Los grandes sitios web como Facebook y Google se toman la seguridad muy en serio y te piden que utilices la autenticación de dos factores (2FA) para proteger tu cuenta. Esto se debe a que 2FA añade una capa extra de seguridad que, según nuestra experiencia, hace que sea mucho más difícil para los hackers entrar.
Ahora puedes hacer que tu sitio de WordPress sea igual de seguro. Añadir la autenticación de dos factores a tus usuarios de WordPress es una decisión inteligente, tanto si tienes un blog pequeño como una tienda online con mucho movimiento.
Este artículo te guiará para establecer 2FA en tu sitio WordPress usando un plugin y una aplicación de autenticación. Es más fácil de lo que piensas y marca una gran diferencia a la hora de mantener tu sitio seguro.
¿Por qué añadir la identificación de dos factores en WordPress?
Uno de los trucos más comunes que utilizan los hackers se llama ataques de fuerza bruta. Durante uno de estos ataques, utilizan scripts automatizados que intentan adivinar el nombre de usuario y la contraseña correctos para poder acceder a su sitio web WordPress.
Un ataque de fuerza bruta correcto puede dar a los hackers acceso al área de administrador de su sitio web. Pueden instalar malware, robar información de los usuarios y borrar todo lo que haya en su sitio.
Una de las formas más sencillas de proteger tu sitio web de WordPress contra el robo de contraseñas es añadir la autenticación de dos factores (2FA). Con esta configuración, tendrás que introducir tu contraseña y un código secundario (de una aplicación, correo electrónico o mensaje de texto) para acceder a tu sitio web.
De este modo, aunque alguien te robara la contraseña, tendría que introducir un código de seguridad desde tu teléfono para acceder.
¿Qué es una aplicación de autenticación?
Hay varias formas de establecer el acceso / acceso en 2 pasos en WordPress. Sin embargo, el método más seguro y sencillo es utilizar una aplicación de autenticación.
Una aplicación autenticadora es una aplicación para smartphone que genera una contraseña temporal de un solo uso para las cuentas que guardes en ella.
Básicamente, la aplicación y su servidor utilizan una clave secreta para cifrar la información y generar códigos de un solo uso que puedes utilizar como segunda capa de protección.
Hay muchas aplicaciones gratuitas:
- La aplicación más popular es Google Authenticator, pero no es la mejor opción. Eso es porque si pierdes tu teléfono, no hay manera de recuperar tus cuentas a menos que crees una copia de seguridad de antemano.
- Te recomendamos que utilices Authy, ya que es una app gratuita y fácil de usar que, además, te permite guardar tus cuentas en la nube en formato cifrado. De esta forma, si pierdes tu teléfono, solo tienes que introducir tu contraseña maestra para restaurar todas tus cuentas.
- Otros gestores de contraseñas como LastPass y 1Password vienen con su propia versión de un autenticador. Son mejores que Google Authenticator ya que permiten restaurar claves.
Para este tutorial, usaremos Authy. Puedes seguir nuestro tutorial usando una aplicación diferente si lo deseas, ya que todas funcionan de la misma manera.
Dicho esto, veamos cómo añadir 2FA en WordPress. Simplemente haga clic en los enlaces de abajo para saltar al método que prefiera:
Veamos ahora cómo añadir fácilmente la verificación de dos factores a la pantalla de acceso de WordPress de forma gratuita.
Método 1: Añadir identificación de dos factores usando WP 2FA
Este método es fácil y recomendable para todos los usuarios. Es flexible y permite aplicar la autenticación de dos factores a todos los usuarios.
Primero, necesitas instalar y activar el plugin WP 2FA – Two-factor Authentication. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Una vez activado, el asistente de configuración de WPA 2FA se iniciará automáticamente. Si no, puedes visitar la página Usuarios ” Tu Perfil y desplazarte hasta la sección ‘Ajustes WP 2FA’.
Al hacer clic en el botón “Configurar la autenticación de dos factores (2FA)” se iniciará el asistente de configuración.
