Con los mejores plugins 2FA para WordPress es fácil pasar por alto la importancia de utilizar contraseñas fuertes y seguras. Para los sitios web y aplicaciones necesitas sólida seguridad para evitar hurtos de información. En una época de grandes filtraciones de datos, en la que comprobar si has sido manipulado es una necesidad, nadie puede afirmar que está exento de riesgos de seguridad potencialmente de gran alcance.
¿Qué es la autenticación de dos factores (2FA)?
¿Has olvidado en algún momento las contraseñas de sitios como Google o Amazon? Cuando intentaste restablecerlo, te solicitan verificar dos veces tu identidad. Ello usando una frase memorable o enviando un código PIN al teléfono móvil. Esta es la implementación básica de la verificación de dos factores.
Básico en el sentido de que solo debes verificar tu identidad dos veces después de perder el acceso a su cuenta.
Un enfoque más sólido y seguro es garantizar que cada intento de inicio de sesión esté protegido por la verificación de dos factores.
Los métodos populares que se emplean para la autenticación de dos factores incluyen:
- Direcciones de correo electrónico externos.
- Uso del móvil para acceder a algún código de seguridad.
- Tokens basados en Hardware.
- Frases memorables (aparte de las contraseñas).
Afortunadamente, hay una gran cantidad de complementos de WordPress disponibles que brindan soluciones de autenticación de dos factores. Algunos servicios de usuario de complementos como la autenticación de Google o Authy. Otros implementan métodos completamente diferentes, como la verificación de correo electrónico y las notificaciones automáticas personalizadas.
Llegaremos a los complementos en breve, pero antes de hacerlo, comprendamos por qué 2FA juega un papel importante en la seguridad de WordPress.
Wordfence
El escáner de seguridad y cortafuegos con más popularidad para WordPress. Incluye el firewall de punto final y el escáner de malware, para proteger WordPress, que es la ventaja de Wordfence. Este feed de defensa arma a WordPress contra amenazas con las reglas del firewall más recientes.
Las direcciones de IP maliciosa y las firmas de malware es lo que necesitas para tener el sitio web seguro. Completado por 2FA y un conjunto de características adicionales, Wordfence es la solución de seguridad de WordPress más completa disponible.
Cortafuegos de WordPress
- La aplicación Web Firewall identifica y bloquea el tráfico malicioso. Construido y mantenido por un gran equipo enfocado 100% en la seguridad de WordPress.
- Para el plan Premium las reglas de firewall en tiempo real y actualizaciones de firmas de malware son a través de Threat Defense Feed. La versión gratuita se retrasa 30 días.
- Para el plan Premium la lista de bloqueo de IP en tiempo real bloquea todas las solicitudes de las IP más maliciosas. De esa forma estarás protegiendo tu sitio mientras se reduce la carga.
- Una integración más profunda con WordPress a la hora de proteger tu sitio en el punto final. A diferencia de las alternativas en la nube no rompe el cifrado, no se puede eludir y no puede filtrar datos.
Además de las características anteriores se bloquean las solicitudes que tienen contenido o códigos maliciosos desde el escáner de malware integrado. Por último, protege contra los ataques de fuerza bruta que limiten los intentos de inicio de sesión.
Escáner de seguridad WordPress
- El escáner de malware verifica los archivos principales, los temas y los complementos. Con ello buscará malware, URL incorrectas, puertas traseras, spam de SEO, redireccionamientos maliciosos e inyecciones de código.
- Para el plan Premium las actualizaciones de firmas de malware se realizan en tiempo real a través de Threat Defense Feed. La versión gratuita se retrasa 30 días.
- Compara tus archivos principales, temas y complementos con lo que hay en el repositorio de org. Verifica tu integridad e informará cualquier cambio.
- Puedes reparar los archivos que han cambiado sobrescribiéndolos con una versión original impecable. Elimina cualquier archivo que no pertenezca fácilmente a la interfaz de Wordfence.
- Comprueba tu sitio en busca de vulnerabilidades de seguridad desconocidas y te alerta de cualquier problema en tu página. También te avisará sobre posibles problemas de seguridad en WorPress cuando se cierra o abandona un complemento.
