¿Qué tan segura es tu contraseña de WordPress? Mejor pregunta… ¿Qué tan seguras son las contraseñas de todos los que tienen acceso a su sitio de WordPress? Esa es una pregunta aterradora, ¿no? Si bien es de esperar (!) que siga todas sus mejores prácticas de contraseña, no cambia el hecho de que las contraseñas más populares en el mundo siguen siendo «123456» y «contraseña».
Para combatir la tendencia mundial hacia contraseñas débiles, puede usar algo llamado autenticación de dos factores. Este es un método común para aumentar la seguridad de inicio de sesión. Lo usan, entre otros Google, bancos, universidades y… ¡Propietarios de sitios de WordPress!
En esta publicación, repasaré brevemente la autenticación de dos factores y por qué es importante. Luego, le mostraré paso a paso cómo agregar autenticación de dos factores a WordPress para proteger tanto su cuenta como la de sus usuarios.
¿Qué es la autenticación de dos factores?
La autenticación de dos factores, también conocida como autenticación de dos factores, es una estrategia para mejorar la seguridad de inicio de sesión al solicitar a los usuarios que ingresen una contraseña y código, generalmente enviado a través de SMS.
Básicamente, acceder a una cuenta requiere una combinación de algo que «sabes» (tu contraseña) y algo que «tienes» (tu teléfono). Si bien los piratas informáticos pueden obtener su contraseña, es poco probable que también puedan robar su teléfono.
¿Por qué necesita autenticación de dos factores para WordPress?
De acuerdo a encuesta de propietarios de sitios de WordPress pirateados con WordFence, los ataques de fuerza bruta fueron los segundos más populares conocido método de piratería, con el robo de contraseñas no muy lejos en la lista. Estos ataques deberían ser un problema muy serio para los usuarios de WordPress.
Por ejemplo, solo en abril de 2013, 90,000 sitios de WordPress han sido víctimas de un ataque masivo de fuerza bruta contra nombres de usuario/contraseñas populares.
Si bien existen muchos métodos para protegerse contra los ataques de fuerza bruta y el robo de contraseñas (asegurar wp-login.php, agregar límites de intentos de inicio de sesión, usar contraseñas únicas, etc.), dos factores son otra gran solución para protegerlo a usted y a todos sus usuarios. de ser víctima de estos ataques.
Quiero decir, mi propio WordPress Matt Mullenweg recomendado ¡La autenticación de dos factores como una buena solución para protegerse contra ataques de fuerza bruta! Y wordpress.com también lo recomienda en sus pautas de seguridad.
Cómo configurar la autenticación de dos factores para WordPress
Para configurar la autenticación de dos factores para WordPress, puede usar un complemento gratuito llamado Autenticador de Google. Sé que existen muchos otros complementos de autenticación de dos factores (cubriré algunos al final), pero he aquí por qué creo que Google Authenticator es la mejor solución:
- Proviene de la reputada empresa miniOrange. miniOrange proporciona soluciones de seguridad para empresas e instituciones financieras como el Banco de Melbourne, lo que significa que saben lo que hacen.
- A pesar del nombre, Google Authenticator ofrece muchas opciones de autenticación diferentes. Desde el correo electrónico hasta los mensajes de texto y la autenticación en la aplicación… puede hacerlo todo.
- Es gratis para un solo usuario (aunque algunos métodos de autenticación, como la verificación de llamadas telefónicas, requieren un plan premium).
Además, la configuración es bastante simple. Así es cómo:
Paso 1: instale el complemento Google Authenticator
Para comenzar, debe instalar y activar el complemento. Está incluido en el directorio de complementos de wordpress.org, por lo que puede instalarlo directamente desde su tablero yendo a Complementos → Agregar nuevo:
En realidad, hay dos complementos llamados Google Authenticator, así que asegúrese de tener el llamado «Google Authenticator – Two-Factor Authentication» y desarrollado por miniOrange.
Paso 2: active el complemento y cree una cuenta miniOrange
Después de activar el complemento, debe registrarse para obtener una cuenta miniOrange para continuar:
Después de enviar los detalles de registro de su cuenta, miniOrange enviará una OTP (contraseña de un solo uso) a la dirección de correo electrónico facilitada. Esta OTP verifica su dirección de correo electrónico. Simplemente ingrese una contraseña de un solo uso y haga clic en Verifique la exactitud de la contraseña de un solo uso:
Si tiene problemas para encontrar el correo electrónico, debería verse así:
Después de ingresar a OTP, el enchufe lo llevará a una pantalla que parece una pantalla de precios. ¡No te preocupes! Como dije, Google Authenticator es 100% gratuito para un usuario. Si no desea actualizar a premium, puede hacer clic en Vale, entiendo o vaya a una de las otras pestañas.
Paso 3: configure las preguntas de seguridad como un método de inicio de sesión alternativo
Antes de pasar a otros métodos de autenticación de dos factores, es una buena idea seguir las instrucciones del complemento y configurar las preguntas de seguridad. Estas preguntas aseguran que si alguna vez pierde su teléfono, aún puede acceder a su cuenta de WordPress con preguntas de respaldo.
usted no requerido para completar este paso, es solo una idea inteligente.