Asistente de configuración de WP 2FA
Basta con hacer clic en el botón “¡Pongámonos en marcha!” para empezar a configurar el plugin.
En la página siguiente, se le pedirá que elija un método de identificación.
Hay dos opciones:
- Código de un solo uso generado con la aplicación 2FA de su elección (recomendado)
- Código único enviado por correo electrónico
Le recomendamos que elija el método de identificación mediante la aplicación 2FA (TOTP), ya que es más seguro y fiable.
Una vez hecha su elección, puede hacer clic en el botón “Continuar configuración” para pasar a la página siguiente del asistente de configuración.
Se te preguntará qué métodos 2FA alternativos quieres que utilicen tus usuarios si el método 2FA principal falla, como por ejemplo si pierden su teléfono.
En el plan gratuito, solo estará disponible el método de copia de seguridad de código. Si quieres más métodos 2FA alternativos, entonces tendrás que actualizar a WP 2FA Premium.
Basta con hacer clic en el botón “Continuar configuración” para pasar a la página siguiente.
En esta página, puede hacer que el acceso / acceso de dos factores sea obligatorio para algunos o todos los usuarios. Se lo recomendamos, especialmente si tiene un sitio web de WordPress multiusuario, como un sitio de membresía.
Si desea aplicar 2FA a todos los usuarios de su sitio web, seleccione la opción “Todos los usuarios” y haga clic en “Continuar configuración”.
Ahora todos sus usuarios estarán obligados a utilizar 2FA.
Sin embargo, puede que haya algunos usuarios en su sitio web a los que no quiera obligar a utilizar 2FA. La siguiente página le permite escribir los nombres de usuario o perfiles de usuario de esos miembros del equipo.
Una vez hecho esto, al hacer clic en el botón “Continuar configuración” accederás a una página en la que podrás decidir en cuánto tiempo deben empezar a utilizar 2FA tus usuarios.
Puede exigirles que empiecen de inmediato, o puede darles un periodo de gracia de, por ejemplo, 3 días, para que tengan tiempo de establecer los ajustes. Sólo tiene que hacer clic en la opción que desee utilizar en su sitio web.
Si quieres dar un periodo de gracia, puedes elegir cuántas horas o días serán. El ajuste por defecto de 3 días funcionará bien para la mayoría de los sitios web.
También hay opciones para saber qué hacer una vez finalizado el periodo de gracia si algunos usuarios no han establecido 2FA. Puedes permitirles acceder pero no dejarles acceder al panel de control o bloquearles el acceso. Para la mayoría de los sitios web, la primera opción será la mejor.
Una vez hecha su elección, puede hacer clic en “Todo listo” para salir del asistente de configuración. Enhorabuena, ha establecido la autenticación de dos factores en su sitio.
Verá la pantalla de Finalización de la configuración con un mensaje de felicitación. También verá un botón que le permitirá establecer 2FA para su propia cuenta de usuario. Deberá hacer clic en el botón “Configurar 2FA ahora”.
Configuración de la identificación de dos factores para su propia cuenta de usuario
Se iniciará un nuevo asistente de configuración para ayudarle a establecer la autenticación de dos factores para su propia cuenta de usuario. Se indicará a los demás usuarios de tu sitio web que hagan lo mismo.
Lo primero que tendrás que decidir es qué método 2FA deseas utilizar. Deberías ver la opción de un código de un solo uso a través de una aplicación de autenticación. Es posible que también veas otras opciones dependiendo de las elecciones que hayas hecho durante el asistente de configuración.
Sólo tiene que elegir la opción “Código de un solo uso a través de la aplicación 2FA” y, a continuación, hacer clic en el botón “Siguiente paso”.
El plugin te mostrará ahora un código QR y un código de texto.
Tendrás que explorar el código QR con una aplicación de autenticación. También puedes introducir manualmente el código de texto en la aplicación.
Ahora tendrás que coger tu dispositivo móvil y abrir tu aplicación de autenticación preferida. En las capturas de pantalla siguientes se utiliza Authy, pero otras aplicaciones funcionan de forma similar.