- Comprueba la seguridad de tu página. Mediante el escaneo de los contenidos de los archivos, las publicaciones y los comentarios en busca de URL peligrosas.
- Para el plan Premium puedes verificar si tu sitio o IP han sido bloqueados por actividad maliciosa, generación de spam u otro problema.
Seguridad de inicio de sesión
- Autenticación de dos factores (2FA). Una de las formas más seguras de autenticación de sistemas remotos disponibles. Todo ello a través de cualquier aplicación o servicio de autenticación basado en TOTP.
- Con la página de inicio de sesión CAPTCHA, lograrás evitar que los bots inicien sesión.
- Puedes deshabilitar o agregar 2FA a XML-RPC.
En líneas generales podrás bloquear los inicios de sesión de los administradores que utilicen contraseñas comprometidas conocidas.
Central de Wordfence
Wordfence Central es una forma eficaz y eficiente de administrar la seguridad de múltiples sitios en un solo lugar. Con ello, podrás evaluar eficientemente el estado de seguridad de todos los sitios web en una sola vista. También verás hallazgos de seguridad detallados sin salir de Wordfence Central.
Las potentes plantillas hacen que la configuración de Wordfence sea muy sencilla.
Las alertas, las cuales son altamente configurables, pueden enviarse mediante el correo electrónico, Slack o SMS. Con ello puedes mejorar la relación ruido/señal aprovechando las opciones del nivel de gravedad. También tienes el acceso a las opciones de resumen diario.
Rastrea y alerta sobre eventos de seguridad importantes. Incluidos inicios de sesión de administrador, uso de contraseñas violadas y aumentos repentinos en la actividad de ataque. El plugin 2FA es de uso gratuito para sitios ilimitados.
Herramientas de seguridad
Con Live Traffic, monitorea las visitas y los intentos de pirateo. Inclusive aquellos que no se muestran en otros paquetes de análisis en tiempo real. Incluido el origen, su dirección IP, la hora del día y el tiempo que pasó en su sitio.
Bloquea a los atacantes por IP o crea reglas avanzadas basadas en el rango de IP. Notarás las características principales como el nombre de host, el agente de usuario y el remitente. También emitirás bloqueo de países disponible con Wordfence Premium.
Dúo Security
Duo Security proporciona autenticación de dos factores. Utiliza el plugin 2fa para WordPress como un servicio para proteger contra la usurpación de cuentas y el robo de datos. Usando el complemento Duo, puedes agregar fácilmente la autenticación de dos factores Duo a tu sitio web de WordPress. Tan solo te llevará unos minutos.
Es más que una opción para confiar solo en una contraseña, que puede ser suplantada o adivinada. El servicio de autenticación de Duo agrega una segunda capa de seguridad a tus cuentas de WordPress. Duo permite que sus administradores o usuarios verifiquen sus identidades usando algo que tienen. Entre ellos, su teléfono móvil o un token de hardware. Lo que proporciona una autenticación sólida y mejora drásticamente la seguridad de la cuenta.
Duo es fácil de configurar y usar. Con Duo no hay hardware adicional ni software complicado para instalar. Solamente tendrás que registrarte en el servicio de Duo e instalar el plugin. Luego, puedes establecer las funciones de usuario para las que deseas habilitar la autenticación de dos factores. Contarás con la seguridad en un amplio repertorio (administradores, editores, autores, colaboradores y/o suscriptores). Todo ello sin configurar cuentas de usuario, sincronización de directorios, servidores o hardware.
Cuando inician sesión, los usuarios tienen varias formas de autenticarse, que incluyen:
- Autenticación con un solo toque usando la aplicación móvil de Duo (la forma más rápida y fácil de autenticar).
- Códigos de acceso generados, únicamente, por la aplicación móvil de Duo (funciona incluso sin cobertura celular).
- Códigos de acceso únicos enviados a cualquier teléfono habilitado para SMS (funciona incluso sin cobertura celular).
- Devolución de llamada telefónica a cualquier teléfono (móvil o fijo).
- Códigos de acceso únicos generados por un token de hardware compatible con OATH (si te sientes como en la vieja escuela).
Puedes proteger tus sitios web de WordPress en minutos con Duo.
