Consejo de seguridad de WordPress: Añadir la verificación en dos pasos de Google Authenticator

Confiar únicamente en las contraseñas para proteger tu sitio web ya es bastante difícil para mantener alejados a los hackers y a los usuarios no autorizados. Pero la buena noticia es que si utilizas la función de verificación en dos pasos de Google Authenticator, puedes añadir una capa adicional de protección para que tu sitio web sea más seguro.

¿Qué es la aplicación Google Authenticator y por qué la necesita para su sitio web WordPress?

Autenticador de Google Se trata de una aplicación móvil que añade una segunda capa de autenticación cada vez que inicias sesión en una aplicación o sitio web de terceros, como WordPress. Pero las contraseñas a veces pueden ser descifradas. Si utilizas la misma contraseña en varios sitios web, un fallo de seguridad en uno de ellos puede poner en peligro tus otras cuentas. A veces, uno no se molesta en cambiar la contraseña ni siquiera después de recibir un correo electrónico sobre un fallo de seguridad en un sitio web importante.

La autenticación en dos pasos está diseñada para resolver este problema. Aunque un hacker conozca tu nombre de usuario y contraseña de WordPress, no podrá iniciar sesión en tu sitio a menos que también disponga de ese código de seguridad aleatorio generado por Google Authenticator. Como tu blog está conectado directamente a tu teléfono móvil, sólo tú puedes obtener el código de seguridad único que necesitas para iniciar sesión cada vez. Este código de seguridad caduca al cabo de un tiempo, lo que lo hace aún más seguro.

De hecho, Google Authenticator es sólo una de las muchas aplicaciones móviles que pueden proporcionar autenticación de dos factores (también conocida como 2FA). Genera una contraseña basada en el tiempo que sirve como segunda verificación al iniciar sesión en una cuenta.

Atención: Google Authenticator sólo está disponible para dispositivos iOS, Android, Windows Phone, webOS, PalmOS y BlackBerry. Esto significa que necesita un smartphone para iniciar sesión en su sitio web.

Cómo añadir Google Authenticator en WordPress

Lo primero que hay que hacer es instalar la aplicación Google Authenticator en el teléfono. En este artículo utilizaremos la terminología de iOS, pero el proceso es prácticamente el mismo para otros dispositivos.

Paso 1: Instala la aplicación Google Authenticator en tu teléfono

Visita la App Store, busca "Google Authenticator" y haz clic en "Instalar" para obtener la aplicación.

Ahora, volvamos al panel de WordPress.

Paso 2: Instalar el plugin Google Authenticator de MiniOrange

Continuar la instalación y la activaciónPlugin Google Authenticator para MiniOrange.

Se trata de un plugin gratuito para WordPress que mejora la seguridad de su sitio web e impide que otras personas accedan a él sin permiso. Cada vez que quieras iniciar sesión en WordPress, se te pedirá que introduzcas una contraseña de un solo uso desde la aplicación Google Authenticator para confirmar tu identidad. Una vez que haya instalado y activado el plugin, se le guiará a través de la configuración. Todo lo que tienes que hacer es seguir los pasos para configurar la autenticación de dos factores de Google Authenticator en WordPress, es muy sencillo.

Paso 3: Completar el asistente de configuración

Haga clic en el botón "¡Empecemos! .

A continuación, se le preguntará si desea configurar 2FA después de su primer inicio de sesión o en el salpicadero plugin. cualquiera de los dos métodos está bien.

Haga clic en "Continuar configuración".

El siguiente paso es seleccionar a quién se aplicará 2FA. Puede seleccionar a todos los usuarios para obtener la máxima seguridad o aplicarlo sólo a determinados roles de usuario.

A continuación, haga clic en "Continuar con la configuración".

Por último, el sistema le preguntará si desea aplicar la 2FA de forma inmediata y directa o dar al usuario un periodo de gracia. Si elige dar al usuario un periodo de gracia, puede seleccionar un periodo de gracia (en horas y días). Cuando haya terminado, haga clic en "Finalizar todo".

Ahora que has completado el proceso de configuración, puedes decidir si quieres configurar la 2FA inmediatamente o más tarde por tu cuenta.

Continúe y haga clic en el botón "Configurar 2FA para usted".

Aquí, se le pedirá que introduzca el método de autenticación de dos factores que desea añadir a su sitio de WordPress. En este caso, hemos elegido "Google/Microsoft/Authy Authenticator". A continuación, haga clic en el botón "Guardar y continuar".

A continuación, el sistema le pedirá que escanee el código de barras que aparece en la pantalla. En este punto, debe abrir la aplicación Google Authenticator en su teléfono y escanear el código de barras que se muestra.

En la aplicación Google Authenticator de tu dispositivo móvil, toca el icono "+" de la parte inferior y selecciona "Escanear código QR". A continuación, apunta la cámara del teléfono a la pantalla del ordenador para escanear el código de barras.

A partir de aquí, la contraseña de un solo uso (OTP) aparecerá en su teléfono. Introdúzcala en el paso 2 en su ordenador. A partir de ahí, puede hacer clic en "Guardar y continuar".

Ahora debería recibir un mensaje indicando que la autenticación de dos factores se ha configurado correctamente. Solo tiene que seleccionar Configuración avanzada.

Paso 4: Añadir una pregunta de seguridad

Además de utilizar Google Authenticator para la autenticación de dos factores, también puedes considerar la posibilidad de añadir algunas preguntas de seguridad. De esta forma, aunque no puedas abrir la aplicación Google Authenticator, podrás iniciar sesión en tu sitio de WordPress siempre que puedas responder correctamente a estas preguntas que tú mismo has configurado.

Para configurar estas preguntas, todo lo que tienes que hacer es ir a la página de Dos Factores en Mini Orange 2-Factor en la interfaz de administración de WordPress. A continuación, en la sección "Configurar 2FA para mí", busca el método "Preguntas de seguridad" y haz clic en "Reconfigurar".

No olvides que hay muchos otros métodos de autenticación de dos factores entre los que elegir además de Google Authenticator, como recibir una contraseña de un solo uso por correo electrónico o SMS, o utilizar Telegraph OTP, o incluso Duo Authenticator.Puedes configurarlo como mejor te convenga.

A continuación, se pueden seleccionar hasta tres preguntas de seguridad. Dos de ellas pueden seleccionarse en el menú desplegable, y la tercera es una pregunta personalizada que puedes hacerte tú mismo.

A continuación, introduzca las respuestas a cada pregunta y pulse el botón "Guardar".

Paso 5: Pruébelo usted mismo

Una vez que todo esté configurado, puede probarlo usted mismo. Simplemente cierre la sesión en el panel de WordPress e intente volver a iniciarla.

Ahora, se le llevará a una página donde puede responder a las preguntas de seguridad o introducir una contraseña de un solo uso utilizando Google Authenticator. Continúa y selecciona la opción "Google Authenticator".

En esta página, se te pedirá que introduzcas la OTP de la aplicación Google Authenticator. Introduce el código y haz clic en Verificar.

Ahora, vuelve al panel de administración de WordPress como de costumbre.

Por último, se recomienda que todo el mundo habilite la verificación en dos pasos en su cuenta de Google. También se puede configurar mediante Google Authenticator, como se muestra en nuestra webgate.