Autenticación de dos factores (2FA) para WordPress
Publicado: 2023-02-12Es vital crear una contraseña segura para proteger su sitio web de WordPress. Sin embargo, una contraseña por sí sola no brindará la protección adecuada contra muchas amenazas que representan un riesgo grave para su sitio, como los ataques de fuerza bruta. Si usuarios no autorizados obtienen acceso a su back-end, puede perder su sitio web e incluso poner en riesgo a sus visitantes. Por esta razón, tiene un plan para instalar y mantener la seguridad de WordPress.
Con la autenticación de dos factores (2FA), puede agregar una capa adicional de seguridad a su sitio de WordPress. Es relativamente simple de configurar y esta característica reducirá significativamente el riesgo de que usuarios no autorizados obtengan acceso a su sitio.
En esta publicación, presentaremos 2FA y explicaremos cómo se puede usar en WordPress. Luego le mostraremos cómo implementar esta característica usando complementos. ¡Empecemos!
¿Qué es la autenticación de dos factores (2FA) para WordPress?
La autenticación de dos factores (2FA) es una capa de seguridad que requiere una contraseña y una verificación adicional de la identidad del usuario. Esta verificación proviene de algo a lo que solo puede acceder el usuario autorizado, como mensajes de texto y de voz, enlaces de correo electrónico, códigos QR o notificaciones automáticas. 2FA es seguro porque los atacantes no tienen acceso a estos canales externos.
¿Por qué necesito la autenticación de dos factores?
La autenticación de dos factores (también conocida como autenticación de dos pasos) ayuda a evitar que los malhechores obtengan acceso a sus sitios y perjudiquen potencialmente su negocio. Es una segunda línea de defensa para ayudar a mantener alejados a los malos y garantiza que incluso si su contraseña se ve comprometida, su cuenta permanecerá segura siempre que ese segundo factor permanezca fuera del alcance de un atacante.
La autenticación de dos factores de WordPress es una función opcional, lo que significa que solo tiene que usarla si lo desea. Pero es gratis y agrega una capa adicional de protección, entonces, ¿por qué no?
¿Cómo funciona 2FA para WordPress?
En una página de inicio de sesión de WordPress típica (es decir, no 2FA), el usuario ingresa un nombre de usuario y una contraseña y automáticamente se le otorga acceso al back-end del sitio web. Esto significa que cualquier persona que descubra su nombre de usuario y contraseña puede acceder fácilmente a todos los aspectos de su sitio web.
Como se mencionó anteriormente, 2FA puede ayudar a evitar que esto suceda. Entonces, ¿cómo funciona en WordPress? Con la configuración de 2FA (cubriremos cómo hacerlo en un momento), cuando ingrese su contraseña y nombre de usuario en la página de inicio de sesión, se enviará una notificación a su teléfono o dirección de correo electrónico. Esta notificación contendrá un pin único, o posiblemente un enlace o código QR.
Para acceder al sitio web, debe seguir las instrucciones del mensaje de texto o correo electrónico, como hacer clic en el enlace o ingresar el PIN en su sitio.
¿Qué tan seguro es 2FA?
En comparación con la protección de contraseña estándar, 2FA es mucho más segura. Después de todo, requiere aprovechar algo que solo posee (su teléfono, su cuenta de correo electrónico privada, etc.) para poder acceder a su sitio. Esto significa que se reduce la probabilidad de que se produzca un ataque a un sitio web, lo que convierte a 2FA en la mejor manera de prevenir mejor varios problemas de seguridad (en particular, ataques de fuerza bruta).
Ahora que comprende los beneficios de 2FA y cómo funciona, analicemos cómo puede incorporar esta función en su sitio de WordPress.
¿Cómo empiezo con la autenticación de dos factores?
Si es cliente de WP Engine, puede habilitar 2FA en el Portal de usuario de WP Engine. Si su sitio no está alojado en WP Engine, aún puede implementar un método de autenticación de dos factores (o incluso un método de autenticación de múltiples factores), pero requiere la ayuda de los complementos de WordPress.
Complementos 2FA de WordPress
Como cliente de WP Engine, puede implementar 2FA a través del Portal de usuario. Motor no WP
Los usuarios también pueden implementar 2FA, pero requiere la ayuda de complementos de WordPress. Aquí hay algunas opciones que puedes probar por ti mismo.
Autenticación de dos factores Rublon
La autenticación de dos factores de Rublon es un complemento simple de WordPress 2FA que le permite proteger rápidamente su sitio web contra inicios de sesión no autorizados. Cuando inicie sesión por primera vez en su cuenta de WordPress con el complemento de seguridad instalado, deberá hacer clic en el enlace de verificación que se envía a su dirección de correo electrónico. Luego puede optar por guardar su dispositivo, lo que significa que ya no necesitará verificar su identidad mientras usa el mismo navegador.
Esta es una excelente opción para sitios web con un solo usuario, aunque también se puede aplicar a sitios web multiusuario (si actualiza a la versión paga).
Pros : este complemento ofrece instalación y activación con un solo clic, y no requiere configuración ni capacitación.
Contras : solo admite la verificación de correo electrónico, que puede ser menos segura que los mensajes de texto o las notificaciones automáticas.
Costo : el complemento personal (un sitio web) es gratuito, pero se puede comprar una versión comercial (múltiples sitios web) poniéndose en contacto con el equipo de ventas.
Autenticación de dos factores dúo
Como uno de los complementos 2FA más avanzados, Duo Two-Factor Authentication le permite configurar 2FA en función de los roles de usuario de WordPress. Por ejemplo, puede solicitar que los autores y editores usen 2FA para iniciar sesión, mientras que los suscriptores solo necesitan ingresar su contraseña.
Duo Two-Factor Authentication también ofrece varias opciones de verificación, incluso a través de SMS, una aplicación móvil o una llamada telefónica.
Pros : este complemento admite la configuración de roles de usuario e incluye varios métodos de verificación.
Contras : No hay soporte para WordPress Multisite.
Precio : el complemento gratuito permite 2FA para hasta 10 usuarios en su sitio web, pero puede aumentar ese límite a partir de $ 3 por usuario por mes.
Autenticador de Google: autenticación de dos factores
Finalmente, Google Authenticator ofrece una variedad de métodos de verificación para proteger su sitio web del acceso no autorizado, incluidos códigos QR, mensajes de correo electrónico y notificaciones automáticas. Al igual que con Duo Two-Factor Authenticator, puede usar este complemento para configurar 2FA para roles de usuario específicos.
Google Authenticator se puede configurar para solicitar un nombre de usuario, una contraseña segura y un factor, o simplemente un nombre de usuario y un factor.
Pros : este complemento es compatible con 2FA de función específica y ofrece una amplia gama de métodos de verificación (incluidos QR, SMS, llamadas telefónicas y notificaciones automáticas).
Contras : la versión gratuita es bastante limitada en términos de funciones.
Costo : el complemento gratuito ofrece 2FA para un solo usuario, pero puede actualizar a partir de $ 15 por año.
Es importante recordar que su sitio web de WordPress es tan seguro como su página de inicio de sesión de administrador, y una contraseña por sí sola no es suficiente. La implementación de un autenticador de dos factores puede ayudar a mantener seguros a los visitantes de su sitio. Si está listo para cambiar a un host que le ofrezca tranquilidad, ¡puede consultar los planes de alojamiento administrados de WordPress de WP Engine!