Keyy
Keyy te brinda autenticación de 2 factores con una diferencia. Reemplaza las contraseñas con criptografía de clave pública RSA sofisticada. Lo que da como resultado una mayor seguridad y una mejor experiencia de usuario.
Con Keyy dejarás de escribir:
- Nombres de usuario.
- Contraseñas.
- Contraseñas de otros tokens 2FA o de un solo uso.
En cambio, los usuarios inician sesión simplemente usando su teléfono móvil. El procedimiento suele ser sumamente fácil. Para ello, solamente seguirás los siguientes pasos.
- Instala la aplicación Keyy en tu teléfono móvil. La misma se encuentra disponible a través de Android o iOS (iPhone / iPad / iPod).
- Asegura la aplicación usando una huella digital o un PIN de 4 números.
- Para iniciar sesión, abre la aplicación y apunta al código que se muestra en la pantalla.
Keyy brinda acceso, con un clic, a todos sus sitios web de WordPress simultáneamente.
Seguridad
Keyy se ha construido sobre la criptografía de clave pública RSA, que es la misma tecnología probada que subyace a los sitios web seguros (SSL), así como muchos otros estándares de la industria.
Se trata de una clave de 2048 bits RSA digital. La misma se almacena y se crea en el teléfono móvil del usuario. Keyy no mantiene una base de datos central de perfil de usuario y detalles de inicio de sesión.
Por ello, no depende de terceros. La clave digital está asegurada en Android Keystore o Apple Keychain. Solo es accesible a través del teléfono móvil de cada usuario los cuales se encuentran protegidos por un escaneo de huellas dactilares o un PIN de 6 dígitos. Por lo que los datos permanecen seguros incluso si el teléfono se pierde o es robado.
Debido a que no usa contraseñas, Keyy protege contra una gran cantidad de ataques comunes de robo de contraseñas:
- Fuerza bruta.
- Credenciales débiles.
- Registro de claves.
- Reutilización de contraseña.
- hombro-surf.
- Rastreo de conexión.
Al momento de fortalecer la seguridad de cada una de las cuentas, también mantienes segura toda la red.
Características de Keyy
- Puedes iniciar sesión escaneando un código con tu teléfono móvil (u otro dispositivo) sin necesidad de recordar las contraseñas.
- Cifrado RSA estándar de la industria (claves asimétricas). Tus claves de inicio de sesión se alojarán en tu teléfono. No habrá acceso por la puerta trasera, ni siquiera para los desarrolladores.
- Sin punto central de falla. La instrucción para el inicio de sesión (la cual estará firmada por tu clave privada y única) irá directamente desde su teléfono móvil hasta el sitio web. Por ello, ningún servidor de terceros se encontrará involucrado. No te bloquean si el servidor de otra persona está caído.
- URL secreta para desactivar Keyy. Ten esto en consideración y almacena de forma segura esta URL cuando configures. Y si pierdes tu teléfono, puedes usarlo para iniciar sesión usando el mecanismo ordinario de nombre de usuario/contraseña de WordPress.
Si pierdes tu teléfono, también puedes desactivar el complemento a través de la cuenta de alojamiento web. Es decir, no puedes desconectarte permanentemente si aún tiene acceso a su instalación de WordPress. Esto último es a través de tu alojamiento web.
CARACTERÍSTICAS PREMIUM
La versión Premium para el complemento, agregará las siguientes características adicionales:
- Posibilidad de elegir si se requiere una contraseña además de, o en lugar de, un escaneo.
- Capacidad para que los administradores impongan políticas de escaneo/contraseña a los usuarios (p. ej., todos los editores requieren ambas).
- Los códigos de escaneo también aparecerán, en los formularios de inicio de sesión de WooCommerce y Affiliates-WP. También podrás observarlos en los widgets Theme My Login. Por último, en los formularios de inicio de sesión secundarios.
- Modo sigiloso. Oculta la imagen de escaneo Keyy hasta que el usuario presione una tecla para revelarla.
- Oculta los campos de nombre de usuario/contraseña que requiere Keyy para todos los usuarios.
- Contacto masivo de todos los usuarios con un código de escaneo de conexión. Será útil cuando se requiere Keyy de todos los usuarios.
- Capacidad para que los administradores vean y anulen la configuración de un usuario específico.
