complementos de WordPress 2FA más avanzados que puede encontrar. Con él, puede configurar la autenticación de dos factores según los roles de los usuarios dentro del panel de control de WordPress.
Como ejemplo, podrá solicitar que los editores y autores usen el proceso de inicio de sesión 2FA, pero los suscriptores (que no pueden acceder al panel de administración de ninguna manera) solo necesitan ingresar sus nombres de usuario y contraseñas para ingresar al sitio. Esta práctica característica puede evitar que los usuarios básicos se frustren con el prolongado proceso de autenticación de dos factores.
Este complemento también le proporcionará varias opciones diferentes de verificación de usuario, que incluyen:
- Una llamada telefónica automatizada
- Un mensaje SMS con un código pin
- una aplicación móvil
Es una herramienta 2FA más flexible que el complemento de autenticación de dos factores de Rublon, que solo ofrece correo electrónico de autenticación de dos factores de WordPress.
Pros, contras y costos
- Ventajas de la autenticación de dos factores Duo: este complemento de autenticación de dos factores de WordPress admite la configuración de roles de usuario e incluye una amplia variedad de métodos para la verificación de usuarios. Debido a esto, es extremadamente versátil para sitios de WordPress.
- Contras de la autenticación de dos factores Duo: Desafortunadamente, este complemento no es compatible con WordPress Multisite. Por esa razón, puede estar fuera de discusión para algunos usuarios.
- Costo de la autenticación de dos factores Duo: este complemento es la solución gratuita perfecta si tiene diez o menos usuarios que inician sesión regularmente en su sitio. Sin embargo, si tiene más de diez, puede aumentar el límite pagando $3 por mes por cada usuario adicional.
4. Google Authenticator: autenticación de dos factores de Google para WordPress
La autenticación de dos factores de Google para WordPress también es una opción a considerar para implementar 2FA en su sitio de WordPress.
Google Authenticator le brinda una buena variedad de métodos de verificación que protegerán su sitio de inicios de sesión no autorizados maliciosos, incluidos mensajes de correo electrónico, códigos QR y notificaciones automáticas.
Al igual que Duo Two-Factor Authenticator, podrá usar este complemento para configurar reglas 2FA específicas para roles de usuario particulares de WordPress. Esta característica hace que la autenticación de dos factores de Google sea un arma poderosa para WordPress en la lucha contra los ataques de piratería.
Puede configurar Google Authenticator para solicitar un nombre de usuario, una contraseña y un factor de verificación adicional. O puede configurar el complemento para que solo requiera un nombre de usuario y un factor adicional, sin necesidad de contraseña.
Pros, contras y costos
- Ventajas de Google Authenticator: este complemento admitirá roles de usuario específicos en relación con 2FA y viene con una amplia variedad de métodos para verificar a los usuarios de su sitio, incluidos SMS, códigos QR, notificaciones automáticas y llamadas telefónicas automatizadas.
- Contras de Google Authenticator: la versión que Google ofrece de forma gratuita es relativamente limitada en cuanto a las funciones que podrá utilizar.
- Costo de Google Authenticator: la versión gratuita ofrece autenticación de dos factores para un solo usuario. Podrá actualizar para múltiples usuarios a partir de $ 15 por año.
¿Es hora de implementar la autenticación de dos factores en su sitio de WordPress?
Recuerde que su sitio de WordPress es tan seguro como lo permite su página de inicio de sesión. La mayoría de las veces, restringir el acceso a un nombre de usuario y contraseña por sí solo no es suficiente.
Al implementar 2FA, podrá mantener su sitio, sus visitantes, sus usuarios y sus clientes a salvo de ataques maliciosos de fuerza bruta.
Cuando complementa un buen sistema de respaldo con autenticación de dos factores, está tomando medidas fundamentales para proteger su sitio.
Dan Knauss es el generalista de contenido técnico de StellarWP. Ha sido escritor, profesor y autónomo trabajando en código abierto desde finales de la década de 1990 y con WordPress desde 2004.