Cómo activar 2FA en WordPress

Activar la verificación en dos pasos o 2FA en WordPress consiste en añadir una capa de seguridad extra al login de WordPress.

Piensa que esta doble capa no es algo que vaya a afectar al funcionamiento de tu web ni tus usuarios lo van a notar, únicamente es una barrera para que los que intentan acceder a tu web por fuerza bruta lo tengan muchísimo más difícil. Recuerda que no solo se trata de proteger tu web, sino también la información de tus clientes 🙂 .

¿Quieres saber en qué consiste el doble factor de autenticación o 2FA de WordPress y cómo implementarlo en tu sitio?

¡Pues no perdamos más el tiempo!

¿Qué es la identificación de dos factores o 2FA de WordPress?

Las siglas 2FA hacen referencia a Two Factor Authentication o, lo que es lo mismo, autenticación de dos factores.

Sin este tipo de autenticación, para acceder a WordPress únicamente es necesario introducir un nombre de usuario y una contraseña. Algo que, si no utilizas claves seguras o un buen software de seguridad, podrían ser datos fácilmente descifrables por un bot.

Y ya no solo en el caso de un ataque. Imagina que alguien consigue el acceso a tu cuenta de correo electrónico, en este caso tu web estaría totalmente expuesta.

Por eso está muy bien aumentar las medidas de seguridad y proteger aún más tu página web, por ejemplo, añadiendo una capa de seguridad extra en el login de WordPress.

¿Qué quiere decir esto? Que un usuario a la hora de identificarse en WordPress deberá añadir el nombre de usuario y la contraseña y, si estos datos son correctos, se encontrará una doble verificación en el que debe añadir algo más para acceder al escritorio de la aplicación.

Normalmente, la doble verificación se lleva a cabo a través de los siguientes métodos:

• Código de uso único: por correo, SMS o mediante una llamada automática recibirás una clave o PIN que deberás introducir en el login.
• Pregunta de seguridad: la aplicación te pedirá que respondas a una de las preguntas que has preconfigurado con anterioridad como, por ejemplo, ¿cuál era el nombre de tu primera mascota?
• Biometría: el uso está mucho más extendido en tablets y móviles y consiste en el desbloqueo mediante tecnología dactilar o escaneo facial.
• Aplicaciones de autenticación: mediante una aplicación que previamente vinculas a tu cuenta, obtienes un código aleatorio y temporal que necesitarás para acceder a WordPress.

¿Es necesario activar el 2FA en WordPress?

No es necesario hacerlo, aunque sí muy recomendable si no tomas otras medidas para proteger el login de WordPress como, por ejemplo:

• Cambiar la URL de acceso a WordPress. Es decir, en vez de que tu URL para acceder a WordPress sea la predefinida (www.tudominio.com/wp-admin), sea una ruta personalizada del tipo www.tudominio.com/entrar.
• Proteger el directorio wp-admin con contraseña. De esta forma, ningún usuario sin contraseña y clave de acceso podrá acceder a la pantalla de login.

Cómo activar 2FA en WordPress

La forma más sencilla de activar el 2FA en WordPress es mediante un plugin. ¡Y en el repositorio tienes un montón para añadir esta funcionalidad!

Después de probar muchos de ellos, yo me quedaría con dos: Worfence Login Security o WP 2FA, son los más intuitivos y el proceso de configuración es muy sencillo. Tanto es así que, a continuación, te muestro paso a paso cómo activar el 2FA en WordPress con cada uno de ellos para que veas que el proceso no te llevará más de 2 minutos.

De todas formas, si estas dos opciones no te convencen, al final de este artículo, te doy otros tres plugins que también son muy recomendables para activar el doble factor de autenticación :-).

¡Ojo! Antes de instalar cualquier plugin de 2FA en WordPress, te recomiendo que revises si algún plugin de seguridad que ya tengas instalado tiene esta funcionalidad. De ser así, configúrala y ahórrate realizar una nueva instalación.

Wordfence Login Security

Para mí una de las mejores opciones que hay en el repositorio para añadir 2FA en WordPress es WordFence Login Security.

El plugin añade el doble factor de verificación mediante diferentes aplicaciones de autenticación , entre las que se encuentra Google Authenticator, FreeOTP y Authy.

¿Vemos cómo funciona y cómo se configura 2FA?

Lo primero de todo, instala y activa el plugin en WordPress. Hecho esto, en el menú de WordPress se creará la opción «Login Security». Haz clic sobre ella y verás una pantalla como la que te muestro a continuación.

La configuración es muy sencilla, únicamente tienes que seguir estos dos pasos:

1. Abre tu aplicación de autenticación como Authenticator y escanea el código QR que se muestre en tu escritorio de WordPress. También puedes introducir el código manualmente.
2. De manera automática, se añadirá Wordfence a tu aplicación de móvil y se asigna un código temporal. Añade este código en el campo de la derecha y pulsa en «Activate».

También es recomendable que guardes los 5 códigos de recuperación que ahí se muestran. Así, si en algún momento pierdes el acceso a tu aplicación de autenticación o no puedes acceder al dispositivo, puedes utilizarlos a modo de emergencia para acceder a WordPress.

Desde la pestaña «Settings» también podrás configurar los roles de usuario que deseas que activen el 2FA y cuántos días tienen para completar esta acción. El proceso de activación es el mismo en cualquier rol (administrador, editor, colaborador…). Asimismo, podrás establecer qué direcciones IP deseas que se salten esta doble verificación, por ejemplo, la de la oficina.

Una vez finalizada la configuración, cuando entres en WordPress, primero se mostrará la pantalla de login en la que deberás introducir tu nombre de usuario y tu contraseña.

