Autenticación 2FA de WordPress: la verdad sobre este elemento esencial de seguridad del sitio

Publicado: 2023-06-12

Si bien 2FA es una solución simple en la parte delantera y trasera, están sucediendo muchas cosas debajo del capó. Es una forma complementaria fantástica de agregar una capa adicional de seguridad a un sitio y permitirá a los usuarios ayudar a mantener su sitio y su información seguros también.

Para este tutorial, hablaremos sobre 2FA, específicamente la autenticación 2FA de WordPress. En todo momento, veremos qué es esto, su elección de contraseñas, cómo implementar 2FA en su sitio y mucho más.

Qué es 2FA (y qué puede ayudarlo a lograr)

En pocas palabras, la autenticación de dos factores es una medida de seguridad que brinda una capa adicional de protección más allá de sus credenciales de inicio de sesión típicas. Con 2FA, un usuario debe proporcionar una segunda información, a menudo un código numérico: una contraseña de un solo uso basada en el tiempo (TOTP):

Un mensaje de front-end que solicita un código SMS 2FA

La información adicional que normalmente verá es un código numérico que caduca después de un breve período de tiempo:

En un sentido técnico, 2FA requiere dos formas de autenticación de usuario. El primer 'factor' es la información que el usuario conoce, como una contraseña. El segundo factor es algo que el usuario tiene, como un token o código que se envía a un dispositivo. Incluso si se conoce la contraseña de un usuario, aún necesitaría ese segundo factor para verificar y autenticar la sesión.

Sin embargo, los métodos modernos incluyen información como una huella dactilar. De todos modos, el concepto clave es que proporcionará una información a la que nadie más tendrá acceso. Si esa información se alinea con lo que se le pide que proporcione, obtendrá el acceso que necesita.

2FA y WordPress

2FA se vuelve aún más relevante cuando se trata de inicios de sesión de usuarios de WordPress; el Sistema de Gestión de Contenidos (CMS) es la plataforma de sitios web número uno en el mercado. Esto se debe en parte a su seguridad central estelar. Sin embargo, una plataforma tan popular puede convertirse en un objetivo de seguridad.

Por ejemplo, en 2021, Sucuri arregló casi 50 000 sitios pirateados. La mayoría fue culpa de vulnerabilidades en complementos y temas obsoletos. Además, los ataques de fuerza bruta pueden diezmar redes de sitios. Wordfence informa sobre un reciente ataque de botnet que afectó a millones de sitios web de WordPress.

Ambos ejemplos muestran cómo el error del usuario puede obstaculizar la seguridad de WordPress, especialmente si no se mantiene al tanto de las actualizaciones de complementos y temas. Sin embargo, el uso de 2FA es una forma efectiva de proteger su sitio de WordPress de los ataques, brindar cierta responsabilidad a sus usuarios y más.

Una segunda forma de autenticación no solo mantendrá a los malos actores fuera de sus cuentas, sino que también le permitirá trabajar de forma remota con mayor seguridad. Toda su base de usuarios también será responsable de su propia seguridad, lo que hace que todo su sitio sea más seguro.

En general, 2FA es una forma crucial de detener el acceso no autorizado a información confidencial, generar confianza en el usuario y cumplir parcialmente con las directivas de seguridad de datos. Es una medida vital de trabajo y seguridad, especialmente para plataformas populares como WordPress. También significa que su elección de contraseña es un obstáculo menor. Sin embargo, este es un tema complejo que requiere mayor profundidad.

Cómo la mala elección de la contraseña le causará estrés

Todos los años, muchos medios y sitios de noticias publican una lista de contraseñas deficientes, y la lista se ve similar en todo momento. Por ejemplo, la Guía de Tom muestra algunas de las contraseñas más comunes pero débiles para los usuarios finales:

  • QWERTY
  • 123456
  • contraseña

Sin embargo, los administradores y los usuarios de back-end también tienen problemas con el uso de contraseñas débiles y peligrosas. Por ejemplo, admin , root e guest aparecen en la lista en posiciones altas. De hecho, la contraseña de administrador es más preocupante si se tiene en cuenta que el rol de usuario administrador predeterminado de WordPress también tiene el nombre de usuario "admin".

De todos modos, estas contraseñas se pueden descifrar casi en segundos utilizando técnicas de fuerza bruta y herramientas automatizadas. Sin embargo, combinado con una solución como Melapress Login Security, puede asegurarse de que un usuario creará una contraseña segura y también protegerá su sitio aún más utilizando 2FA.

