Cuando lanzamos nuestro blog, la seguridad siempre estuvo en nuestras mentes. Sabíamos que construir un sitio exitoso significaba más que solo contenido genial. Requería una base segura para proteger nuestro arduo trabajo y a nuestros lectores.
Pero cuando notamos un gran aumento en los intentos de inicio de sesión, nos dimos cuenta de que necesitábamos hacer más.
Inspirándonos en grandes sitios web como Facebook y Google, sabíamos que la autenticación de dos factores (2FA) era la solución que necesitábamos. Esta capa adicional de seguridad hace que sea mucho más difícil para los hackers obtener acceso.
Afortunadamente, descubrimos que agregar 2FA a nuestro sitio fue bastante fácil. Impulsó la seguridad de nuestro sitio y nos dio tranquilidad.
En este artículo, te mostraremos cómo agregar autenticación de dos factores (2FA) a tu sitio de WordPress, paso a paso. Con 2FA habilitado, para iniciar sesión se requerirá tanto tu contraseña como un código sensible al tiempo de una aplicación en tu teléfono.
Te guiaremos a través de dos métodos sencillos para configurar esto.
¿Por qué agregar autenticación de dos factores en WordPress?
Uno de los trucos más comunes que usan los hackers se llama ataques de fuerza bruta. Durante uno de estos ataques, utilizan scripts automatizados que intentan adivinar el nombre de usuario y la contraseña correctos para poder iniciar sesión en tu sitio web de WordPress.
Para darte una idea de la escala, los proveedores de seguridad de WordPress bloquean miles de millones de estos intentos automatizados de adivinar contraseñas cada mes.
Un ataque exitoso puede dar a los hackers acceso a tu área de administración, donde pueden instalar malware, robar información de usuarios o eliminar tu sitio completo.
Una de las formas más fáciles de proteger tu sitio web de WordPress contra el robo de contraseñas es añadir la autenticación de dos factores (2FA). Con esta configuración, necesitarás introducir tanto tu contraseña como un código secundario (de una aplicación, correo electrónico o mensaje de texto) para iniciar sesión en tu sitio web.
De esta manera, incluso si alguien lograra robar tu contraseña, aún necesitaría el código de seguridad de tu teléfono para obtener acceso.
De esta manera, incluso si alguien robara tu contraseña, aún necesitaría introducir un código de seguridad de tu teléfono para obtener acceso.
¿Qué es una aplicación de autenticación?
Una aplicación de autenticación es una aplicación de smartphone que genera códigos de seguridad temporales para tus cuentas en línea. Es el método más seguro y confiable para configurar un inicio de sesión de 2 pasos en WordPress.
La aplicación y tu sitio web utilizan una clave secreta compartida para generar contraseñas de un solo uso y sensibles al tiempo. Utilizarás estos códigos como la segunda capa de protección cuando inicies sesión.
Hay muchas aplicaciones excelentes disponibles de forma gratuita. Aquí tienes algunas opciones populares:
- Google Authenticator: Una opción muy común, pero no ofrece copias de seguridad en la nube. Si pierdes tu teléfono, podrías quedarte sin acceso a menos que hayas guardado tus códigos de recuperación por separado.
- Authy: Esta es nuestra principal recomendación para la mayoría de los usuarios. Es una aplicación gratuita que guarda de forma segura tus cuentas en la nube. De esta manera, si pierdes tu teléfono, puedes restaurar fácilmente el acceso en un nuevo dispositivo.
- 1Password y LastPass: Los administradores de contraseñas populares a menudo vienen con sus propios autenticadores integrados. Aquí en WPBeginner, todo nuestro equipo usa 1Password para mantener nuestros inicios de sesión y códigos 2FA en un lugar seguro.
Para este tutorial, usaremos Authy en nuestras capturas de pantalla. Puedes seguir el proceso con una aplicación diferente, ya que es muy similar en todas ellas.
