Tres candados enlazados, de FLY:D

Quizás estás harta de memorizar tantas contraseñas distintas por todas partes y además piensas que tu empresa de hosting ya se encarga de garantizar la seguridad de tu web.

Si proteges y cuidas la seguridad de tu web, te ahorrarás mayores disgustos y consecuencias no deseadas. Ten en cuenta que una brecha de seguridad en tu web, no sólo te afecta a ti y a tu negocio, sino que también puede afectar a tu clientela e incluso puedes acabar con problemas legales por no haber tomado las medidas de seguridad pertinentes.

Para que duermas con un poco más de tranquilidad (si es que eso es posible en los tiempos que corren), te explico cómo puedes crear tu web en WordPress más segura con la autenticación de múltiples factores.

Qué es la autenticación de múltiples factores (AMF)

La autenticación de múltiples factores (AMF, o en inglés Multi-Factor Authentication o MFA) no sólo la has visto en un montón de películas, sino que ya la usas para confirmar pagos online con tu tarjeta de crédito o entrando en tu correo electrónico, entre otros. Es un método de control de acceso informático en el que a una persona sólo se le concede el acceso después de que presente más de una prueba diferente para demostrar su identidad. Estas pruebas o factores de autenticación pueden ser diversas:

  • Algún objeto físico que posee la persona, como una memoria USB con un identificador único, una tarjeta de crédito, una llave, etc.
  • Algún secreto que conoce la persona, como una contraseña, un pin, etc.
  • Alguna característica biométrica propia de la persona, como una huella dactilar, iris, voz, velocidad de escritura, patrón en los intervalos de pulsación de teclas, etc.

El caso de combinar sólo dos factores también se conoce como «verificación en dos pasos» o «autenticación de doble factor» o «2FA». Y la idea es que siempre será más segura la autenticación de múltiples factores que sólo un usuario y contraseña.

Por qué añadir AMF en mi web en WordPress

Uno de los métodos para descifrar contraseñas sigue siendo el ataque de fuerza bruta. Este ataque consiste, tal y como su nombre indica, en ir probando a lo bruto combinaciones posibles de usuarios y contraseñas. Este tipo de ataques son realizados por redes de bots que utilizan algoritmos y herramientas cada vez más sofisticados.

Muchas empresas de hosting ya incluyen firewalls y otras herramientas para evitar este tipo de ataques. Aún así, también hay otras recomendaciones que pueden ayudar a mitigar una brecha de seguridad, como por ejemplo, obligar a los usuarios a añadir contraseñas fuertes u obligarles a cambiarlas cada 3 meses.

Gif en la que el actor Ken Jeong comenta que no se acuerda de su nueva contraseña.

Pero añadir autenticación de múltiples factores en tu web, la asegura al 100% contra ataques de fuerza bruta. Ese factor y paso extra de identificación de la persona es un jaque mate para este tipo de bots.

Cómo implementar la verificación en dos pasos

Añadir una verificación de dos pasos implica que tendremos que añadir un paso adicional de verificación de usuario y contraseña al que ya estamos habituadas. Lo más fácil es que cada usuario tenga una aplicación de autenticación instalada en su móvil que muestre un código temporal sólo valido unos pocos segundos y que sea éste el que tenga que añadir como forma de verificación adicional al de la contraseña.

Las aplicaciones para móvil más conocidas son Google Authenticator, Authy, HENNGE OTP, FreeOTP o SoundLogin (en caso de autenticación mediante sonido), entre otros. Todas ellas disponibles como aplicación para Android y iOS.

Veamos a continuación cómo podemos implementar la verificación en dos pasos con Google Authenticator. Ten en cuenta que con cualquiera de las apps mencionadas anteriormente, el proceso sería muy parecido.

App Google Authenticator

Google Authenticator es una app sencilla que está disponible en Android e iOS y simplemente muestra un código numérico de 6 dígitos que va cambiando cada 30 segundos. Este es el que debes usar después de haber iniciado sesión en tu WordPress o cualquier otro servicio donde lo estés usando, como puede ser tu servicio de correo, hosting, de cloud, de redes sociales etc. Para cada cuenta, te mostrará un número distinto y a la derecha del número verás indicado el tiempo que queda para que vuelva a cambiarse el número mostrado.