Debido a que el usuario tiene que autenticar sus datos a través de una aplicación o tecnología de terceros, es una forma importante de reducir el riesgo de acceso no autorizado. Además, puede fortalecer y reforzar sus políticas de contraseñas seguras y prevenir filtraciones de datos y otros ataques cibernéticos también.

Si bien 2FA es una forma fantástica de garantizar la responsabilidad del usuario y reforzar un punto débil en la seguridad de su sitio, no es la única. A continuación, veremos cómo funcionan sus otras disposiciones junto con 2FA para brindar un servicio aún mejor.

Cómo las tragamonedas 2FA junto con su provisión de seguridad actual

2FA no es una táctica de seguridad única para todos. En cambio, se abre camino en su provisión de seguridad general como algo complementario. Como tal, usted y sus usuarios aún deberán cumplir con las implementaciones de seguridad típicas:

  • Utilice contraseñas seguras. Querrá elegir algo largo, ya que esto aumentará el tiempo que tarda en romperse. Si bien 2FA no depende de la necesidad de contraseñas seguras, aún se recomienda hacer todo lo posible para proteger sus credenciales de inicio de sesión. Melapress Login Security es ideal para la tarea.
  • Realice actualizaciones de software frecuentes. Para WordPress, esto incluye complementos, temas y archivos principales. Más adelante, hablaremos sobre los complementos de autenticación 2FA de WordPress, y es muy importante mantenerlos actualizados.

Para tocar un poco más las contraseñas, combinar contraseñas seguras con 2FA puede garantizar que solo usted pueda acceder a una cuenta. Por ejemplo, una conexión Wi-Fi insegura en un lugar de trabajo local podría comprometer su contraseña. Sin embargo, aún deberá proporcionar la segunda forma de autenticación para obtener acceso a la cuenta.

Una contraseña más segura que sea casi impermeable al descifrado tampoco afectará los recursos de su servidor. Esto se debe a que no tendrá múltiples intentos de inicio de sesión (y posibles solicitudes 2FA) desde una cantidad potencialmente grande de direcciones IP.

Puede llevar esto aún más lejos y combinar 2FA con protección de fuerza bruta dedicada. Este concepto está más allá del alcance de esta publicación, pero hay muchos complementos de seguridad de WordPress (como Wordfence o Jetpack Security) que pueden proporcionar una solución sólida.

Elegir el 'formato' 2FA adecuado para usted

Uno de los beneficios de la autenticación de dos factores es la flexibilidad en la forma en que la implementa. Tiene cuatro formas distintas de emplear 2FA:

  • Un SMS, método basado en texto.
  • Verificacion de Email.
  • Aplicaciones dedicadas, como Authy, Sentinel, Duo y muchas más.
  • Notificaciones push.

Cada uno de estos logra el mismo resultado de diferentes maneras, pero no todos son iguales. Analicemos cada uno por separado, junto con los pros y los contras.

SMS

El método 2FA predeterminado para muchos servicios en línea es enviar un código de autenticación a un dispositivo móvil a través de un mensaje de texto. Deberá ingresar su número de teléfono en un campo específico, que enviará un código de tiempo limitado.

Un SMS que muestra un código de dos factores para autenticar un inicio de sesión

Los beneficios aquí incluyen la necesidad de ninguna otra aplicación de terceros para ayudar a autenticar su inicio de sesión y la inmensa facilidad de uso para configurar y usar. Sin embargo, SMS tiene graves inconvenientes. Primero, tendrás que pasar más de tu información personal a través de la web (tu número de teléfono) para hacer una verificación.

Hay algunas cosas a tener en cuenta al elegir 2FA basado en SMS. En primer lugar, se encuentran los cargos de red cobrados por el operador de red por la entrega de SMS. En segundo lugar, los mensajes SMS no están encriptados y son vulnerables al intercambio de tarjetas SIM. Aun así, puede ofrecer una mejor protección para los usuarios que no sean tan expertos en tecnología.

Notificaciónes de Correo Electrónico

Las notificaciones por correo electrónico son similares a los métodos de autenticación por SMS. Aquí es donde ingresará una dirección de correo electrónico en la página de inicio de sesión, que luego recibirá un código o token para autenticar su sesión.

Recibir una notificación por correo electrónico para autenticar una sesión de inicio de sesión.

La autenticación 2FA de correo electrónico es fácil y sencilla de usar: solo necesitará acceder a su bandeja de entrada para validar su inicio de sesión.