Dicho esto, veamos cómo agregar 2FA en WordPress. Simplemente haz clic en los enlaces a continuación para saltar al método que prefieras:
- Método 1: Agregar autenticación de dos factores usando WP 2FA
- Método 2: Agregar autenticación de dos factores usando Two-Factor
- Preguntas frecuentes sobre la autenticación de dos factores (2FA) en WordPress
- Guías expertas para proteger el inicio de sesión de WordPress
Ahora, veamos cómo agregar fácilmente la verificación de dos factores a tu pantalla de inicio de sesión de WordPress de forma gratuita.
Método 1: Agregar autenticación de dos factores usando WP 2FA
Este método es fácil y recomendado para todos los usuarios. Es flexible y te permite forzar la autenticación de dos factores para todos los usuarios.
Primero, necesitas instalar y activar el plugin WP 2FA – Autenticación de dos factores. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Tras la activación, el asistente de configuración de WP 2FA se iniciará automáticamente. De lo contrario, puedes visitar la página Usuarios » Tu Perfil y desplazarte hacia abajo hasta la sección ‘Configuración de WP 2FA’.
Al hacer clic en el botón ‘Configurar autenticación de dos factores (2FA)’ se iniciará el asistente de configuración.
El asistente de configuración de WP 2FA
Simplemente haz clic en el botón ‘¡Empecemos!’ para comenzar a configurar el plugin.
En la siguiente página, se te pedirá que elijas un método de autenticación.
Hay dos opciones:
- Código de un solo uso generado con tu aplicación 2FA de elección (recomendado)
- Código de un solo uso enviado por correo electrónico
Te recomendamos que elijas el método de autenticación a través de la aplicación 2FA (TOTP), ya que es más seguro y confiable.
Una vez que hayas tomado tu decisión, puedes hacer clic en el botón ‘Continuar configuración’ para ir a la siguiente página del asistente de configuración.
Se te preguntará qué métodos 2FA alternativos te gustaría que usaran tus usuarios si el método 2FA principal falla, como si pierden su teléfono.
En el plan gratuito, solo estará disponible el método de código de respaldo. Si deseas más métodos 2FA alternativos, deberás actualizar a WP 2FA Premium.
Simplemente haz clic en el botón ‘Continuar configuración’ para pasar a la siguiente página.
En esta página, puedes hacer que el inicio de sesión de dos factores sea obligatorio para algunos o todos los usuarios. Recomendamos esto, especialmente si administras un sitio web de WordPress multiusuario, como un sitio de membresía.
Si deseas aplicar la 2FA para todos los usuarios en tu sitio web, simplemente selecciona la opción 'Todos los usuarios' y haz clic en 'Continuar configuración'.
Ahora se requerirá que todos tus usuarios utilicen 2FA.
Sin embargo, quizás haya algunos usuarios en tu sitio web a los que no quieras obligar a usar 2FA. La siguiente página te permite escribir los nombres de usuario o roles de usuario de esos miembros del equipo.
Una vez que hayas hecho eso, al hacer clic en el botón 'Continuar configuración' te llevará a una página donde puedes decidir cuán pronto tus usuarios necesitarán comenzar a usar 2FA.
Puedes exigirles que comiencen de inmediato, o puedes darles un período de gracia de, digamos, 3 días, para que tengan tiempo de configurar todo. Simplemente haz clic en la opción que deseas usar en tu sitio web.
Si deseas dar un período de gracia, puedes elegir cuántas horas o días serán. La configuración predeterminada de 3 días funcionará bien para la mayoría de los sitios web.
También hay opciones sobre qué hacer después de que finalice el período de gracia si algunos usuarios no han configurado 2FA. Puedes permitirles el acceso pero no permitirles acceder al panel de control, o bloquearles por completo el inicio de sesión. Para la mayoría de los sitios web, la primera opción será la mejor.
Una vez que hayas tomado tu decisión, puedes hacer clic en 'Todo listo' para salir del asistente de configuración. ¡Felicitaciones, has configurado la autenticación de dos factores en tu sitio!
Verás la pantalla de Finalización de configuración con un mensaje de felicitación. También verás un botón que te permitirá configurar 2FA para tu propia cuenta de usuario. Deberías hacer clic en el botón 'Configurar 2FA ahora'.
Configuración de la autenticación de dos factores para tu propia cuenta de usuario
Se iniciará un nuevo asistente de configuración para ayudarte a configurar la autenticación de dos factores para tu propia cuenta de usuario. A otros usuarios de tu sitio web se les pedirá que hagan lo mismo.