Puede acceder a sus preguntas de seguridad haciendo clic en el aviso o buscando Preguntas de seguridad (KBA) abajo Configuración de dos factores Correa:
Seleccione dos preguntas, cree una pregunta personalizada e ingrese las respuestas apropiadas para las tres preguntas. Luego haga clic Rescate.
Paso 4: Configure sus métodos de autenticación de dos factores
¡Ya está listo para configurar verdaderos métodos de autenticación de dos factores! En general, Google Authenticator ofrece estos métodos:
- Aplicación OTP para teléfonos inteligentes – Elija entre las aplicaciones de Google, miniOrange o Authy. Este es mi método de elección.
- Mensaje de texto – recibir OTP a través de SMS. Obtiene 10 SMS gratis después de los cuales tiene que pagar la prima.
- notificación activa – recibir una notificación push en su teléfono inteligente.
- Código QR – escanear el código QR con la aplicación miniOrange. Similar a Clef (otro complemento que mencionaré más adelante).
- Llamada telefónica – contestar el teléfono con OTP (solamente Premium).
- Correo electrónico – se enciende automáticamente después de verificar la dirección de correo electrónico de la cuenta en el paso anterior.
Le mostraré cómo configurar los dos métodos más populares: sms y Aplicación OTP para smartphones mediante la aplicación Google Authenticator.
Cómo configurar la autenticación de mensajes de texto:
Primero, ve a Configuración de dos factores Correa. Luego haga clic OTP a través de SMS:
Ingrese su número de teléfono junto con un código de país válido. Luego haga clic Verificar:
Después de hacer clic en Verificar, deberías recibir un SMS con un código OTP de 6 dígitos. Simplemente ingrese esta OTP en el cuadro a continuación y haga clic en Aprobar Fiscalía. ¡Eso es todo!
Cómo configurar la autenticación de la aplicación del teléfono inteligente:
Puede elegir una de las tres aplicaciones enumeradas anteriormente para la autenticación de aplicaciones. Dado que Google es el nombre más importante, le mostraré cómo configurarlo con la aplicación Google Authenticator.
Comience haciendo clic Autenticador de Google opción en Configuración de dos factores Correa:
Luego seleccione la marca de su teléfono inteligente. Después de seleccionar el tipo de teléfono inteligente, el enchufe proporcionará un código QR para escanear:
Para escanear el código, debe descargar e instalar la aplicación oficial para teléfonos inteligentes Google Authenticator. En la aplicación, haga clic en Comenzar configuración. Luego haga clic Escanea el código de barras:
Después de escanear el código de barras, verá un código OTP de 6 dígitos en la pantalla. Simplemente ingrese este código para autenticar su cuenta. Sin embargo, tenga en cuenta que la OTP de 6 dígitos cambiará constantemente. Siempre debe ingresar el último código.
Después de agregar la contraseña de un solo uso y hacer clic en Verificar y guardar, ¡Estás acabado!
Paso 5: Probar la autenticación de dos factores
Cada vez que realiza un cambio, siempre es una buena idea verificar que realmente funcione según lo previsto.
Para hacer esto, abra una nueva ventana de incógnito e intente iniciar sesión en su cuenta de WordPress. Al principio, debería ver su pantalla normal de inicio de sesión de WordPress. Pero una vez que haya ingresado su nombre de usuario y contraseña, hay un paso más que debe realizar para iniciar sesión:
Si ingresa la OTP correcta, será llevado al tablero.
Por diversión, puede ingresar intencionalmente la OTP incorrecta para asegurarse de que el enchufe esté funcionando. Probé seis números aleatorios y obtuve una pantalla de rechazo como esta:
Paso 6: habilite «Recordar esta computadora» (opcional)
Una característica común de la autenticación de dos factores es la capacidad de «recordar» su computadora. Una vez habilitado, no necesitará la autenticación de dos factores para iniciar sesión en sus computadoras de confianza. Pero si alguien intenta iniciar sesión desde una computadora que no es de confianza, aún tendrá que ingresar el código OTP.
Para habilitar esta función para miniOrange, simplemente vaya a Configuración de inicio de sesión y desplácese hacia abajo para Seleccione las opciones de la pantalla de inicio de sesión. Marque la casilla para Habilite la opción «Recordar dispositivo»:
Funciones útiles en la versión Premium
Si desea pagar la versión premium del complemento, puede obtener una serie de funciones útiles, como:
- Soporte para múltiples cuentas de WordPress
- Habilitar/deshabilitar dos factores según el rol de la cuenta. Por ejemplo, solo requiere dos factores para los administradores, no para los autores.
- Soporte de múltiples sitios
- Plantillas personalizadas de correo electrónico/SMS
Pensamientos finales
Agregar autenticación de dos factores no es de ninguna manera sólo lo que debe hacer para proteger su sitio de WordPress. Sin embargo, es una excelente manera de proteger su sitio web de ataques de fuerza bruta y robo de contraseña. Combínalo con otras medidas de seguridad y disfruta de una mayor tranquilidad.