- Las páginas de administración de Keyy no muestran información sobre otros productos de su familia de productos.
- Posibilidad de personalizar/marcar el «¿Qué es esto?» como mensaje.
- Acceso a canales de soporte Premium.
Google Authenticator: dos factores (WP 2FA / OTP)
Proporciona un inicio de sesión seguro en WordPress. Este complemento se puede configurar para cualquier método de inicio de sesión 2fa basado en TOTP/OTP como Duo/Microsoft/Google Authenticator. Admite métodos 2fa basados en inicio de sesión OTP.
Los usuarios no requerirán de acceso al panel de WordPress para configurar 2FA.
Autenticador de Google: Verificación en dos pasos/Autenticación de dos factores/ WP 2FA
- Autenticación de código QR, notificación automática, token suave y preguntas de seguridad (KBA) para autenticación multifactor (WP 2FA/MFA).
- Soporte de traducción de idiomas.
- Perfil de usuario 2FA. Los administradores pueden configurar dos factores (2FA) de usuarios a través de la sección de usuarios de WordPress.
- Autenticación multifactorial (MFA). Esta característica se puede usar para invocar cualquier método de dos factores al iniciar sesión. Su uso se encuentra entre los múltiples métodos que se configuraron. Puedes configurar varios métodos 2FA basados en TOTP/OTP Login que se pueden usar como método 2fa de respaldo.
- Autenticación de dos factores (TFA/2FA). Su uso será para formularios de inicio de sesión de Ajax como User Pro, inicio de sesión con ajax, Theme my login, entre otros.
- Inicio de sesión sin contraseña e inicio de sesión con número de teléfono.
Impide el uso compartido de cuentas
Google Authenticator (WP 2FA) es un método basado en el inicio de sesión de OTP. Lo que impide que los usuarios compartan las credenciales de inicio de sesión de WordPress y ayuda a proteger los sitios web. El complemento de autenticación de Google también agrega una función de control de sesión. Control que limita las sesiones de los usuarios en función de las actividades de los usuarios de WordPress.
- Este plugin es compatible con TOTP estándar.
- La autenticación de dos factores (WP 2FA/TFA) permite la autenticación en la propia página de inicio de sesión para Google Authenticator. También permite la autenticación para miniOrange Soft Toke.
- 3 usuarios gratis de por vida.
- Múltiples opciones de inicio de sesión. Nombre de usuario + contraseña + dos factores (o) Nombre de usuario + dos factores. Es decir, inicio de sesión sin contraseña/Inicio de sesión sin contraseña/Autenticación sin contraseña.
- Códigos de recuperación en caso de que estés bloqueado para toda la autenticación de dos factores (WP 2FA/TFA).
- Verificación móvil. Verificación en dos pasos (WP 2FA/TFA) utilizando métodos de autenticación como Google Authenticator, autenticación de código QR, entre otros tantos.
Aplicaciones compatibles con (2FA/MFA)
- Autenticador de Google.
- Autenticador miniOrange.
- Autenticador dúo.
- Autenticador de Microsoft.
- Autenticador de 2 factores Authy.
- Autenticador de LastPass.
- Autenticador FreeOTP.
- Mantenido y respaldado por miniOrange.
Este plugin es un experto en el campo de la seguridad. Los mismos han lanzado soluciones avanzadas de WordPress como Password Policy Manager.
Aparte de esto, también poseen Broken Link Checker. Con ello pueden detectar y reparar los enlaces rotos para mantener su sitio funcionando sin problemas.
Verificación de identidad de usuario o autenticación multifactor con Google Authenticator
Inicio de sesión y registro. Verifica a los usuarios al iniciar sesión con diferentes métodos de inicio de sesión TOTP. Así como otros métodos OTP/2fa como OTP por SMS, OTP por correo electrónico, OTP por Telegram, Google Authenticator, Verificación por SMS, Verificación por correo electrónico, Authy Authenticator, Duo Authenticator, Microsoft Authenticator, Autenticador basado en TOTP, preguntas de seguridad y muchos otros.
Los usuarios recibirán una OTP en el momento del registro que se utilizará para verificar su identidad. La autenticación OTP se puede realizar mediante cualquiera de los métodos de inicio de sesión de OTP. Bien sea OTP por correo electrónico o mediante OTP por SMS.