En primer lugar, haz clic en el botón “+” o “Añadir cuenta” de tu aplicación de autenticación.
La aplicación te pedirá permiso para acceder a la cámara de tu teléfono.
Debe permitir este permiso y, a continuación, pulsar el botón “Escanear código QR” para poder explorar el código QR que aparece en la página de ajustes del plugin en su ordenador.
Una vez que la aplicación reconozca el código QR, empezará automáticamente a guardar la cuenta.
Después, puedes editar el logotipo y el alias por defecto de la cuenta. Cuando esté listo, pulse el botón “Guardar”.
La aplicación de autenticación guardará tu cuenta del sitio web.
A continuación, empezará a mostrar una contraseña de un solo uso. Tendrás que introducirla en los ajustes del plugin en tu ordenador.
Ahora tienes que volver a tu ordenador.
En el asistente de configuración del plugin, haga clic en el botón “Estoy listo” para continuar.
El plugin le pedirá que verifique su contraseña de un solo uso.
Sólo tiene que introducir el código de su aplicación móvil en el campo “Código de identificación” antes de que caduque.
A continuación, haga clic en el botón “Validar y ahorrar” para finalizar la configuración.
A continuación, se le dará la opción de generar y guardar una lista de códigos de copia de seguridad. Estos códigos pueden utilizarse en caso de que no tengas acceso a tu teléfono.
Debe hacer clic en el botón “Generar lista de códigos de seguridad”.
Se generarán y mostrarán los códigos de copia de seguridad.
Puedes descargar estos códigos de seguridad a un lugar seguro de tu ordenador, imprimirlos y guardarlos en un lugar seguro, o enviártelos a ti mismo por correo electrónico. Asegúrate de guardarlos en un lugar al que puedas acceder si no tienes tu teléfono.
A continuación, puede hacer clic en el botón “Estoy listo, cierre el asistente” para salir del asistente de configuración.
Uso de la identificación de dos factores al acceder al sistema
La próxima vez que sus usuarios accedan, verán un aviso de que tienen que establecer la autenticación de dos factores, junto con la fecha límite al final del periodo de gracia.
Pueden hacer clic en un botón para configurar 2FA ahora o elegir que se les recuerde en su siguiente acceso.
Al hacer clic en el botón “Configurar 2FA ahora”, seguirá los mismos pasos que cuando estableció 2FA para su propia cuenta de usuario en la sección anterior.
Cuando accedan después de establecer la autenticación de dos factores, verán la pantalla de acceso a WordPress con normalidad. Sin embargo, cuando introduzcan su nombre de usuario y contraseña, aparecerá una segunda pantalla en la que se les pedirá el código de su aplicación de autenticación.
Tendrán que introducir el código de la aplicación en su teléfono para poder acceder. También pueden introducir un código de copia de seguridad si no llevan el teléfono encima.
Esto hace que su sitio web sea más seguro. Si un pirata informático conoce el nombre de usuario y la contraseña de uno de sus usuarios, no podrá acceder a menos que también tenga acceso a su teléfono.
Sugerencia: Si su sitio web de WordPress utiliza una página de formulario de acceso personalizada, también puede crear una página personalizada en la que los usuarios puedan gestionar sus ajustes del autenticador de dos factores sin acceder al área de administración de WordPress.
Método 2: Añadir la identificación de dos factores mediante dos factores
Este método es menos flexible, ya que no permite imponer el acceso de dos factores a todos los usuarios. Cada usuario tendrá que establecerlo por su cuenta y puede desactivarlo desde su perfil. Sin embargo, es un método rápido y sencillo si sólo quieres establecer 2FA para tu propia cuenta.
En primer lugar, debe instalar y activar el plugin Two-Factor. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Para activarlo, debe visitar la página Usuarios ” Perfil y desplazarse hasta la sección “Opciones de dos factores”.
