Autenticación de dos factores y WordPress

Publicado: 2022-08-26

La autenticación de dos factores (2FA) es una medida de seguridad que le pide a un usuario que proporcione una información que solo él conoce antes de iniciar sesión en un servicio.

Puede ver 2FA con varios nombres, como autenticación de múltiples factores (MFA), autenticación de doble factor o verificación en dos pasos. 2FA se usa ampliamente, especialmente en situaciones donde la seguridad es especialmente importante, como para la banca en línea.

El significado de 2FA

Es posible que haya oído hablar de un tipo de ataque en línea llamado ataque de "fuerza bruta". Estos son muy comunes e involucran un bot automatizado que intenta adivinar el nombre de usuario y la contraseña de un usuario en un sitio web. Se realizan repetidos intentos de inicio de sesión hasta que se obtiene el acceso. Estos tipos de ataques son relativamente fáciles de mitigar bloqueando el acceso a una página de inicio de sesión cuando se realizan repetidos intentos fallidos.

Pero, ¿qué sucede si el bot "tiene suerte" y logra iniciar sesión antes de que se alcance un número predefinido de intentos fallidos? O, más probablemente, ¿cómo pueden evitar los usuarios que han robado las credenciales de inicio de sesión los inicios de sesión maliciosos en sitios web y aplicaciones? Este último es un problema particular, ya que apenas pasa un día sin que una empresa de alto perfil informe una violación de datos que puede, o no, haber comprometido algunos de los datos de sus clientes.

Una forma más sólida de garantizar que usted y solo usted pueda iniciar sesión en un sitio web/aplicación/cuenta es mediante el uso de un sistema llamado Autenticación de dos factores.

¿Cómo funciona la autenticación de dos factores?

La autenticación de dos factores funciona al requerir que el usuario ingrese no solo su nombre de usuario y contraseña al iniciar sesión, sino también una segunda información que se genera por separado y que variará continuamente. Esto generalmente tiene la forma de un código de 6 dígitos enviado por SMS al teléfono móvil de los usuarios. La idea detrás de esto es que solo el usuario genuino tendrá acceso a este dispositivo, frustrando así los intentos de inicio de sesión realizados por fuerza bruta o como resultado de una violación de datos que revela nombres de usuario y contraseñas.

Desde el inicio de 2FA, las aplicaciones de autenticación se han vuelto más frecuentes. En lugar de usar mensajes SMS para enviar a los usuarios códigos de acceso únicos, una aplicación que se instala en los dispositivos del usuario genera códigos aleatorios. Se reconoce que esto es aún más seguro como método de autenticación, ya que elimina la posibilidad de que se intercepte un mensaje SMS o que se clone o falsifique un número de teléfono móvil.

Opciones de la aplicación de autenticación

Hay muchas aplicaciones excelentes de autenticación de dos factores que se pueden usar para generar los códigos de inicio de sesión necesarios.

Si tiene un dispositivo Android, puede elegir entre Google Authenticator, Microsoft Authenticator, Twilio Authy, Cisco Duo Mobile, FreeOTP y muchos más.

En iOS 15, algunas de las aplicaciones más populares son Google Authenticator, Twilio Authy, OTP auth, Step Two, Microsoft Authenticator, FreeOTP y el autenticador integrado de iOS.

En Windows, puede usar las aplicaciones de autenticación WinAuth y Twilio Authy, entre otras.

En macOS, algunas de las opciones son el paso dos, autenticación OTP (solo versión paga) y Twilio Authy.

Autenticación de dos factores en su sitio de WordPress

No solo los sitios web bancarios pueden beneficiarse de 2FA... ¡su propio sitio web de WordPress también puede hacerlo! A los piratas informáticos les encanta apuntar a casi cualquier CMS y WordPress no es una excepción. Usar el proveedor de alojamiento adecuado y asegurarse de que su sitio web se mantenga actualizado puede ser de gran ayuda para frustrar cualquier intento de piratería. Agregar 2FA a su sitio web de WordPress hace que sea aún más difícil para los usuarios no autorizados acceder a su sitio.

Aloje su sitio web con Pressidium

GARANTÍA DE DEVOLUCIÓN DE DINERO DE 60 DÍAS

VER NUESTROS PLANES

Debido a que es WordPress, no encontrará escasez de excelentes complementos que pueden ayudarlo a configurar 2FA de manera rápida y sencilla. Echemos un vistazo a algunos.

El complemento WP 2FA

Autenticación de dos factores, complemento de WordPress: el complemento WP 2FA

El complemento de autenticación de dos factores WP 2FA es una solución popular. Una vez que instale y active el complemento WP 2FA, verá esta pantalla:

Autenticación de dos factores, complemento de WordPress: el asistente del complemento WP 2FA

Siga al asistente, lo guiará a través de la configuración de todas las opciones necesarias y más:

  • Los métodos principales de 2FA entre los que permitirá que los usuarios elijan.
  • Las opciones sobre si desea forzar 2FA en todos o algunos usuarios o roles.
  • El período de gracia durante el cual los usuarios tendrán que configurar 2FA.
  • La configuración de la autenticación 2FA.

Omita el asistente y podrá encontrar todas estas configuraciones en el menú del complemento y la sección adicional que se agrega en la parte inferior de la pantalla de administración de su perfil (en Usuarios> Perfil).

Autenticación de dos factores, complemento de WordPress: la configuración de administración del complemento WP 2FA

El complemento también le permite elegir si desea que todos los datos relacionados con 2FA se eliminen de la base de datos al desinstalar el complemento.

El complemento de dos factores

El complemento Two-Factor desarrollado por Plugin Contributors es un complemento fácil de usar que se configura rápidamente.

Agrega una sección en Usuarios > Su perfil, donde puede habilitar los métodos de autenticación y seleccionar cuál será el principal. Hay configuraciones disponibles para códigos de autenticación de correo electrónico, contraseña de un solo uso basada en el tiempo (TOTP), claves de seguridad FIDO U2F y códigos de verificación de respaldo.

Las opciones del complemento de dos factores

El complemento también ofrece una lista de ganchos de acción y filtro que pueden ser útiles para los desarrolladores.

El complemento de Google Authenticator

El complemento Google Authenticator es otro complemento 2FA popular que se puede utilizar para mejorar la seguridad de su sitio de WordPress. Este complemento completamente gratuito ofrece una amplia variedad de opciones de autenticación de dos factores, incluidos SMS y, por supuesto, el uso de la aplicación Google Authenticator. Se requiere muy poco tiempo o esfuerzo para configurarlo. Cuando active el complemento, verá algunas opciones en pantalla que puede configurar en Configuración> Autenticador de Google.

La configuración del Autenticador de Google

Simplemente elija los roles a los que se aplicará la 2FA y guarde la configuración. Muy fácil.

2FA: el panel de Pressidium

Para ayudar a proteger aún más sus sitios web de WordPress, puede optar por activar 2FA para su inicio de sesión en el Tablero. Consulte nuestro artículo de KB sobre esta característica.

Autenticación de dos factores Pressidium

Conclusión

Para sitios web importantes, 2FA ahora debería considerarse obligatorio. Si se le ha dado la opción de agregar 2FA a cualquiera de sus cuentas pero eligió no hacerlo, ¡podría valer la pena pensarlo de nuevo! Para los sitios web de WordPress, habilitar el inicio de sesión 2FA es bastante fácil. Con poco que perder, ¿por qué no hacer que sea aún más difícil para un pirata informático arruinar su día (bueno, al menos su sitio web!).