Si el correo electrónico no está encriptado, puede volverse susceptible a un ataque de 'máquina en el medio' o similar. Sin embargo, puede tomar medidas para proteger sus correos electrónicos de WordPress y evitar los riesgos típicamente asociados con los correos electrónicos no cifrados.

Notificaciones push

Las notificaciones automáticas buscan cerrar la brecha entre la autenticación por correo electrónico y SMS. Implica recibir una notificación en un teléfono inteligente que deberá aprobar antes de iniciar sesión en una cuenta. Apple es una empresa que utiliza este método para configurar dispositivos de confianza en todo su ecosistema.

Una notificación push en un dispositivo Apple.
Una notificación push en un dispositivo Apple.

Este método también es conveniente y tan fácil de usar como el correo electrónico y los SMS. Otro beneficio es que a menudo no depende en absoluto de contraseñas, códigos o tokens. Este es un elemento fantástico de la experiencia del usuario (UX) que puede hacer que las cuentas sean más seguras sin apenas pensar o trabajar para el usuario.

Sin embargo, el enfoque todavía tiene inconvenientes. Debido a que una notificación push es tan fácil de aprobar, un usuario ocupado podría hacerlo sin querer. Hay estudios que sugieren que la capacidad de atención de un usuario disminuye en función de la mayor cantidad de notificaciones que recibe, lo que podría resultar un problema.

Con este fin, es importante educar a los usuarios sobre la seguridad adecuada de la cuenta. Las notificaciones automáticas inesperadas nunca deben aprobarse, y las solicitudes frecuentes deben informarse para una mayor investigación.

Usar una aplicación

La forma típica de potenciar su implementación 2FA es usar una aplicación. Hay muchos: Google Authenticator, Authy, Duo, Sentinel, Microsoft Authenticator y casi innumerables otros.

La aplicación Sentinel que se muestra en la pantalla de un iPhone.
La aplicación Sentinel que se muestra en la pantalla de un iPhone.

Estas aplicaciones generarán un código único para cada sitio cada 30 segundos que ingresará en el sitio web en cuestión para verificar y autenticar el inicio de sesión. Se considera que es uno de los enfoques más seguros. Sin embargo, al igual que las notificaciones automáticas, aún necesitará dispositivos compatibles y acceso a Internet para usar la aplicación.

Qué formato 2FA elegir

Tener 2FA es una mejor opción que no tener 2FA. Si bien ciertos métodos, como las aplicaciones 2FA, son más seguros que otros, también debemos reconocer que nuestra base de usuarios puede ser muy diversa.

También querrá reducir la barrera de entrada y asegurarse de que los usuarios se sientan cómodos con 2FA. Para ello, cuantas más opciones puedas ofrecer a tus usuarios, mejor, ya que esto te ayudará a que tu implementación de 2FA sea un éxito rotundo.

Presentamos WP 2FA: la mejor manera de implementar la autenticación 2FA de WordPress

Hay muchos complementos de autenticación de dos factores de WordPress disponibles. Por ejemplo, miniOrange y Two Factor Authentication ofrecen una amplia gama de funciones y cuentan con el respaldo de muchos usuarios satisfechos.

Sin embargo, el complemento WP 2FA ofrece la funcionalidad, el soporte y el costo para convertirlo en su solución número uno. Es una forma líder de agregar autenticación de dos factores a su sitio web de WordPress.

El logotipo de WP 2FA.
El logotipo de WP 2FA.

Le recomendamos que consulte las especificaciones de la versión gratuita, pero con la edición premium obtiene todas las funciones que necesita:

  • Puede elegir entre varios métodos 2FA diferentes, para satisfacer sus necesidades y las de sus usuarios.
  • Puede personalizar sus políticas 2FA. Esto implica elementos como hacer obligatoria la 2FA, ofrecer un período de gracia y mucho más.
  • No es necesario que los usuarios accedan al panel de WordPress. Puede ofrecer autenticación de inicio de sesión a través de la interfaz de su sitio.
  • También hay muchas integraciones de servicios de terceros, como Twillo y Authy. Esto le permite proporcionar más métodos de autenticación a los usuarios.

Cuando se trata del precio, WP 2FA ofrece un valor inmenso. Por ejemplo, la licencia WP 2FA Starter cuesta $29 por año. Esto le permite instalar la versión completa de WP 2FA en tantos sitios web como necesite y ofrecer autenticación de inicio de sesión a cinco usuarios. Hay planes flexibles para aumentar el límite de usuarios y el conjunto de funciones.

