La seguridad de los sitios web es una preocupación constante, especialmente cuando se trata de evitar invasiones por hackers. Y una de las medidas más efectivas para proteger WordPress es la configuración de la autenticación de dos factores (2FA). 

Esta función añade una capa extra de seguridad, asegurando que, además de la contraseña, el usuario necesite un segundo factor de autenticación, como un código generado por una aplicación, para acceder al sistema. Esta barrera adicional hace significativamente más difícil para los invasores comprometer el sitio, incluso si obtienen la contraseña del usuario.

Esta guía ofrece un paso a paso detallado sobre cómo agregar la autenticación de dos factores en WordPress, permitiendo que los administradores fortalezcan la seguridad de sus sitios web. Con estas medidas en práctica, el riesgo de invasión disminuye, proporcionando mayor tranquilidad a los propietarios y usuarios del sitio.

¿Qué es la autenticación de dos factores (2FA)?

Básicamente, ella funciona exigiendo dos formas de verificación: la contraseña tradicional y un segundo factor, que puede ser un código enviado por SMS, generado por una aplicación o una huella digital. 

Esta combinación hace mucho más difícil para los invasores acceder a su sitio, incluso si descubren su contraseña. La 2FA es ampliamente adoptada para proteger cuentas en línea, ofreciendo una defensa robusta contra accesos no autorizados.

Tipos de autenticación de dos factores (2FA)

Existen varios tipos de autenticación de dos factores (2FA) que añaden capas adicionales de seguridad al proceso de inicio de sesión. Los principales tipos de 2FA son:

• OTP (One-Time Password): Contraseña de un solo uso generada para una única sesión o transacción. Es válida solo una vez y expira después de su uso.
• TOTP (Contraseña de un solo uso basada en tiempo): Tipo de OTP que genera códigos temporales basados en el tiempo. Cada pocos segundos, se genera un nuevo código basado en la hora actual y una clave secreta. El código cambia periódicamente, aumentando la seguridad.
• HOTP (HMAC-Based One-Time Password): Tipo de OTP que genera códigos basados en un contador. Con cada nuevo intento de autenticación, el contador se incrementa, generando un nuevo código. A diferencia del TOTP, que depende del tiempo, el HOTP depende del contador y no cambia automáticamente.

Cada tipo de 2FA tiene sus ventajas y desventajas en términos de seguridad y conveniencia, y la elección ideal puede variar dependiendo de las necesidades y preferencias del usuario.

¿Por qué añadir la autenticación de dos factores en WordPress?

Incluso con un sistema robusto como WordPress, siempre existe el riesgo de que su contraseña sea comprometida. Esto puede suceder debido a un ataque a su computadora o incluso a través de la interceptación de tráfico. 

La autenticación de dos factores (2FA) se convierte en una solución esencial para prevenir el acceso no autorizado al panel de administración, incluso si se descubre su contraseña. Al activar el 2FA, solo un usuario con acceso al dispositivo de autenticación podrá iniciar sesión en el sitio. 

Esta capa extra de protección es crucial, especialmente para prevenir que los invasores accedan al panel de WordPress, incluso si obtienen su contraseña. Esto es particularmente valioso para proteger sitios cuyas contraseñas son débiles o fácilmente descubiertas, aumentando significativamente la seguridad general del sistema.

Cómo configurar la autenticación de dos factores en WordPress

Configurar la autenticación de dos factores en WordPress es una tarea muy simple usando el plugin WP 2FA. Siguiendo los pasos mostrados a continuación, puedes instalar y configurar el plugin de 2FA.

Passo 1: Instale o plugin WP 2FA

1. Acceda al panel de administración de WordPress.
2. Haz clic en Plugins » Agregar plugin.

3. Escribe “WP 2FA” en el campo de búsqueda.

4. Haz clic en Instalar ahora y luego en Activar.

Después de la activación, se mostrará automáticamente la página del asistente de configuración de WP 2FA. En el próximo paso, mostraremos cómo configurar el plugin.

Paso 2: Configure el plugin WP 2FA en WordPress

Con la pantalla de configuración del plugin abierta, siga los siguientes pasos para que el plugin WP 2FA funcione en su sitio web.

1. Primero, haz clic en “¡Let’s get started!” para iniciar la configuración.

2. Marca los métodos de autenticación de 2FA que deseas utilizar.

• Código único a través de la aplicación 2FA (TOTP): Es la opción más segura y recomendada, ya que utiliza una aplicación externa para realizar la autenticación en WordPress.
• Código único por correo electrónico (HOTP): Permite utilizar una dirección de correo electrónico para obtener tokens para iniciar sesión en WordPress.

Recomendamos utilizar solo la primera opción por ser considerada más segura. Por eso, desmarca la segunda opción mostrada en la pantalla.

4. Haz clic en Continuar setup para avanzar al siguiente paso.
5. Indique si desea activar el “Respaldo de Códigos” como acceso alternativo.

