seguridad – Blog SitiosHispanos.Com

Doble Factor de Autenticación (2FA): ¿Qué es y cómo funciona?

La autenticación en dos fases (2FA) es un método de seguridad de administración de identidad y acceso que requiere dos formas de identificación para acceder a los recursos y los datos. 2FA ofrece la posibilidad de supervisar y ayudar a proteger su información y sus redes más vulnerables.
El doble factor de autenticación añade una segunda capa de protección, reforzando el nivel de seguridad. El primer método generalmente es una contraseña segura, y el segundo método podría ser un código obtenido a través de un correo electrónico, un mensaje de texto o usando una app en su teléfono celular como Google Authenticator.

¿Cómo funciona?

Existen diversas maneras en las que se puede lograr esta capa adicional de seguridad. Sin embargo, todos los métodos logran lo mismo y cumplen con ciertas generalidades. El funcionamiento típico de estos sistemas es el siguiente:

Primero, se accede a un servicio o plataforma en línea y se ingresa la contraseña. Este es el primer factor de autenticación. Como por ejemplo, al querer acceder al panel de login de su cuenta cPanel.
A continuación, el servicio en línea solicita un segundo factor de autenticación, que puede ser un código de verificación. Por ejemplo, le pide que ingrese un código numérico que llega a su Google Authenticator que tiene configurado en su teléfono celular.

Finalmente, se proporciona ese segundo factor de autenticación para verificar la identidad del dueño de la cuenta y completar el inicio de sesión.

Tipos de autenticación en dos pasos

Hay varios métodos de autenticación cuando se utiliza la autenticación en dos fases. A continuación, se muestra una lista de las opciones más comunes:

Verificación o código por SMS

La mensajería de texto o SMS se puede utilizar como una forma de autenticación en dos fases cuando se envía un mensaje a un número de teléfono de confianza. El usuario deberá interactuar con el texto o utilizar un código de un solo uso para verificar su identidad en un sitio o una aplicación.

Código al correo electrónico

El correo electrónico como tipo de autenticación de dos pasos consiste en usar la dirección de correo electrónico del usuario, por ejemplo Gmail, como factor de autenticación. Se realiza el envío de un código de verificación, o un enlace de confirmación, al correo electrónico del usuario.

El usuario debe introducir su contraseña más ese código, o hacer clic en ese enlace, para acceder al servicio en línea. Este método es similar al que se hace mediante SMS, pero usa el correo electrónico en lugar del teléfono.

Aplicaciones móviles

Existen algunas aplicaciones móviles que generan un código de verificación desechable, pues es válido generalmente por 30 segundos o 1 minuto. Esta es la opción cada vez más popular, ya que combina practicidad y seguridad.

El usuario debe instalar una aplicación de autenticación en su teléfono que genere los códigos aleatorios sincronizados con el servicio en línea. El ejemplo más conocido de estas aplicaciones es Google Authenticator.

Preguntas de seguridad

Las preguntas de seguridad como tipo de autenticación de dos pasos consisten en usar unas preguntas y respuestas personales que el usuario elige y recuerda como factor para autenticarse.

El usuario debe responder a esas preguntas correctamente, junto con el ingreso de su contraseña, para poder acceder a la plataforma deseada.

Código QR

El método de autenticación mediante un código QR consiste en usar una imagen que contiene un código de barras bidimensional, que se puede escanear con la cámara del teléfono u otro dispositivo. El usuario debe escanear el código QR que se muestra en el servicio en línea, junto con su contraseña, para acceder a la plataforma.

Es rápido y cómodo, ya que no requiere introducir ningún código ni recibir ningún mensaje. Además es fiable, ya que el código QR se genera dinámicamente y solo es válido durante un tiempo limitado.

Notificaciones push

Los métodos de autenticación en dos fases push no requieren ninguna contraseña. Este tipo de 2FA envía una señal al teléfono para aprobar/denegar o aceptar/rechazar el acceso a un sitio web o una aplicación para verificar tu identidad.

Ventajas de activar el doble factor de autenticación

Añade una capa de seguridad extra

La autenticación en dos fases mejora la seguridad y la privacidad de las cuentas y los datos personales, reduciendo el riesgo de robo o suplantación de identidad. Al requerir dos factores de autenticación, se dificulta que un atacante pueda acceder a la cuenta de un usuario solo con conocer o robar su contraseña.

Además, se protegen los datos personales del usuario frente a posibles filtraciones o usos indebidos por parte de terceros.

