Quizás estás harta de memorizar tantas contraseñas distintas por todas partes y además piensas que tu empresa de hosting ya se encarga de garantizar la seguridad de tu web.
Si proteges y cuidas la seguridad de tu web, te ahorrarás mayores disgustos y consecuencias no deseadas. Ten en cuenta que una brecha de seguridad en tu web, no sólo te afecta a ti y a tu negocio, sino que también puede afectar a tu clientela e incluso puedes acabar con problemas legales por no haber tomado las medidas de seguridad pertinentes.
Para que duermas con un poco más de tranquilidad (si es que eso es posible en los tiempos que corren), te explico cómo puedes crear tu web en WordPress más segura con la autenticación de múltiples factores.
Tabla de contenidos
Qué es la autenticación de múltiples factores (AMF)
La autenticación de múltiples factores (AMF, o en inglés Multi-Factor Authentication o MFA) no sólo la has visto en un montón de películas, sino que ya la usas para confirmar pagos online con tu tarjeta de crédito o entrando en tu correo electrónico, entre otros. Es un método de control de acceso informático en el que a una persona sólo se le concede el acceso después de que presente más de una prueba diferente para demostrar su identidad. Estas pruebas o factores de autenticación pueden ser diversas:
- Algún objeto físico que posee la persona, como una memoria USB con un identificador único, una tarjeta de crédito, una llave, etc.
- Algún secreto que conoce la persona, como una contraseña, un pin, etc.
- Alguna característica biométrica propia de la persona, como una huella dactilar, iris, voz, velocidad de escritura, patrón en los intervalos de pulsación de teclas, etc.
El caso de combinar sólo dos factores también se conoce como «verificación en dos pasos» o «autenticación de doble factor» o «2FA». Y la idea es que siempre será más segura la autenticación de múltiples factores que sólo un usuario y contraseña.
Por qué añadir AMF en mi web en WordPress
Uno de los métodos para descifrar contraseñas sigue siendo el ataque de fuerza bruta. Este ataque consiste, tal y como su nombre indica, en ir probando a lo bruto combinaciones posibles de usuarios y contraseñas. Este tipo de ataques son realizados por redes de bots que utilizan algoritmos y herramientas cada vez más sofisticados.
Muchas empresas de hosting ya incluyen firewalls y otras herramientas para evitar este tipo de ataques. Aún así, también hay otras recomendaciones que pueden ayudar a mitigar una brecha de seguridad, como por ejemplo, obligar a los usuarios a añadir contraseñas fuertes u obligarles a cambiarlas cada 3 meses.
Pero añadir autenticación de múltiples factores en tu web, la asegura al 100% contra ataques de fuerza bruta. Ese factor y paso extra de identificación de la persona es un jaque mate para este tipo de bots.
Cómo implementar la verificación en dos pasos
Añadir una verificación de dos pasos implica que tendremos que añadir un paso adicional de verificación de usuario y contraseña al que ya estamos habituadas. Lo más fácil es que cada usuario tenga una aplicación de autenticación instalada en su móvil que muestre un código temporal sólo valido unos pocos segundos y que sea éste el que tenga que añadir como forma de verificación adicional al de la contraseña.
Las aplicaciones para móvil más conocidas son Google Authenticator, Authy, HENNGE OTP, FreeOTP o SoundLogin (en caso de autenticación mediante sonido), entre otros. Todas ellas disponibles como aplicación para Android y iOS.
Veamos a continuación cómo podemos implementar la verificación en dos pasos con Google Authenticator. Ten en cuenta que con cualquiera de las apps mencionadas anteriormente, el proceso sería muy parecido.
Nelio Popups
¡Un plugin fantástico! Es muy fácil crear ventanas emergentes con el editor que ya conoces y las opciones que ofrece están muy bien diseñadas.
Juan Hernando
App Google Authenticator
Google Authenticator es una app sencilla que está disponible en Android e iOS y simplemente muestra un código numérico de 6 dígitos que va cambiando cada 30 segundos. Este es el que debes usar después de haber iniciado sesión en tu WordPress o cualquier otro servicio donde lo estés usando, como puede ser tu servicio de correo, hosting, de cloud, de redes sociales etc. Para cada cuenta, te mostrará un número distinto y a la derecha del número verás indicado el tiempo que queda para que vuelva a cambiarse el número mostrado.
Todas las personas que vayan a acceder a tu WordPress mediante 2FA, deberán descargarse la app Google Authenticator en su móvil para poder verificar su identidad con este sistema.
Instala y activa un plugin para 2FA
Dispones de varios plugins que te permitirán hacer la autenticación de usuario en dos pasos, como por ejemplo, Google Authenticator, Wordfence Login Security,miniOrange’s Google Authenticator, o Two Factor Authentication
Veamos los pasos a seguir con el plugin Google Authenticator.
Primero de todo, desde tu escritorio de WordPress, haz clic en «Añadir nuevo» plugin
Busca el plugin que quieres instalar, que en nuestro caso es «Google Authenticator», y haz clic en «Instalar» y «Activar».
Configura el plugin
Tras activar el plugin, tendrás la nueva opción de configuración de Google Authenticator.
En la ventana de configuración de Google Authenticator tienes la opción de indicar si quieres que sean los propios usuarios quienes decidan si usar o no la doble autenticación y qué roles quieres que tengan activada la doble autenticación.
A continuación, en el perfil de cada usuario que tenga uno de los roles marcados con doble autenticación, encontrarás las opciones de configuración de Google Authenticator.
Puedes indicar si dicho usuario debe tener activado 2FA, si necesita tiempo extra para loguearse, el nombre de la cuenta visualizada en la app instalada en tu móvil, un código secreto, mostrar el código secreto y si permites añadir una contraseña en la app.
Añade la cuenta configurada a la app del móvil
Ahora, la primera vez que alguien a quien se haya indicado que debe acceder con 2FA se loguee, le aparecerá la siguiente ventana en la que le pedirá que escanee su código QR en el móvil y confirme el código generado que ve en la app.
La usuaria, desde la app Google Authenticator de su móvil, debe hacer clic en el botón «+» que encontrará en la parte inferior derecha de la pantalla de la app para añadir una nueva cuenta, seleccionar escanear un código y, tras escanear el código de tu WordPress, ya tendrá la nueva cuenta añadida en la app.
Ahora sólo debe introducir en la pantalla inicial el código que le aparece en la app y ya tendrá la configuración completada.
La siguiente vez que quiera acceder a la web, tendrá que hacerlo con dos pasos, introduciendo primero su nombre de usuario y contraseña y, en un segundo paso, su código de Google Authenticator.
Y ya está, con esto ya habrás asegurado doblemente la seguridad en tu web.
Conclusión
Mantener la seguridad en tu web implica seguir un conjunto de buenas prácticas para reducir al máximo los riesgos de ser víctima de ataques. Aunque protegerte al 100% es imposible, ya has visto que instalarte una doble barrera de seguridad en tu web es sencillo y gratuito. ¡No te esperes a tener un disgusto cuando ya sabes que más vale prevenir qué curar!
Deja una respuesta