Todas las personas que vayan a acceder a tu WordPress mediante 2FA, deberán descargarse la app Google Authenticator en su móvil para poder verificar su identidad con este sistema.

Instala y activa un plugin para 2FA

Dispones de varios plugins que te permitirán hacer la autenticación de usuario en dos pasos, como por ejemplo, Google Authenticator, Wordfence Login Security,miniOrange’s Google Authenticator, o Two Factor Authentication

Veamos los pasos a seguir con el plugin Google Authenticator.

Primero de todo, desde tu escritorio de WordPress, haz clic en «Añadir nuevo» plugin

Añadir nuevo plugin en WordPress
Añadir nuevo plugin en WordPress

Busca el plugin que quieres instalar, que en nuestro caso es «Google Authenticator», y haz clic en «Instalar» y «Activar».

Buscar el plugin Google Authenticator
Buscar el plugin Google Authenticator.

Configura el plugin

Tras activar el plugin, tendrás la nueva opción de configuración de Google Authenticator.

Plugin de Google authenticator instalado en WordPress
Plugin de Google authenticator instalado en WordPress.

En la ventana de configuración de Google Authenticator tienes la opción de indicar si quieres que sean los propios usuarios quienes decidan si usar o no la doble autenticación y qué roles quieres que tengan activada la doble autenticación.

Configurando el plugin de Google authenticator
Configurando el plugin de Google authenticator.

A continuación, en el perfil de cada usuario que tenga uno de los roles marcados con doble autenticación, encontrarás las opciones de configuración de Google Authenticator.

Añadiendo 2FA con Google Authenticator
Añadiendo 2FA con Google Authenticator.

Puedes indicar si dicho usuario debe tener activado 2FA, si necesita tiempo extra para loguearse, el nombre de la cuenta visualizada en la app instalada en tu móvil, un código secreto, mostrar el código secreto y si permites añadir una contraseña en la app.

Añade la cuenta configurada a la app del móvil

Ahora, la primera vez que alguien a quien se haya indicado que debe acceder con 2FA se loguee, le aparecerá la siguiente ventana en la que le pedirá que escanee su código QR en el móvil y confirme el código generado que ve en la app.

Pantalla inicial de WordPress con Google Authenticator
Pantalla inicial de WordPress tras loguearse y tener activado Google Authenticator.

La usuaria, desde la app Google Authenticator de su móvil, debe hacer clic en el botón «+» que encontrará en la parte inferior derecha de la pantalla de la app para añadir una nueva cuenta, seleccionar escanear un código y, tras escanear el código de tu WordPress, ya tendrá la nueva cuenta añadida en la app.

Ahora sólo debe introducir en la pantalla inicial el código que le aparece en la app y ya tendrá la configuración completada.

La siguiente vez que quiera acceder a la web, tendrá que hacerlo con dos pasos, introduciendo primero su nombre de usuario y contraseña y, en un segundo paso, su código de Google Authenticator.

Y ya está, con esto ya habrás asegurado doblemente la seguridad en tu web.

Conclusión

Mantener la seguridad en tu web implica seguir un conjunto de buenas prácticas para reducir al máximo los riesgos de ser víctima de ataques. Aunque protegerte al 100% es imposible, ya has visto que instalarte una doble barrera de seguridad en tu web es sencillo y gratuito. ¡No te esperes a tener un disgusto cuando ya sabes que más vale prevenir qué curar!

Imagen destacada de FLY:D en Unsplash.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído y acepto la política de privacidad de Nelio Software

Tus datos personales se almacenarán en SiteGround y serán usados por Nelio Software con el único objetivo de publicar tu comentario aquí. Con el envío de este comentario, nos das el consentimiento expreso para ello. Escríbenos para acceder, rectificar, limitar o eliminar tus datos personales.