Doble factor de autenticación en WordPress

Aprende a duplicar la seguridad para acceder al backend de WordPress implementando un doble factor de autenticación de una forma súper sencilla.

Foto del autor

Juanma Aranda

2 comentarios

5 minutos de lectura
doble factor de autenticación en WordPress

Colaboran con este sitio web:

En el artículo de la semana pasada te explicaba cómo cambiar la URL de acceso al backend de WordPress para reducir los ataques de fuerza bruta. En esta ocasión te cuento una nueva opción para reforzar las medidas de seguridad en el acceso: el doble factor de atenticación en WordPress.

¿Qué es el doble factor de autenticación?

Contado de una forma muy sencilla, se trata de una segunda capa de seguridad que se añade en la identificación del acceso a determinadas aplicaciones.

Este método es cada vez más utilizado por las entidades bancarias a la hora de realizar operaciones o pagos con tarjeta.

En estos casos, el banco suele enviar un SMS al dispositivo móvil del titular de la cuenta/tarjeta con una clave de seguridad (de un solo uso) que debe introducir en la plataforma para confirmar su aceptación con el cargo.

En realidad, el método de confirmación puede ser distinto dependiendo del caso: un SMS, un correo electrónico, huella digital, tarjeta de coordenadas, etc

Doble factor de autenticación en WordPress

En el caso de WordPress, el método de acceso por defecto al back end se realiza introduciendo un usuario (o email) y una contraseña.

Este método deja de ser cada vez más seguro, por lo que te recomiendo que implementes un doble factor de autenticación como te explico a continuación

Instalación del plugin

Aunque hay algunos plugins de seguridad «todo en uno» que ya traen esta opción incluida, existen distintos plugins en el repositorio de WordPress dedicados exclusivamente a activar esta opción.

Este es uno de los plugins más utilizados. Aunque algunas de las opciones solo están disponibles en la versión Premium, las opciones básicas para establecer la barrera están disponibles en la versión gratuita.

Una vez instalado y activado el plugin, te aparecerán dos nuevas opciones en el menú de administración:

  • Ajustes > Two Factor Authentication
  • Identificación de dos factores

Establecer perfiles

Si haces clic sobre la primera opción, te aparecerá una pantalla como esta. Aquí puedes establecer qué perfiles de usuario serán los que tengan establecido el doble factor de autenticación para acceder a WordPress.

doble factor de autenticación en WordPress
Panel de administración del plugin

Una vez seleccionados simplemente debes hacer clic sobre el botón de guardar cambios.

Descargar Google Authenticator

Este plugin funciona de una forma muy sencilla. Lo único que debes hacer es descargar una APP en tu dispositivo móvil y sincronizarla con tu cuenta de WordPress.

Aunque es válida cualquier APP preparada para este doble factor de autenticación, mi recomendación es que instales Google Authenticator.

Activar la doble autenticación en WordPress

Para activarlo, simplemente haz clic sobre «Identificación de dos factores» en el menú de administración y te aparecerá una pantalla como esta:

doble factor de autenticación en WordPress
Panel de ajustes del plugin 2FA
  1. En esta opción simplemente activa/desactiva la doble autenticación para los roles de usuario que has determinado en el paso anterior.
  2. Este es el código QR que tendrás que escanear desde la APP de tu dispositivo móvil para emparejarla con tu cuenta de WordPress.

Emparejar la APP de tu móvil

doble factor de autenticación en WordPress

Nada más instalar Google Authenticator, te pedirá que añadas los datos para emparejar, en una pantalla como esta.

Puedes activar la cámara de tu dispositivo y apuntar hacia el código QR que tienes en la pantalla de WordPress.

O también tienes la opción de introducir manualmente la clave que aparece junto al mismo código.

doble factor de autenticación en WordPress

Al detectar el código, inmediatamente te aparecerá un mensaje como el de la imagen, confirmando que se ha añadido la cuenta de WordPress a Google Authenticator.

Al mismo tiempo verás que se va generando cada pocos segundos una clave aleatoria compuesta por 6 cifras (en dos bloques de tres).

En el momento que intentes acceder al backend de WordPress, después de introducir tu email y contraseña como hasta ahora, te pedirá que introduzcas la clave que aparece justo en ese momento en tu dispositivo móvil.

Si lo haces de forma correcta, accederás al backend de WordPress automáticamente.

¿Qué ocurre si pierdes tu móvil?

Posiblemente también te hayas preguntado qué ocurrirá si un día pierdes el dispositivo móvil donde tienes instalado la APP o, por algún motivo, esta deja de funcionar.

En este caso tienes dos opciones:

  • Acceder por FTP o el administrador de archivos de CPanel y renombrar la carpeta del plugin Two Factor Authentication. De esta forma el plugin se desactivará.
  • Acceder por FTP o a través del CPanel al archivo wp-config.php y escribir la siguiente línea de código:

define('TWO_FACTOR_DISABLE', true);

Conclusión

Como ves, no es nada complicado establecer un doble factor de autenticación para WordPress. Simplemente necesitas un plugin y una APP en tu teléfono móvil (ambas cosas gratuitas).

Hacer esta pequeña implementación te puede llevar 5 minutos como máximo y puedes evitaras males mayores si alguien intenta acceder por la fuerza a tu back end.

En tu caso ¿tienes estableciendo un doble factor de autenticación para el acceso a WordPress? ¿Cómo lo has hecho? ¡Deja tu comentario debajo y comparte tu experiencia con otros usuarios!

2 comentarios en «Doble factor de autenticación en WordPress»

Deja un comentario

En wpnovatos.com, los datos personales que nos proporciones serán tratados con el fin de moderar tus comentarios por Juanma Aranda. Puede que los datos que nos facilites sean compartidos con terceros de acuerdo con lo que se establece en la Política de Privacidad y Cookies. Además, puedes revocar tu consentimiento, consultar cómo ejercer tus derechos y ampliar la información sobre el tratamiento de tus datos en nuestra Política de Privacidad y Cookies.