Si los datos son correctos, el 2FA te pedirá el código que genera la aplicación. Introdúcelo y pulsa en «Log in» para acceder al backend de la web. ¡Así de fácil!

¿Ya utilizas Wordfence en WordPress?

Si ya tienes el plugin de seguridad Wordfence instalado en tu aplicación, no es necesario que añadas uno nuevo para activar 2FA en WordPress.

Ve a la configuración de Wordfence y pulsa en «Login Security». Desde ahí podrás seleccionar qué roles de WordPress quieres que activen 2FA para acceder a su cuenta, cuántos días tienen los usuarios para configurar la doble verificación y también excluir las direcciones IPs en las que no quieres que se muestre esta doble verificación. ¡La configuración es exactamente igual a la que acabamos de ver!

WP 2FA

Otra opción que me gusta bastante es WP 2FA. Al ser un plugin específico de two factor, tiene muchas más opciones disponibles que otros plugins de seguridad para WordPress (algo normal, claro).

En la versión que está disponible en el repositorio oficial de WordPress, tienes disponible la doble verificación a través de los siguientes métodos:

• Códigos desde Google Authenticator, Authy o cualquier otra aplicación 2FA.
• Código de un solo uso a través de correo electrónico.

Asimismo, también puedes establecer algunos ajustes como:

• Elegir qué usuarios quieres que activen el 2FA y cuántos días tienen para hacerlo.
• Excluir usuarios de la doble verificación.
• Posibilidad de redirigir a los usuarios a una determinada página al completar la doble verificación.
• Ocultar el botón «Eliminar 2FA» para que los usuarios no puedan elegir la doble verificación.

¿Quieres ver cómo se configura WP 2FA?

Una vez que instalas y activas el plugin, has de elegir los métodos de doble verificación y qué usuarios de la web tienen que completar el 2FA. 

Hecho esto, se mostrará un aviso en la parte superior de la página para todos los usuarios que has seleccionado. Pulsa en «Configurar ahora 2FA». A continuación, se abrirá una ventana emergente como esta en la que puedes seleccionar el método de doble verificación (aplicación de autenticación o correo electrónico):

Por último, configura el 2FA con la aplicación de autenticación que utilices normalmente, tal y como hicimos en el caso anterior. 

La versión premium de WP 2FA es mucho más completa y en ella tienes muchas más opciones como:

• Códigos de uso único a través de SMS, WhatsApp, notificaciones push o llamadas automáticas.
• Configurar dispositivos de confianza, para no tener que introducir el código 2FA cada vez que accedes.
• Posibilidad de que cada usuario elija el método 2FA que prefiera.
• Tiempo de caducidad del código 2FA personalizable.
• Métodos alternativos de respaldo 2FA.
• Reportes de uso de 2FA.

Si tienes una página muy pequeñita o la gestionáis únicamente dos o tres usuarios, todo esto es innecesario, pero no se puede negar que es un plugin muy completo.

Otros plugins de 2FA para WordPress

Aunque estas dos opciones son muy buenas, aquí tienes otros tres plugins de 2FA para WordPress fáciles de instalar y configurar. ¡A ver qué te parecen!

Google Authenticator – WordPress Two Factor Authentication

También disponible en el repositorio oficial, el plugin Google Authenticator – WordPress Two Factor Authentication es una buena alternativa para añadir 2FA en WordPress.

En la versión gratuita podrás elegir qué usuarios de tu web quieres que activen el 2FA y los métodos de autenticación disponibles:

• Verificación a través de una aplicación de autenticación como, por ejemplo, Google Authenticator o Duo Authenticator.
• Verificación por SMS.
• Verificación por email.
• Preguntas de seguridad (KBA).
• 2FA por Telegram.

Two Factor Authentication

El funcionamiento del plugin Two Factor Authentication es prácticamente igual a los anteriores, aunque la configuración es incluso más sencilla.

Una vez instalado y activado el plugin en WordPress, activa la autenticación en dos factores, escanea el código QR con tu aplicación de autenticación y ¡listo!

La próxima vez que accedas al panel de administración de tu web, WordPress te solicitará tu nombre de usuario y contraseña y, si los datos son correctos, introduce el código de uso único que te facilita la aplicación en tu smartphone.

Duo Two-Factor Authentication

El equipo de Duo también ha desarrollado su propio plugin de 2FA: Duo Two-Factor Authentication, disponible de forma gratuita en el repositorio.

Aunque la activación y configuración de este complemento también es sencilla, sí es un poco diferente al resto de plugins 2FA que te mostré anteriormente:

1. Instala y activa el plugin en WordPress.
2. Crea una cuenta en Duo, verifica tu email y descarga la APP de Duo en tu smartphone.
3. Desde el panel de administración de Duo, ve a la sección «Aplications».
4. Haz clic en «Protect an application», selecciona «WordPress» y pulsa en «Protect».
5. En la nueva ventana obtendrás las claves «Integration key», «Secret key» y «API hostname» que deberás añadir en el backend de WordPress.

En conclusión

El objetivo del doble factor de autenticación o 2FA de WordPress es aumentar la seguridad de tu web. De esta forma, si alguien obtiene tu contraseña por fuerza bruta o logra el acceso a tu correo y es capaz de autenticarse en el primer paso, aún tiene una segunda barrera que tiene traspasar para poder acceder a tu sitio.

La forma más sencilla de hacerlo es instalando un plugin de 2FA o utilizando algunas de las funcionalidades que te ofrecen los plugins de seguridad de WordPress. Aunque también puedes optar por otras formas de proteger el login de WordPress, como la protección del directorio o el uso de una URL de acceso personalizada.

Ahora es tu turno. ¿Con qué plugin 2FA de WordPress te quedas? ¿Conoces algún otro complemento que podamos añadir a esta lista?