Integraciones de complementos y soporte para todos los métodos 2FA
El plugin está integrado con complementos populares como:
- WooCommerce.
- Ultimate Member.
- Registro de usuario.
- Restringir contenido Pro.
- Login Press.
- Registration Magic.
- Admin Custom Login.
- Buddy Press.
- Theme My Login.
- Elementor Pro.
- Profile Builder.
- Login With Ajax.
El plugin premium es compatible con cualquier SMS Gateway personalizado de terceros. Si no tienes tu puerta de enlace SMS, puede usar la puerta de enlace miniOrange y enviar SMS OTP sobre SMS. Dicha acción podrás hacerla en todo el mundo para la autenticación OTP.
¿Por qué necesitas registrarte para el autenticador de Google?
El autenticador de Google utiliza las API de miniOrange para comunicarse entre su WP y miniOrange. Para mantener esta comunicación segura, se solicita el registro y asignación de claves API específicas para su cuenta. Así, solo se puede acceder a la cuenta y llamadas de los usuarios mediante las claves API que has asignado.
Google Authenticator (WP 2FA – Autenticación de dos factores) funciones de complemento todo incluido
- Google Authenticator. Autenticación de dos factores (WP 2FA/TFA) para todos los usuarios y todas las funciones de usuario (precios basados en el sitio).
- Métodos de autenticación de dos factores. Google Authenticator, Authy Authenticator, Microsoft Authenticator, LastPass Authenticator, preguntas de seguridad, autenticación OTP (OTP por correo electrónico y OTP por SMS), verificación de correo electrónico, verificación móvil (los créditos de SMS deben comprarse según la necesidad).
- Múltiples opciones de inicio de sesión: Nombre de usuario + contraseña + dos factores (o) Nombre de usuario + dos factores, es decir, inicio de sesión sin contraseña/Inicio de sesión sin contraseña/Autenticación sin contraseña. Puedes optar entre una contraseña y 2FA o solo un segundo factor.
- Transacciones de correo electrónico ilimitadas.
- Método de copia de seguridad. KBA (preguntas de seguridad), OTP por correo electrónico, códigos de copia de seguridad.
- Redirección basada en roles de usuario después de iniciar sesión.
- Personalizar el nombre de la cuenta en la aplicación Google Authenticator.
- Preguntas de seguridad personalizadas (KBA).
- 2 factores basados en roles.
- Forzar dos factores para los usuarios.
- Notificación por correo electrónico a los usuarios pidiéndoles que configuren la autenticación de dos factores (WP 2FA/TFA).
- Establecer política de privacidad para los usuarios.
- Recuerde mantener el dispositivo para omitir 2FA.
La ventana emergente de interfaz de usuario de inicio de sesión personalizable. Otra función con el plugin de autenticación de Googlees que puedes personalizar la interfaz de usuario de la ventana emergente de inicio de sesión según tus preferencias. Compatible con multisitio.
Características del complemento empresarial de Google Authenticator (WP 2FA/OTP)
- Google Authenticator – Autenticación de dos factores – 2FA para usuarios según la actualización (precios basados en el usuario).
Métodos de autenticación disponibles:
- Google Authenticator.
- Authy Authenticator.
- Microsoft Authenticator.
- LastPass Authenticator.
- QR Code.
- Push Notification.
- Soft Token.
- Security Questions (KBA).
- Autenticación OTP (OTP por correo electrónico, OTP por SMS o OTP por SMS y correo electrónico).
- Correo electrónico Verificación.
- Token de hardware. (Se deben comprar créditos de SMS y correo electrónico para una autenticación OTP exitosa según la necesidad).
Múltiples opciones de inicio de sesión como la ecuación nombre de usuario + contraseña + autenticación de dos factores (2FA). Por otro lado, nombre de usuario + autenticación de dos factores (2FA). Es decir, inicio de sesión sin contraseña.
Métodos de copia de seguridad. KBA (preguntas de seguridad), OTP por correo electrónico y códigos de copia de seguridad.
- Sincroniza 2FA para múltiples sitios web.