Lo primero que deberás decidir es qué método de 2FA deseas utilizar. Deberías ver la opción de un código de un solo uso a través de una aplicación de autenticación. También podrías ver otras opciones dependiendo de las elecciones que hayas hecho durante el asistente de configuración.
Simplemente elige la opción 'Código de un solo uso a través de la aplicación 2FA' y luego haz clic en el botón 'Siguiente paso'.
El plugin ahora te mostrará un código QR y un código de texto.
Deberás escanear el código QR usando una aplicación de autenticación. Alternativamente, puedes escribir el código de texto en la aplicación manualmente.
Ahora tendrás que tomar tu dispositivo móvil y abrir tu aplicación de autenticación preferida. Las capturas de pantalla a continuación usan Authy, pero otras aplicaciones funcionan de manera similar.
Primero, haz clic en el botón ‘+’ o ‘Agregar cuenta’ en tu aplicación de autenticación.
La aplicación te pedirá permiso para acceder a la cámara de tu teléfono.
Debes permitir este permiso y luego tocar el botón ‘Escanear código QR’ para poder escanear el código QR que se muestra en la página de configuración del plugin en tu computadora.
Una vez que la aplicación reconozca el código QR, comenzará automáticamente a guardar la cuenta.
Después de eso, puedes editar el logo predeterminado y el apodo de la cuenta. Cuando estés listo, deberías tocar el botón ‘Guardar’.
La aplicación de autenticación ahora guardará tu cuenta del sitio web.
A continuación, comenzará a mostrar una contraseña de un solo uso. Deberás ingresarla en la configuración del plugin en tu computadora.
Ahora necesitas volver a tu computadora.
En el asistente de configuración del plugin, haz clic en el botón ‘Estoy Listo’ para continuar.
El plugin ahora te pedirá que verifiques tu contraseña de un solo uso.
Simplemente escribe el código de tu aplicación móvil en el campo ‘Código de autenticación’ antes de que expire.
Después de eso, deberías hacer clic en el botón ‘Validar y Guardar’ para finalizar la configuración.
A continuación, se te dará la opción de generar y guardar una lista de códigos de respaldo. Estos códigos se pueden usar en caso de que no tengas acceso a tu teléfono.
Deberías hacer clic en el botón ‘Generar Lista de Códigos de Respaldo’.
Los códigos de respaldo se generarán y se mostrarán.
Puedes descargar estos códigos de respaldo a una ubicación segura en tu computadora, imprimirlos y guardarlos en un lugar seguro, o enviártelos por correo electrónico. Asegúrate de guardarlos en un lugar al que puedas acceder si no tienes tu teléfono.
Después de eso, puedes hacer clic en el botón ‘Estoy Listo, Cerrar el Asistente’ para salir del asistente de configuración.
Usar la Autenticación de Dos Factores al Iniciar Sesión
La próxima vez que sus usuarios inicien sesión, verán una notificación de que necesitan configurar la autenticación de dos factores, junto con la fecha límite al final del período de gracia.
Pueden hacer clic en un botón para configurar 2FA ahora o elegir que se les recuerde en su próximo inicio de sesión.
Cuando hagan clic en el botón 'Configurar 2FA ahora', pasarán por los mismos pasos que cuando usted configuró 2FA para su propia cuenta de usuario en la sección anterior.
Cuando inicien sesión después de configurar la autenticación de dos factores, verán la pantalla de inicio de sesión de WordPress de forma normal. Sin embargo, cuando ingresen su nombre de usuario y contraseña, se mostrará una segunda pantalla solicitando el código de su aplicación de autenticación.
Necesitarán ingresar el código de la aplicación en su teléfono antes de poder iniciar sesión. Alternativamente, pueden ingresar un código de respaldo si no tienen su teléfono con ellos.
Esto hace que su sitio web sea más seguro. Si un hacker se entera del nombre de usuario y la contraseña de uno de sus usuarios, no podrá iniciar sesión a menos que también tenga acceso a su teléfono.