Permite establecer conexiones seguras

El doble factor de autenticación permite establecer conexiones seguras entre los usuarios y los servicios en línea, al garantizar que solo las personas autorizadas puedan acceder a los recursos o la información que necesitan.

Ayuda a evitar ciberataques

El 2FA ayuda a evitar hackeos, al dificultar que los ciberdelincuentes puedan acceder a los sistemas de información solo con conocer o robar la contraseña de un usuario, por ejemplo a través del método de la fuerza bruta. Al requerir un segundo factor de autenticación, se reduce la probabilidad de que el atacante pueda obtenerlo o suplantarlo.

Fácil de configurar

Otra de las ventajas de los factores de autenticación es que son sencillos de configurar e implementar. En la mayoría de las plataformas, se puede acceder a esta opción siguiendo solo unos sencillos pasos. Se pueden configurar en unos minutos y podemos generalmente elegir cuál tipo de factor de autenticación preferimos.

Evita inicios de sesión desde equipos desconocidos

El 2FA previene el acceso no autorizado a los datos personales de un individuo o a los recursos sensibles o críticos de una organización, como los datos financieros, los sistemas internos o las aplicaciones estratégicas.

Además, se dificulta que un usuario autorizado pueda compartir o reutilizar sus credenciales con otros usuarios no autorizados, lo que puede generar brechas de seguridad o conflictos de responsabilidad.

Conclusión

El doble factor de autenticación es siempre recomendable de aplicar en su servicio de alojamiento; por sobre todas las cosas si valora la seguridad de la información que posee.

Dentro de los servicios que ofrecemos; cPanel da de manera nativa una instancia donde puede configurar el 2FA para su utilización.
Puede ver esto en nuestra guía aquí.

WordPress: Qué es la 2FA o autenticación de dos factores.

El nivel de seguridad de tu WordPress depende de los sistemas que implementes para protegerla y reforzar dicha protección. Con el aumento del forzado automático de contraseñas, la información confidencial de tus usuarios y el acceso a tu sitio están más en riesgo que nunca.

La autenticación de 2 factores, doble factor de autenticación o 2FA, es un paso más para la seguridad de tu WordPress y consiste en agregar una “contraseña” o método adicional a los datos de acceso que normalmente utilizas, y que suelen ser el usuario y la contraseña.

Normalmente, para acceder al panel de administración de WordPress wp-admin, ingresas el nombre de usuario o el email registrado y un password. A los tiempos que corren, y si bien algunos plugins de WordPress y reglas de mod security previenen los intentos de login de amenazas, no es suficiente para proteger tu sitio web.

Qué es la autenticación de 2 factores (2FA) y por qué deberías implementarla en tu sitio de WordPress.

El 2FA se llama doble factor de autenticación porque, además de la contraseña, hace que debas moverte para validar que eres tú quien intenta acceder a tu cuenta o servicio, ingresando un código que se genera dinámicamente. Esto puede ocurrir con un SMS, un WhatsApp, un email con un código y varios métodos más.

En resumen, los beneficios de instalar el two-factor authentication, o 2FA en WordPress son:

Que tus datos estarán más seguros ya que una contraseña débil no será la razón por la que puedan acceder ilegalmente a wp-admin.
Te protegerás contra el fraude: la autenticación de 2FA reduce la probabilidad de que un atacante pueda hacerse pasar por un usuario si tienes un membership site. Tus suscriptores valorarán que los protejas.
Tus páginas y entradas estarán más protegidas: tus notas de blog y páginas de tu web estarán blindadas por 2FA.
Evita grandes dolores de cabeza y ahorra dinero. Si tu WordPress está protegido, no tendrás que gastar dinero en arreglarlo.

Cómo instalar el doble factor de autenticación (2FA) en WordPress.

Para instalar el doble factor de autenticación (2FA) en WordPress no hace falta mucho. Sólo necesitaremos 3 cosas:

El panel administrador de WordPress wp-admin.
Descargar Google Authenticator en tu teléfono o dispositivo móvil.
Instalar el plugin Wordfence Login Security o tener instalado previamente el plugin de seguridad llamado Wordfence.

Configurar 2FA en WordPress si ya tienes instalado el plugin de seguridad Wordfence.

Wordfence está valorado por los usuarios y comunidades de WordPress como uno de los mejores plugins de seguridad.

Dentro de wp-admin, ve a la sección Wordfence, y luego a Login security.

Ahora toma el dispositivo, abre Google Authenticator, haz clic en “+” y elige “Escanear código QR”. Seguido, escanea el código que ves en pantalla y aparecerá Wordfence entre los códigos dinámicos del autenticador.