Aún mejor, usar WP 2FA es muy fácil. A continuación, le mostraremos cómo.

Cómo usar WP 2FA para fortalecer la seguridad del sitio de su usuario

WP 2FA tiene todas las características y funciones que necesitará para implementar la autenticación 2FA de WordPress en su sitio. Además, es fácil de configurar y usar. El proceso de instalación es muy parecido a cualquier otro complemento gratuito de WordPress. Puede encontrarlo usando la barra de búsqueda en la pantalla Complementos > Agregar nuevo :

Encontrar el complemento WP 2FA dentro del tablero de WordPress.
Encontrar el complemento WP 2FA dentro del tablero de WordPress.

Desde aquí, haga clic en los botones Instalar ahora y Activar , luego espere a que WordPress termine el proceso de instalación. En este punto, está listo para configurar 2FA en su sitio web de WordPress.

1. Configure WP 2FA usando el asistente de configuración

WP 2FA puede llevar a cabo todo el trabajo pesado relacionado con la autenticación 2FA de WordPress por usted. El asistente de configuración se ejecuta a través de cuatro pasos hasta su finalización en función de diferentes políticas y métodos de implementación.

El asistente de configuración comienza con una página de bienvenida y querrá hacer clic en el botón Comencemos para continuar:

El asistente de configuración de WP 2FA.

Los primeros dos pasos analizan qué métodos 2FA le gustaría implementar. Utilizará las casillas de verificación para agregar 2FA basado en aplicaciones y correo electrónico 2FA a su sitio. La versión premium del complemento incluye métodos adicionales que también puede seleccionar.

Elegir métodos 2FA dentro del asistente de configuración.

Una vez que haga clic para continuar, también puede proporcionar a sus usuarios códigos de respaldo en caso de que necesiten configurar 2FA con otra aplicación o dispositivo. La versión premium de WP 2FA le permite ofrecer más opciones de autenticación alternativas.

La tercera pantalla del asistente de configuración le permite elegir a quién aplica 2FA. Aquí hay tres botones de radio para seleccionar todos los usuarios, ningún usuario y usuarios y roles específicos:

Elegir a quién aplicar las políticas 2FA dentro del asistente de configuración.

Tenga en cuenta que verá opciones adicionales si elige Todos los usuarios o Solo para usuarios y roles específicos . Estos le permitirán especificar usuarios para excluir o roles para incluir como parte de su política.

Agregar roles de usuario a una política 2FA en el asistente de configuración.

Una vez que elija Todo listo , verá un aviso para configurar WP 2FA para su propia cuenta de usuario. El proceso está casi completo.

2. Configure WP 2FA para su cuenta de usuario

Después de configurar la autenticación 2FA de WordPress, puede configurar 2FA para su propia cuenta de usuario.

Las opciones disponibles incluirán los métodos disponibles en el asistente de configuración. Algunos métodos, como SMS y notificación Push, requerirán una configuración adicional, ya que requieren proveedores de servicios de terceros para funcionar. En este ejemplo, usaremos el método de la aplicación 2FA TOTP.

Si aún no tiene una aplicación 2FA, descargar una debería ser su primer paso. Hay mucho para elegir y WP 2FA ofrece compatibilidad universal. La característica principal que necesitará es escanear el código QR desde el panel de control de WordPress usando su aplicación:

El código QR WP 2FA dentro del back-end de WordPress.

Una vez que ejecute el asistente, podrá usar la autenticación 2FA de WordPress para su sitio.

En resumen

La autenticación de dos factores es una de las mejores y más fáciles formas de asegurar una cuenta en línea. Se basa en la verificación mediante un token o código que obtiene de un dispositivo de su propiedad. Como tal, sin ese código, sus cuentas están seguras, incluso si su contraseña está comprometida.

El complemento WP 2FA le permite implementar la autenticación 2FA de WordPress en minutos sin necesidad de conocimientos técnicos. El asistente de configuración lo lleva a través de todo el proceso y tiene

Si bien la versión gratuita de WP 2FA tiene todas las funciones, la versión premium de 2FA ofrece más. Las licencias comienzan desde $ 29 por año y cada una le permite configurar cinco usuarios para su sitio.

Socio de alojamiento de la agencia

BionicWP

Enlaces de amigos

    En caso de infracción, comuníquese con nosotros, seremos eliminados dentro de los 3 días. Email:

    © 2024 Copyright www.wpade.com. All Rights Reserved.