El nivel de seguridad de tu WordPress depende de los sistemas que implementes para protegerla y reforzar dicha protección. Con el aumento del forzado automático de contraseñas, la información confidencial de tus usuarios y el acceso a tu sitio están más en riesgo que nunca.
La autenticación de 2 factores, doble factor de autenticación o 2FA, es un paso más para la seguridad de tu WordPress y consiste en agregar una “contraseña” o método adicional a los datos de acceso que normalmente utilizas, y que suelen ser el usuario y la contraseña.
Normalmente, para acceder al panel de administración de WordPress wp-admin, ingresas el nombre de usuario o el email registrado y un password. A los tiempos que corren, y si bien algunos plugins de WordPress y reglas de mod security previenen los intentos de login de amenazas, no es suficiente para proteger tu sitio web.
Qué es la autenticación de 2 factores (2FA) y por qué deberías implementarla en tu sitio de WordPress.
El 2FA se llama doble factor de autenticación porque, además de la contraseña, hace que debas moverte para validar que eres tú quien intenta acceder a tu cuenta o servicio, ingresando un código que se genera dinámicamente. Esto puede ocurrir con un SMS, un WhatsApp, un email con un código y varios métodos más.
En resumen, los beneficios de instalar el two-factor authentication, o 2FA en WordPress son:
- Que tus datos estarán más seguros ya que una contraseña débil no será la razón por la que puedan acceder ilegalmente a wp-admin.
- Te protegerás contra el fraude: la autenticación de 2FA reduce la probabilidad de que un atacante pueda hacerse pasar por un usuario si tienes un membership site. Tus suscriptores valorarán que los protejas.
- Tus páginas y entradas estarán más protegidas: tus notas de blog y páginas de tu web estarán blindadas por 2FA.
- Evita grandes dolores de cabeza y ahorra dinero. Si tu WordPress está protegido, no tendrás que gastar dinero en arreglarlo.
Cómo instalar el doble factor de autenticación (2FA) en WordPress.
Para instalar el doble factor de autenticación (2FA) en WordPress no hace falta mucho. Sólo necesitaremos 3 cosas:
- El panel administrador de WordPress wp-admin.
- Descargar Google Authenticator en tu teléfono o dispositivo móvil.
- Instalar el plugin Wordfence Login Security o tener instalado previamente el plugin de seguridad llamado Wordfence.
Configurar 2FA en WordPress si ya tienes instalado el plugin de seguridad Wordfence.
Wordfence está valorado por los usuarios y comunidades de WordPress como uno de los mejores plugins de seguridad.
Dentro de wp-admin, ve a la sección Wordfence, y luego a Login security.
Ahora toma el dispositivo, abre Google Authenticator, haz clic en “+” y elige “Escanear código QR”. Seguido, escanea el código que ves en pantalla y aparecerá Wordfence entre los códigos dinámicos del autenticador.
Copia los códigos de recovery y guárdalos en un lugar seguro por si perdieses tu dispositivo. Luego, ingresa el código que ves en la pantalla de tu dispositivo adentro del campo de texto que ves debajo, y haz clic en Activar o Activate.
Si todo fue bien, verás esta pantalla para que puedas desactivar el 2FA si te arrepientes, o descargues los código de backup por si no lo has hecho aún.
Ahora cierra la sesión e intenta acceder nuevamente a tu WordPress wp-admin. Si todo fue bien, al ingresar el usuario y contraseña, verás esta pantalla que sigue a continuación.
Configurar 2FA en WordPress instalando Wordfence Login Security.
El proceso de configurar el doble factor de autenticación con Wordfence Login Security no es muy diferente.
La diferencia entre los plugins Wordfence Login Security y Wordfence Security es que Wordfence Login Security sólo soluciona el asunto del 2FA en el login, mientras que Wordfence Security es un plugin de seguridad que contempla varios asuntos para proteger tu WordPress.
Instala el plugin Wordfence Login Security y actívalo como lo haces con cualquier plugin.
Ve Login Security dentro del menú principal de wp-admin de WordPress.
Ahora toma el dispositivo, abre Google Authenticator, haz clic en “+” y elige “escanear QR”. Seguido, escanea el código que ves en pantalla y aparecerá Wordfence entre los códigos dinámicos del autenticador.
Copia los códigos de recovery y guárdalos en un lugar seguro por si perdieses tu dispositivo. Luego, ingresa el código que ves en la pantalla de tu dispositivo adentro del campo de texto que ves debajo, y haz clic en Activar o Activate.
Si todo fue bien, verás esta pantalla para que puedas desactivar el 2FA si te arrepientes, o descargues los código de respaldo por si lo has olvidado.
Ahora cierra la sesión e intenta acceder nuevamente a tu WordPress wp-admin. Si todo fue bien, al ingresar el usuario y contraseña, verás esta pantalla.
Cómo desactivar el doble factor de autenticación en WordPress.
Tanto si estás usando Wordfence Security para proteger tu sitio de WordPress, como si estás usando el plugin Wordfence Login Security, la forma de desactivar el 2FA es la misma. No te recomendamos que lo hagas a menos que tengas un problema o debas hacerlo temporalmente.
Para desactivar el two factor authentication, ve a Login Security y luego haz clic en Desactivar o Deactivate.
Conclusión.
Activar el doble factor de autenticación o 2FA hará que puedas gestionar tu WordPress más seguro, y que no corras riesgos de que alguien más, o un bot acceda por el sólo hecho de descifrar tu clave. Que tu WordPress esté seguro, no solo depende de los creadores de WordPress, del desarrollador que hayáis elegido, o del proveedor de hosting en sí. Es necesario que tú también pongas tu parte para ayudar a protegerlo.