Copia los códigos de recovery y guárdalos en un lugar seguro por si perdieses tu dispositivo. Luego, ingresa el código que ves en la pantalla de tu dispositivo adentro del campo de texto que ves debajo, y haz clic en Activar o Activate.

Si todo fue bien, verás esta pantalla para que puedas desactivar el 2FA si te arrepientes, o descargues los código de backup por si no lo has hecho aún.

Ahora cierra la sesión e intenta acceder nuevamente a tu WordPress wp-admin. Si todo fue bien, al ingresar el usuario y contraseña, verás esta pantalla que sigue a continuación.

Configurar 2FA en WordPress instalando Wordfence Login Security.

El proceso de configurar el doble factor de autenticación con Wordfence Login Security no es muy diferente.

La diferencia entre los plugins Wordfence Login Security y Wordfence Security es que Wordfence Login Security sólo soluciona el asunto del 2FA en el login, mientras que Wordfence Security es un plugin de seguridad que contempla varios asuntos para proteger tu WordPress.

Instala el plugin Wordfence Login Security y actívalo como lo haces con cualquier plugin.

Ve Login Security dentro del menú principal de wp-admin de WordPress.

Ahora toma el dispositivo, abre Google Authenticator, haz clic en “+” y elige “escanear QR”. Seguido, escanea el código que ves en pantalla y aparecerá Wordfence entre los códigos dinámicos del autenticador.

Si todo fue bien, verás esta pantalla para que puedas desactivar el 2FA si te arrepientes, o descargues los código de respaldo por si lo has olvidado.

Ahora cierra la sesión e intenta acceder nuevamente a tu WordPress wp-admin. Si todo fue bien, al ingresar el usuario y contraseña, verás esta pantalla.

Cómo desactivar el doble factor de autenticación en WordPress.

Tanto si estás usando Wordfence Security para proteger tu sitio de WordPress, como si estás usando el plugin Wordfence Login Security, la forma de desactivar el 2FA es la misma. No te recomendamos que lo hagas a menos que tengas un problema o debas hacerlo temporalmente.

Para desactivar el two factor authentication, ve a Login Security y luego haz clic en Desactivar o Deactivate.

Conclusión.

Activar el doble factor de autenticación o 2FA hará que puedas gestionar tu WordPress más seguro, y que no corras riesgos de que alguien más, o un bot acceda por el sólo hecho de descifrar tu clave. Que tu WordPress esté seguro, no solo depende de los creadores de WordPress, del desarrollador que hayáis elegido, o del proveedor de hosting en sí. Es necesario que tú también pongas tu parte para ayudar a protegerlo.

Nuevo Google Chrome 90 usará HTTPS por defecto

El HTTPS (o ‘Hypertext Transfer Protocol Secure’) es el primo más joven y seguro del HTTP. Realiza la misma función, pero utiliza el cifrado TLS/SSL para proteger las solicitudes y respuestas, en lugar de enviar información en texto plano.

Anteriormente, en Google Chrome, al escribir una URL incompleta en el cuadro multifunción de Chrome (el nombre que da Google a su barra de URL), el navegador cargaba el dominio a través de HTTP. Escribir cualquiercosa.com, por ejemplo, llevaba al usuario a http://cualquiercosa.com.

Sin embargo, a partir de esta nueva actualización 90, Chrome canalizará automáticamente todas las consultas incompletas de URL a la dirección HTTPS correspondiente (por ejemplo, https://cualquiercosa.com), siempre que el sitio web admita este protocolo más nuevo.

¿Sabías que podes agregarle esta seguridad a tu web con nuestro certificado SSL incluído?

Cuando un visitante entra a un sitio con certificado SSL, el certificado crea automáticamente una conexión cifrada entre el servidor y el navegador. Un ícono de candado y el prefijo “https” aparecen en la barra de navegación para indicar que es seguro enviar información personal.

Los planes de Alojamiento Web de SitiosHispanos.Com incluyen certificado SSL para activar en todo momento por cada uno de tus dominios.

Fuente: Techradar

¿Qué podemos hacer con la filtración de datos de Facebook?

Una antigua filtración de datos sigue siendo una filtración de datos, y probablemente aún tendrá que prestarle atención cuando tenga que ver con Facebook, un sitio que la mayoría de la gente ha utilizado en algún momento. Como probablemente ya haya escuchado, una violación de datos pasada que afectó a 500 millones de usuarios de Facebook está circulando una vez más después de que un intruso publicó una gran cantidad de información personal extraída de las cuentas pirateadas. Y a pesar de que el ataque real tuvo lugar hace dos años , aún puede tomar algunas medidas preventivas para asegurarse de que este último incidente no lo afecte mucho.