Consejo: Si su sitio web de WordPress utiliza una página de formulario de inicio de sesión personalizado, entonces también puede crear una página personalizada donde los usuarios puedan administrar la configuración de su autenticador de dos factores sin acceder al área de administración de WordPress.
Método 2: Agregar autenticación de dos factores usando Two-Factor
Este método es menos flexible ya que no le permite forzar los inicios de sesión de dos factores para todos los usuarios. Cada usuario tendrá que configurarlo por su cuenta y podrá deshabilitarlo desde su perfil. Sin embargo, es un método rápido y fácil si solo desea configurar 2FA para su propia cuenta.
Primero, necesitas instalar y activar el plugin Two-Factor. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Al activarlo, necesitas visitar la página Usuarios » Perfil y desplazarte hacia abajo hasta la sección ‘Opciones de dos factores’.
Desde aquí, necesitas elegir una opción de inicio de sesión de dos factores. El plugin te permite usar el correo electrónico, una aplicación de autenticación y los métodos de llaves de seguridad FIDO U2F.
Recomendamos usar el método de la aplicación de autenticación. Simplemente escanee el código QR en la pantalla usando una aplicación de autenticación como Google Authenticator, Authy o LastPass Authenticator.
Una vez que haya escaneado el código QR, la aplicación le mostrará un código de verificación que deberá ingresar en las opciones del plugin y hacer clic en el botón 'Enviar'.
El plugin ahora establecerá la clave secreta. Puede restablecer esta clave en cualquier momento desde la página de configuración para volver a escanear el código QR.
No olvide hacer clic en el botón 'Actualizar Perfil' en la parte inferior de la página para guardar su configuración.
Ahora, cada vez que inicie sesión en su sitio web de WordPress, se le pedirá que ingrese el código de autenticación generado por la aplicación en su teléfono.
Preguntas frecuentes sobre la autenticación de dos factores (2FA) en WordPress
Aquí hay algunas respuestas a las preguntas más frecuentes sobre el uso del inicio de sesión de dos pasos en WordPress.
¿Cómo inicio sesión con 2FA si no tengo acceso a mi teléfono?
Si no tiene su teléfono, tiene varias formas de acceder a su cuenta, siempre que se haya preparado con anticipación.
- Use una Aplicación con Respaldo en la Nube: Si usa una aplicación de autenticación con respaldos en la nube como Authy, puede instalar la aplicación en otro dispositivo (como su computadora portátil o un teléfono nuevo). Simplemente inicie sesión en su cuenta de Authy para acceder a sus códigos 2FA.
- Use Códigos de Respaldo: Cuando configure 2FA, el plugin le proporcionará una lista de códigos de respaldo de un solo uso. Puede usar uno de estos códigos en lugar del código generado por la aplicación para iniciar sesión.
¿Cómo inicio sesión sin ningún código de mi aplicación de autenticación?
Si no tiene acceso a su teléfono, a otro dispositivo con sus códigos o a sus códigos de respaldo, la única forma de iniciar sesión es deshabilitando el plugin 2FA.
Puedes seguir nuestra guía sobre cómo desactivar todos los plugins de WordPress cuando no puedas acceder al área de administración. Esto desactivará el requisito de 2FA y podrás iniciar sesión. Una vez dentro, podrás reactivar tus plugins y restablecer la configuración de 2FA.
¿Necesito proteger con contraseña la carpeta de administración de WordPress?
La seguridad del sitio web funciona mejor cuando utilizas múltiples capas de protección, comenzando con lo básico como un hosting de WordPress seguro. Si bien la 2FA protege tu página de inicio de sesión, puedes hacer que tu sitio sea aún más seguro protegiendo con contraseña tu directorio de administración de WordPress.
Esto significa que los usuarios necesitarán ingresar una contraseña separada solo para acceder a tu página de inicio de sesión, lo que agrega otra barrera sólida contra ataques.
Guías expertas para proteger el inicio de sesión de WordPress
Ahora que sabes cómo agregar verificación de 2 factores a WordPress, es posible que desees ver otros artículos relacionados con hacer que el inicio de sesión de WordPress sea más seguro.