- Compatible con múltiples sitios para todos los métodos 2FA de WordPress.
- Notificación por correo electrónico a los usuarios solicitándoles que configuren Google Authenticator: autenticación de dos factores (WP 2FA/TFA).
- Redirección basada en roles de usuario después de iniciar sesión. Preguntas de seguridad personalizadas (KBA). Nombre de cuenta personalizable en la aplicación Google Authenticator.
- Habilitada la autenticación de dos factores (WP 2FA/OTP) para usuarios/roles de usuario específicos.
- Elección de métodos 2FA específicos para usuarios.
- Complementos incluidos: RBA y complemento de administración de dispositivos confiables, complemento de personalización y complemento de códigos cortos.
- Prevención de ataques de fuerza bruta, bloqueo de IP y monitoreo de inicio de sesión de usuario.
- Protección de archivos y contraseña segura.
Po último, podrás realizar el monitoreo de Google Authenticator actual. Así como otro método de autenticación de dos factores de todos los usuarios en el complemento. La restricción de sesión también es una característica a considerar.
Plugins para autenticación de dos factores (WP 2FA/OTP)
- RBA y funciones adicionales de administración de dispositivos confiables para la autenticación de dos factores (inicio de sesión WP 2FA/OTP).
- Recuerda tener el dispositivo para omitir la autenticación de dos factores (2 Factor) de los dispositivos no confiables.
- Establecer el límite de dispositivos para que los usuarios inicien sesión.
- Funciones complementarias de personalización para tus páginas de autenticación de dos factores/autenticación OTP.
- IU personalizada de ventanas emergentes de autenticación de dos factores (WP 2FA/TFA).
- Plantillas personalizadas de correo electrónico y SMS.
- Personalización del logotipo ‘Powered by’ en la página de autenticación WP 2FA.
- Personalizar icono de complemento.
- Personalizar el nombre del complemento.
- Funciones adicionales de códigos cortos para la autenticación de dos factores (2FA/MFA).
- Activar/desactivar 2 factores (autenticación de dos factores) por usuario.
- Reconfiguración de métodos 2FA.
- Habilitar el recordatorio de dispositivo desde formulario de inicio de sesión personalizado para omitir el factor 2 para dispositivos confiables.
- ShortCodes bajo demanda para funcionalidades específicas. Funciona para habilitar WordPress 2FA (autenticación de dos factores) para páginas específicas.
- Restricción de dispositivos con webauthn/ FIDO2.
- La autenticación sin contraseña es posible con WebAuthn.
Gracias a las características generales del plugin 2FA de Google la navegación será más sencilla. Aunque dicha recomendación será par personas avanzadas en la informática y utilización de plugins para WordPress.
¿Por qué la importancia de 2FA para la seguridad de WordPress?
Al momento de escribir esta publicación, WordPress es utilizado por más del 32% de los sitios web en la Internet. Esa es una asombrosa cuota de mercado del 60% entre todos los sistemas de gestión de contenido conocidos.
Es una estadística impresionante, pero tiene una desventaja importante. Hace que WordPress sea un objetivo principal para los piratas informáticos y los expertos en seguridad con intenciones maliciosas.
Los usos más comunes de los sitios de WordPress pirateados incluyen:
- El spam de SEO (que puede afectar su clasificación a largo plazo).
- El envío de correos electrónicos maliciosos.
- El robo de datos de usuarios.
- La realización de redireccionamientos maliciosos.
Y solo existe una cosa para proteger tu sitio contra este tipo de actividad maliciosa, y es tu contraseña.
A menos, por supuesto, que busques activamente soluciones de seguridad como la autenticación de dos factores. Con 2FA, puedes asegurarte de que siempre recibas una notificación de actividad inusual como demasiados intentos de inicio de sesión. O, en el peor de los casos, una notificación de que alguien ha iniciado sesión en tu cuenta y notificaciones mientras no estás trabajando activamente en tu sitio laboral.
Conclusión
Los plugins 2FA para WordPress presentan la ventaja de seguridad en todos los niveles al cual los necesites utilizar. Las opciones estarán determinadas por las membresías, pagos y actualizaciones constantes.
Mejorar la seguridad para las páginas WordPress evitará pérdidas de valiosa información.