Para empezar, tómese el tiempo para verificar y ver si sus datos, incluida su dirección de correo electrónico, número de teléfono, nombre y otras características de identificación, aparecen en dicha filtración. Pruebe una de estas opciones para buscar información de identificación diferente que pueda haber sido comprometida:

me han pwned (correo electrónico)
Las noticias de cada día (número de teléfono)
Comprobador de Facebook (número de teléfono)
El volcado de datos sin procesar (todo)

Si su número de teléfono u otros detalles no están expuestos, ¡excelente! Estas bien. Si los datos están expuestos no hay mucho que pueda hacer al respecto, ahora que la información está disponible, pero tenga cuidado porque estos datos podrían usarse en intentos de phishing en otros lugares.

En todo caso, todo el episodio muestra la importancia de utilizar información ficticia siempre que sea posible al registrarse para obtener una cuenta, especialmente en las redes sociales. La ocultación de información está totalmente bajo su control. No sienta que tiene que ceder detalles legítimos sobre su vida.

Para Facebook, eso podría incluir:

No proporcionar ninguna información opcional si no es necesario (su historial educativo, todos los lugares en los que ha vivido, sus intereses, su historial laboral, etc.)
Proporcionar información ficticia cuando se le solicite, como una fecha de nacimiento falsa o un seudónimo.
Usar una dirección de correo electrónico falsa (incluso una ligeramente modificada, como youremail+facebook@gmail.com en lugar de youremail@gmail.com) y un número de teléfono que no sea su número de teléfono real para registrarse en una cuenta. Como antes, guarde estas credenciales en su administrador de contraseñas por si acaso.
Utilice un nombre “real” diferente o una versión ligeramente modificada de su nombre. No use el mismo “nombre de pantalla” o nombre de cuenta en todos sus diferentes servicios.

¿Por qué importa esto? Hace que sea mucho más difícil para los atacantes usar la información obtenida de una violación de datos para afectarlo en otro lugar. Si siempre utiliza información diferente cuando sea posible en los distintos servicios que utiliza, será más difícil para un atacante acceder a su cuenta mediante ingeniería social; simplemente, no sabrá lo suficiente sobre usted en cada servicio.

Fuente: Lifehacker | Traducción: SitiosHispanos.Com

¿Por qué es necesario mantener WordPress actualizado?

Si tu sitio está creado con WordPress, es muy importante que lo actualices con regularidad.

Quizás tu lema sea “si no está roto, no lo arregles”. Para muchas situaciones, esa es una filosofía válida, pero no cuando se trata de WordPress o software en general.

Entonces, ¿por qué necesita actualizar? Te compartimos tres razones y cómo hacerlo.

Seguridad
Corrección de errores
Nuevas funciones y rendimiento mejorado

1. Seguridad

La razón más importante para mantener actualizado su sitio web de WordPress es la seguridad. Más del 30% de todos los sitios web están hechos con WordPress, lo que lo convierte, con mucho, en el CMS (manejador de contenidos) más utilizado del mundo. Debido a su popularidad, WordPress es un objetivo popular para los hackers informáticos y los distribuidores de códigos maliciosos.

Cada actualización de WordPress incluye notas de la versión, que enumeran lo que se ha corregido y cambiado en esta actualización. Los hackers informáticos leen las notas de la versión y luego intentan explotarlas buscando sitios que aún no se hayan actualizado. Si su sitio se ejecuta en una versión anterior de WordPress, esto significa que tiene vulnerabilidades conocidas.

¡No olvides tus plugins y tema!

Además de la instalación principal, también se pueden explotar complementos y temas. Así que asegúrese de actualizarlos también.

2. Corrección de errores

Todo el software tiene errores, WordPress también. Los errores hacen que el software se comporte de forma no intencionada. Pudiendo causar errores extraños o hacer que las cosas se bloqueen. Para asegurarse de que su sitio web siga funcionando sin problemas, es esencial implementar estas correcciones.

3. Nuevas funciones y rendimiento mejorado

WordPress nunca se termina y se mejora continuamente. Cada versión importante contiene nuevas funciones y mejoras de rendimiento.

Además de la instalación principal de WordPress, los plugins y temas también se actualizan continuamente.

¿Cómo actualizar?

Video: SitiosHispanos.Com | Fuente del texto: One.com