Deja la opción de respaldo de los tokens marcada para que los usuarios puedan iniciar sesión en WordPress utilizando una opción de autenticación alternativa. Funciona como un código de emergencia de uso único, permitiendo el inicio de sesión del usuario en caso de imposibilidad de generar un token de acceso único del 2FA. 

Haz clic en CONTINUA SETUP para avanzar al siguiente paso.

6. Seleccione los usuarios que deben usar el 2FA.

• All users: Todos los usuarios están obligados a utilizar la autenticación de dos factores.
• Only for specific users and roles: Permite seleccionar usuarios específicos o roles de usuarios que deben activar obligatoriamente el 2FA para iniciar sesión en el sitio.
• Do not enforce on any users: Ningún usuario está obligado a usar el 2FA, él configura si lo desea (opción no recomendada).

Seleccione la opción All users para garantizar la seguridad total del sitio. Esta es la opción que garantiza la máxima protección de WordPress.

Haz clic en ALL DONE para pasar a la siguiente etapa.

7. Seleccione usuarios que no deben usar el 2FA.

Si estás imponiendo la autenticación de dos factores (2FA) para todos los usuarios, pero deseas crear excepciones, puedes establecer reglas específicas para ello. Esta funcionalidad permite crear excepciones para usuarios individuales o para grupos de usuarios basados en su función en WordPress.

Por ejemplo, es posible configurar una regla para que los usuarios con la función de “lector” no estén obligados a configurar el 2FA para iniciar sesión. Esto se justifica por el hecho de que estos usuarios tienen permisos limitados dentro de WordPress, haciendo innecesaria la exigencia de 2FA para sus actividades.

8. Seleccione el período de gracia para utilizar el 2FA.

Puedes establecer una regla que permita a los usuarios seguir accediendo al sitio normalmente por un período determinado, ya sea en días (días) o horas (horas). 

Lo ideal es ofrecer al menos una semana para que los usuarios puedan configurar la autenticación de dos factores (2FA). 

Este plazo proporciona tiempo suficiente para que comprendan el funcionamiento del 2FA y completen la configuración con tranquilidad antes de que sea obligatorio configurar la autenticación de dos factores. 

9. Haz clic en ALL DONE para finalizar el asistente de configuración.

Ahora es necesario seguir los próximos pasos para garantizar la activación de la autenticación de dos factores en WordPress y en el móvil.

Paso 3: Como configurar o aplicativo de 2FA en el celular

Siempre que un usuario inicie sesión en WordPress se mostrará una página preguntando si desea configurar el 2FA. 

1. Para iniciar la configuración de 2FA, haga clic en Configure 2FA ahora, mostrado después de iniciar sesión.

2. Instala en tu celular una aplicación para gestionar los tokens de 2FA. Puedes usar cualquiera de las aplicaciones indicadas en este tutorial. Para fines didácticos, hemos seleccionado el Google Authenticator.
3. Abre Google Authenticator y selecciona la opción Agregar un código.
4. Luego, selecciona la opción Leer código QR.

5. Apunta la cámara de tu celular al código QR que se muestra en la página de inicio de sesión de WordPress.

6. Después de leer el código QR, haz clic en la opción Estoy listo que se muestra en WordPress.
7. Ahora ingrese el token generado por Google Authenticator en el campo “Código de Autenticación” y luego haga clic en Validar & Guardar para confirmar la activación del 2FA.

En la siguiente pantalla puedes generar los códigos de acceso alternativos o hacer clic para generarlos después. Estos códigos se utilizan para iniciar sesión en caso de que pierdas el acceso al dispositivo con los tokens de inicio de sesión.

Listo, ¡ahora el 2FA está configurado! Al iniciar sesión en WordPress, después de ingresar tu nombre de usuario y contraseña, serás dirigido a una pantalla que solicita el código de autenticación. Simplemente ingresa el código generado por Google Authenticator para completar el proceso de inicio de sesión.

Ejemplo de pantalla de inicio de sesión después de agregar la autenticación de dos factores en WordPress:

En el campo “Código de Autenticación” debes introducir el código generado por Google Authenticator siempre que vayas a iniciar sesión.

Mejores aplicaciones para usar el 2FA en el móvil

Para instalar la autenticación de dos factores es necesario un dispositivo de autenticación y una aplicación para generar los tokens de acceso. En la lista a continuación encontrarás las mejores aplicaciones para usar en tu celular o tablet. 

1. Google Authenticator

Las aplicaciones de autenticación de dos factores (2FA) son esenciales para garantizar la seguridad de tus cuentas en línea, y Google Authenticator es una de las mejores opciones disponibles. 

Compatible con Android e iOS, esta aplicación es reconocida por su fiabilidad y seguridad, utilizando el método TOTP (contraseña única basada en tiempo) para generar códigos que expiran en segundos, ofreciendo una capa adicional de protección contra accesos no autorizados.