- Cómo y por qué deberías limitar los intentos de inicio de sesión en WordPress
- Cómo agregar una URL de inicio de sesión personalizada en WordPress (paso a paso)
- Cómo agregar CAPTCHA al formulario de inicio de sesión y registro de WordPress
- Cómo agregar preguntas de seguridad a la pantalla de inicio de sesión de WordPress
- Cómo deshabilitar las pistas de inicio de sesión en los mensajes de error de inicio de sesión de WordPress
- Cómo proteger con contraseña tu directorio de administración de WordPress (wp-admin)
- Cómo limitar el acceso por IP a tu archivo wp-login.php en WordPress
- Cómo agregar inicio de sesión sin contraseña en WordPress con Magic Links
- Cómo proteger tu sitio de WordPress de ataques de fuerza bruta
Esperamos que este artículo te haya ayudado a agregar la verificación de 2 factores para el inicio de sesión de WordPress. También es posible que desees ver nuestra guía sobre cómo obtener un certificado SSL gratuito para tu sitio de WordPress o nuestra selección experta de los mejores plugins de seguridad de WordPress.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Olaf
En WordPress, la seguridad es absolutamente crucial. Cualquier capa adicional de seguridad es excelente, especialmente contra ataques de fuerza bruta. Considero que la autenticación de dos factores es un elemento muy fuerte y clave en la barrera de impenetrabilidad entre el área de administración de WordPress y los hackers. Tengo el plugin WP 2FA – Two-factor Authentication activo en varios sitios web y me gusta mucho usarlo porque es completamente confiable y el proceso de integración en el sitio web no es excesivamente complicado. Es una excelente opción para la seguridad.
Dayo Olobayo
Estoy completamente de acuerdo con la importancia de la autenticación de dos factores, pero también creo que deberíamos considerar las implicaciones en la experiencia del usuario. Algunos métodos de 2FA pueden ser engorrosos y generar fricción, por lo que es esencial encontrar un equilibrio entre seguridad y usabilidad.
Mrteesurez
Artículo útil para asegurar el sitio web con 2FA, no sabía lo importante que era la 2FA antes y con esta guía, la añadiré a mi sitio. Pero mi pregunta es, si obligo a todos mis usuarios a usar 2FA, ¿con qué frecuencia se les pedirá que la usen al iniciar sesión, es solo la primera vez o qué?
Soporte de WPBeginner
Se les pediría 2FA cada vez que intenten iniciar sesión en tu sitio.
Administrador
Jiří Vaněk
Quería dar seguimiento a la pregunta. Con muchos servicios, estoy acostumbrado a tener la opción de “recordar el dispositivo” para 2FA. Esto significa que 2FA se ingresa solo una vez, y luego hay una opción para recordar mi dispositivo, para no tener que ingresar 2FA repetidamente en la misma máquina. ¿Es posible configurar esto, o 2FA siempre se aplica? Mi preocupación también es la conveniencia del usuario en un sitio web que tendrá un formulario de registro.
Soporte de WPBeginner
El plugin no tiene esa capacidad en este momento, deberías contactar al autor del plugin para solicitar esa capacidad.
Felix
La función de sincronización en la nube ya está disponible en Google Authenticator. Así, no perderás tus cuentas incluso si se pierde el teléfono. Personalmente, uso Google Authenticator porque es más conveniente para mí como usuario de Google.
Dayo Olobayo
¡Ese es un gran punto! La sincronización en la nube en Google Authenticator es un salvavidas. Ya no hay que preocuparse por perder el acceso a las cuentas si se pierde el teléfono. Además, usarlo con tu cuenta de Google hace que las cosas sean aún más fáciles.
Moinuddin Waheed
la autenticación de dos factores es algo imprescindible para la seguridad de los sitios web.
La usé después de aprender una lección horrible de una cuenta de hosting compartido. Mi sitio web se corrompió y funcionó mal, y no tenía idea de qué hacer.
Cuando hice una instalación nueva, lo primero que hice fue habilitar la autenticación de dos factores.
Esto puede parecer a veces algo adicional que hacer al iniciar sesión, pero te salva de un gran dolor de cabeza que podría ocurrir si tu cuenta se ve comprometida.
Quiero saber cómo los hackers o atacantes de fuerza bruta atacan un sitio web.
