Implementando la verificación en dos pasos de WordPress

Ya hemos hablado de ello antes, pero vale la pena repetirlo, la seguridad del sitio web no es una sola cosa, es una serie de capas. Así como los castillos de antaño se construyeron como capas alrededor de la fortaleza, también tu sitio web debe tener capas construidas alrededor de tu posesión más preciada, el acceso a la sección de administración de tu sitio web.

En artículos y vídeos anteriores, discutimos los anillos externos de tu defensa:

Todas estas son capas importantes, pero hay pasos adicionales más detallados que puedes llevar a cabo y que harán que sea mucho más difícil para los malos acceder a tu sitio web. Pasos que recomiendo ampliamente, especialmente si se has confiado la información personal de tu usuario.

Uno de estos pasos es la “Verificación en dos pasos”, también llamada, “Autenticación de doble factor” o 2FA.

La verificación o autenticación en dos pasos no es un nuevo concepto de seguridad. Durante décadas, las instituciones financieras han confiado en “Fobs” (pequeños dispositivos que puede conectar a su llavero que tienen una pantalla y dan un número en constante cambio) como un factor adicional para iniciar sesión.

El concepto de seguridad general es “algo que sabes, algo que tienes, algo que eres”. Con la verificación en dos pasos, elegimos dos de estos. Cuando inicias sesión en un sitio web sin la autenticación de doble factor, solo usas “algo que sabes”: el nombre de usuario y la contraseña. Independientemente de lo fuertes que creas que son, existe la posibilidad de que estos datos puedan verse comprometidos. la verificación en dos pasos agrega una capa encima, el “algo que tienes”.

En estos días, en lugar de tener que emitir una llave a cada usuario administrador, tenemos teléfonos inteligentes y software que pueden tomar el lugar de las llaves. Si tienes un smartphone moderno (uno fabricado en los últimos 5 años), puedes ejecutar una aplicación que funciona como “algo que tienes”.

La aplicación más utilizada, aunque no la única, para la verificación en dos pasos es “Google Authenticator”. Es la más común porque es gratis. Antes de seguir el camino de la verificación en dos pasos, asegúrate de que Google Authenticator esté disponible para tu teléfono móvil.

Ahora que sabes que su teléfono móvil puede hacer tu trabajo, debemos mirar WordPress. Al igual que con las aplicaciones de autenticación, hay varios plugins de WordPress disponibles que pueden hacer el trabajo. Si ya usas un plugin como WordFence, tienes todo lo que necesitas para configurar la verificación en dos pasos. De lo contrario, deberás seleccionar uno de los plugins para usar. Si bien no tengo la costumbre de recomendar plugins, si aún no tienes uno instalado que ofrezca la verificación en dos pasos, yo he usado WP 2FA anteriormente y funciona.

Instala y configura tu plugin. En algún momento, tendrás que decidir qué roles de usuario tiene que implementar la verificación en dos pasos para iniciar sesión. Ten cuidado con esto. la verificación en dos pasos agrega fricción a tu sitio web, y esto es algo malo. En su mayor parte, a menos que tengas una buena razón para hacer lo contrario, recomiendo limitar la autenticación de doble factor a los administradores. Si son muchos, es posible que desees añadir editores también. No te recomiendo que le pidas a tus clientes estándar que lo utilicen a menos que estés almacenando datos confidenciales sobre ellos.

la verificación en dos pasos no reemplaza el inicio de sesión y la contraseña normales que debes insertar en WordPress. Eso es “Algo que sabes” y sigue siendo importante. Sin embargo, aumenta el proceso de inicio de sesión al añadir un tercer campo.

Después de que el usuario haga clic en el botón de inicio de sesión, se le llevará a una segunda pantalla de inicio de sesión que le pedirá su “token”. Si ha configurado la aplicación correctamente, abrirá la aplicación, encontrará tu sitio web y escribirán el código que le aparece en su móvil en esa pantalla. Este código cambia cada 30 segundos y en inglés se denomina “Time-based One Time Password” (TOTP). En español lo podemos traducir como “Contraseña temporal de un solo uso” . Su teléfono móvil y el plugin que use saben cómo calcularlo, pero nadie más lo sabe. Cuando inserta el token y presiona el botón, el plugin calculará el TOTP apropiado y luego verificará que coincida con lo que insertó el usuario. En función de esto, permitirá o denegará el inicio de sesión.

Y esto es todo. Poner en funcionamiento el plugin y conectar la cuenta de administrador debería tomar unos 10 minutos como mucho. Eso es todo lo que se necesita para asegurar tu cuenta con tanta seguridad que, a menos que alguien te robe tu móvil, no pueda iniciar sesión, incluso si tiene tu nombre de usuario y contraseña.

Una última cosa, algunos sistemas de verificación en dos pasos no se basan en aplicaciones sino en mensajes de texto enviados a tu teléfono con los tokens. Estos no son seguros. Evita estos sistemas y usa los que tengan una aplicación.

>>¿Quieres saber más sobre cómo proteger tu WordPress? Descarga ya nuestro ebook “La seguridad importa: 21 trucos para mantener tu WordPress seguro”<<

Cal Evans

PHP Evangelist

Una de las personas más admiradas de la comunidad PHP, que ha dedicado más de 16 años a construir la increíble comunidad PHP y asesorar a la próxima generación de desarrolladores. Nos sentimos extremadamente honrados de que él también sea un amigo muy especial de SiteGround.

WordPress

Iniciar discusión

¿Listo para iniciar tu web?

¡Elige un plan de hosting, crea o migra tu web en unos clics y haz crecer tu presencia online!

Primeros pasos Chatea con un experto