Recientemente, Google Authenticator ha añadido una función de respaldo en la nube, haciendo la gestión de 2FA aún más práctica. 

2. Microsoft Authenticator

El Microsoft Authenticator es una aplicación que va más allá del inicio de sesión sin contraseña en los productos de Microsoft, ofreciendo también una solución robusta para la autenticación de dos factores (2FA). Utilizando el método TOTP, similar al Google Authenticator, proporciona una capa extra de seguridad indispensable para proteger sus cuentas.

La aplicación también incorpora una función de respaldo en la nube, haciendo el intercambio de dispositivos simple y seguro, sin el riesgo de perder el acceso a sus cuentas. Esta funcionalidad asegura una experiencia de seguridad continua y conveniente para los usuarios.

Aunque esté especialmente optimizado para usuarios del ecosistema Microsoft, el Microsoft Authenticator es igualmente efectivo en la protección de cuentas en otras plataformas.

3. Authy

Authy se destaca por permitir la copia de seguridad y la sincronización de sus tokens 2FA en varios dispositivos, incluyendo teléfonos, tablets y computadoras. Esta funcionalidad lo hace tan robusto como las mejores opciones disponibles en el mercado.

Para aquellos que buscan una solución de 2FA que combine simplicidad y seguridad, Authy es una elección excepcional. Además, ofrece una solución multidispositivo que mantiene tus tokens sincronizados en todos tus dispositivos, garantizando un acceso fácil y protegido dondequiera que estés.

Medidas de seguridad adicionales para proteger tu sitio web

1. Contrate uma boa hospedagem

La contratación de un mejor alojamiento es fundamental para garantizar la seguridad y protección de WordPress. Algunas medidas de seguridad deben adoptarse para reforzar la seguridad del CMS, sin embargo, nada reemplaza la contratación de un alojamiento seguro y confiable.

Las empresas de alojamiento adoptan una serie de medidas para la protección del servidor web, incluyendo parches de seguridad y firewall, para prevenir la explotación de vulnerabilidades en su sitio web o aplicación.

2. Utilize HTTPS en el sitio web

El uso de HTTPS protege la privacidad de los visitantes, pero también aumenta la protección de su sitio web, especialmente en el área de inicio de sesión de WordPress. Solo necesita un certificado SSL y un alojamiento compatible para usar HTTPS.

Al informar su usuario y contraseña en el panel de control de WordPress utilizando una conexión insegura (HTTP), los hackers pueden interceptar el tráfico de red fácilmente y, en consecuencia, robar su inicio de sesión y contraseña.

Sin embargo, al utilizar el protocolo HTTPS en su sitio web, todo el tráfico está protegido de los atacantes mediante una capa de cifrado TLS/SSL. De esta manera, es prácticamente imposible un ataque que intercepte la contraseña o las cookies de la página de inicio de sesión.

3. Evite usar o FTP

El protocolo FTP no ofrece ningún tipo de cifrado y sufre de los mismos problemas que una conexión sin HTTPS. Por lo tanto, también permite ataques donde el invasor captura las contraseñas y roba los datos de su sitio web.

Al tratarse de una conexión con el servidor donde los datos y archivos se transportan en texto plano, un atacante podría incluso, en teoría, modificar los archivos enviados a través del FTP.

Por esta razón, trata de utilizar el FTPS, que es la versión cifrada del FTP. Añade una capa de cifrado SSH (o secure shell) que garantiza que ningún dato o archivo sea modificado o interceptado.

4. Evite redes Wi-Fi públicas 

Las redes de internet públicas presentan riesgos considerables, al permitir que cualquier usuario conectado a la misma red utilice un sniffer (analizador de paquetes) para interceptar y capturar el tráfico de datos de todos los usuarios de la red.

De este modo, si la información se transmite sin cifrado, un usuario con malas intenciones puede tener acceso a datos sensibles, como el contenido al que estás accediendo o incluso tus contraseñas. 

Para asegurar su privacidad al utilizar una red Wi-Fi pública, es altamente recomendable el uso de una VPN. La VPN encripta todo su tráfico de datos, garantizando que otras personas en la misma red no puedan interceptar su información o monitorear los sitios web que visita.

Conclusión

Proteger su sitio web contra invasiones y ataques de hackers es fundamental para garantizar la seguridad y la confianza de los usuarios. Implementar medidas como la autenticación de dos factores (2FA) y el monitoreo continuo son pasos cruciales para fortalecer su presencia digital. 

Sin embargo, estas iniciativas deben ser complementadas por la elección de un alojamiento de sitio seguro, que ofrezca una infraestructura robusta y protección avanzada contra amenazas.

Consulta también artículos relacionados:

• Código HTTP: ¿cuáles son los principales y cómo resolverlos?
• Error 401: ¿Qué es y cómo corregirlo?
• Seguridad WordPress: cómo mantener segura toda la información de tu sitio web