¿Tienen bases de datos de sitios web robados a proveedores de hosting o simplemente lo hacen al azar?
Soporte de WPBeginner
Hay diferentes maneras en que los sitios son atacados, pero a la larga es aleatorio.
Administrador
Jiří Vaněk
Utilizo autenticación de dos factores para la administración integrada en el plugin Wordfence, que también sirve para la protección general del sitio web. Adicionalmente, recomendaría cambiar la dirección URL de wp-admin a algo personalizado para mayor seguridad.
Soporte de WPBeginner
Si bien eso se puede hacer, lo desaconsejaríamos. Si cambias la URL de wp-admin, puede causar conflictos con algunos plugins y dificultar la solución de problemas del sitio.
Administrador
Jiří Vaněk
De acuerdo, gracias por el consejo. He cambiado la URL en muchos sitios web y, hasta ahora, nunca he tenido ningún problema. También podría ser porque uso una serie de plugins muy similar y confiable en muchos de estos sitios con los que estoy familiarizado. Sin embargo, gracias por la advertencia.
J P Welch
Me gustaría usar 2FA en un enlace a varias páginas de datos, pero no en todo el sitio. ¿Es eso posible?
Soporte de WPBeginner
Si bien es posible, no tenemos un plugin recomendado para lograr eso en este momento, ¡nos aseguraremos de estar atentos!
Administrador
Skye
¿Qué pasa si migras tu sitio web a un dominio diferente? ¿Tu 2FA estará vinculado al dominio anterior? ¿Tendrías que desactivarlo antes de migrar tu sitio web al nuevo host y dominio?
Bikash Rai
Cómo eliminar la autenticación de dos factores que recibo cada vez que inicio sesión. Quiero deshacerme de esto.
¡Gracias de antemano!
Soporte de WPBeginner
Dependería del método que usaste para configurarlo; si usaste el plugin, entonces eliminarías el plugin para eliminar la autenticación de dos factores. Si no puedes eliminarlo, si te pones en contacto con tu proveedor de hosting, deberían poder ayudarte.
Administrador
MuZa
Por favor, actualicen esta publicación. Este plugin es demasiado antiguo y no ha sido probado en tres actualizaciones importantes de WordPress.
Soporte de WPBeginner
Thank you for letting us know about the plugin not being updated we’ll be sure to take a look at it. The Two Factor SMS plugin is the only one not updated, the first plugin has been updated
Administrador
Lisa Smith
Encontré esto muy útil en relación con la autenticación de dos factores, pero para que lo sepas: el plugin Two Factor SMS no se ha actualizado en varias versiones de WP.
Soporte de WPBeginner
Thank you for letting us know, we’ll be sure to take a look into this for other plugin options
Administrador
Harman
Puedes hacerlo simplemente a través de wordpress.com.
Anna Walton
Acabo de seguir tus instrucciones exactas para configurar 2FA con Twilio. Cerré sesión después de terminar la configuración según el artículo, ¡y ahora no puedo volver a entrar en mi sitio! Recibo el código de Twilio, ¡pero dice que hay un error! Desafortunadamente, aún no había configurado el 2FA con la aplicación de autenticación, ya que seguí los pasos del artículo, que era cerrar sesión primero para ver si funcionaba. ¿Puedes darme algún consejo? He revisado tu artículo https://www.wpbeginner.com/wp-tutorials/locked-out-of-wordpress-admin/, pero este no parece cubrir el bloqueo debido a un error de 2FA. ¡Uso tu sitio mucho y creo que tu guía es excelente! ¡Por favor, ayúdame con esto!
Soporte de WPBeginner
Hola Anna,
Puedes eliminar el plugin manualmente usando FTP. Conéctate a tu sitio web y ve a la carpeta /wp-content/plugins/ y luego elimina las carpetas two-factor y two-factor-sms. Siempre puedes reinstalar los plugins después de iniciar sesión.
Administrador
Patrick Bartkus
FreeOTP es una alternativa de código abierto a Google Authenticator. No está controlado por Google y es mantenido por Red Hat bajo la licencia Apache 2.0. Está disponible para iOS y Android. También funciona en sitios de Google.