22 Oct Mas Seguridad en tu WordPress con 2FA
Mas Seguridad en tu WordPress con 2FA
¿Que es el doble factor de autenticación?
Se trata de una capa de seguridad adicional que añadimos en el identificación de acceso de algunas aplicaciones, esta capa añade un segundo método de autenticación más allá de los ya conocidos usuario y contraseña a los que estamos más que acostumbrados.
Seguramente todos hemos utilizado alguna vez sistemas de autenticación 2FA como usuarios, es muy habitual habernos encontrado con estos sistemas cuando queremos hacer una operación bancaria a la aplicación online de nuestro banco. En estos casos, normalmente esta segunda capa de seguridad envía un SMS con un código de seguridad en el teléfono que el aplicativo tiene registrado como teléfono del cliente, pero hay otros sistemas: verificación por correo electrónico, biometría, tarjeta de coordenadas, etc. … Una vez validada esta segunda identificación, la operación que queremos efectuar se realiza y finaliza correctamente.
En muchos casos tenemos un tiempo limitado para introducir este código o la coordenada, según el caso, esto también limita el tiempo de acción ante posibles ataques o en caso de robos de datos, ya que hace que los hackers o infractores tengan un tiempo muy limitado para hacerlo.
Doble factor de autenticación en WordPress
Hoy día, todos los sistemas que utilizamos, y que normalmente funcionan y se encuentran alojados en la nube están expuestos a ataques de terceros y son vulnerables en este sentido. En este caso, WordPress no es una excepción, ya que, al ser el CMS más utilizado en el mundo, está mucho más expuesto a posibles ataques que otros aplicativos online.
Quieres añadir un nivel más de seguridad en tu web y cuentas de administrador? El sistema 2FA permite utilizar el teléfono móvil para comprobar si quien está realizando el acceso al administrador es realmente quien dice ser.
Dentro del Repositorio de WordPress existen plugins que te permiten implementar un sistema como estos. Estos son algunos de los más utilizados:
Complement autenticador de Google: https://wordpress.org/plugins/google-authenticator/
Duo Complemento: https://duo.com
MiniOrange: https://wordpress.org/plugins/miniorange-2-factor-authentication/
Clockwork SMS: https://wordpress.org/plugins/clockwork-two-factor-authentication/
Rublon: https://wordpress.org/plugins/rublon/
Por otro lado si en tu web ya tienes instalado el cortafuegos Wordfence, podrás activar también este segundo factor de autenticación. Por ello deberás ir a la configuración del plugin y activar el 2FA.
Es el momento de descargarnos una aplicación como Google Authentificator nuestro teléfono móvil y con ella, escanear el código QR que nos ha generado Wordfence, una vez hecho esto se activa el botón «Activar» en nuestro ordenador y hacemos click.
Es importante que, aunque no usamos en este momento, guardamos en un lugar seguro los códigos que nos aparecen a la derecha. Este códigos nos permiten acceder al nuestra web en caso de que perdamos el teléfono, o por el motivo que sea, no tengamos acceso a Google Authenticator.
Si hacemos esto y volvemos a la pantalla de configuración de Wordfence donde hemos activado el 2FA veremos lo siguiente:
Para confirmar que funciona: salimos de WordPress y nos volvemos a conectar con nuestro usuario y contraseña. Una vez hecho esto, antes de entrar a la administración de WordPress nos debería aparecer el siguiente formulario:
El código que nos pide lo deberemos consultar en nuestro teléfono usando Google Authenticator, seguidamente hacemos clic en el botón «Log In» para acceder a nuestro WordPress. Si el código introducido es correcto, nos redirigirá a la administración de la web y de esta manera, si lo que se intenta logar no tiene un teléfono autorizado para generar los códigos, no se le concederá acceso por mucho que tenga el password del usuario.
Bien, con esto damos por finalizado este tutorial, en los próximos artículos iremos explicando con más detalle otras medidas de seguridad que puede aplicar en su WordPress Para mantenerlo más seguro y recuerde que si tiene alguna duda, sólo tiene que ponerse en contacto con nosotros y haremos lo posible para solucionar sus dudas.