A partir de aquí, tienes que elegir una opción de acceso / acceso de dos factores. El plugin te permite utilizar el correo electrónico, una aplicación de autenticación y los métodos de claves de seguridad FIDO U2F.
Recomendamos utilizar el método de la aplicación de autenticación. Solo tiene que explorar el código QR de la pantalla con una aplicación de autenticación como Google Authenticator, Authy o LastPass Authenticator.
Una vez que haya explorado el código QR, la aplicación le mostrará un código de verificación que deberá introducir en las opciones del plugin y hacer clic en el botón “Enviar”.
El plugin establecerá ahora la clave secreta. Puedes restablecer esta clave en cualquier momento desde la página de ajustes para volver a escanear el código QR.
No olvide hacer clic en el botón “Actualizar perfil”, al final de la página, para guardar sus ajustes.
Ahora, cada vez que acceda a su sitio web de WordPress, se le pedirá que introduzca el código de identificación generado por la aplicación en su teléfono.
FAQ Acerca de la autenticación de dos factores (2FA) en WordPress
He aquí algunas respuestas a algunas de las preguntas más frecuentes acerca del uso del acceso / acceso en dos pasos en WordPress.
1. ¿Cómo accedo con 2FA si no tengo acceso a mi teléfono?
Si utiliza una aplicación de autenticación con una opción de copia de seguridad en la nube como Authy, también puede instalar la aplicación en su ordenador portátil.
Esto te da acceso a los códigos de identificación incluso cuando no tienes el teléfono contigo. También te permite restaurar fácilmente tus claves secretas cuando compres un teléfono nuevo.
Muchas aplicaciones de autenticación también te permiten generar códigos de copia de seguridad. Estos códigos se pueden utilizar como contraseñas de un solo uso cuando no tengas acceso a tu teléfono.
2. ¿Cómo acceder sin códigos de mi aplicación de autenticación?
Si no tienes acceso a tu teléfono, portátil o códigos de seguridad, solo podrás acceder desactivando el plugin 2FA.
Puede consultar nuestra guía sobre cómo desactivar todos los plugins de WordPress cuando no se ha podido acceder al área de administrador.
Una vez desactivados todos los plugins, también desactivarás el plugin de autenticación de dos factores y podrás acceder a tu sitio web de WordPress. Una vez conectado, podrás reactivar los plugins y restablecer la configuración de la autenticación de dos factores.
3. ¿Necesito proteger con contraseña la carpeta de administrador de WordPress?
La seguridad de un sitio web funciona mejor cuando dispone de varias capas de seguridad para proteger su sitio web, empezando por lo más básico, como el uso de HTTPS y un alojamiento seguro de WordPress.
La verificación de dos factores hace que su acceso a WordPress sea seguro, pero puede hacerlo aún más seguro protegiendo con contraseña el directorio del administrador de WordPress. Esto significa que los usuarios no podrán acceder / acceder a su página de inicio de sesión a menos que primero introduzcan un nombre de usuario y contraseña.
Guías de expertos para proteger el acceso / acceso a WordPress
Ahora que ya sabe cómo añadir la verificación de 2 factores a WordPress, puede que le interese ver otros artículos relacionados con cómo hacer que el acceso / acceso a WordPress sea más seguro.
- Cómo y por qué debería limitar los intentos de acceso en WordPress
- Cómo añadir una URL de acceso personalizada en WordPress (paso a paso)
- Cómo añadir CAPTCHA en el formulario de acceso / registro de WordPress
- Cómo añadir preguntas de seguridad a la pantalla de acceso de WordPress
- Cómo desactivar las sugerencias de acceso en los mensajes de error de acceso de WordPress
- Cómo proteger con contraseña su directorio de administrador de WordPress (wp-admin)
- Cómo limitar el acceso por IP a su archivo wp-login.php en WordPress
- Cómo añadir un acceso sin contraseña en WordPress con Magic Links
- Cómo proteger su sitio WordPress de los ataques de fuerza bruta
Esperamos que este artículo te haya ayudado a añadir la verificación de 2 factores para acceder / acceder a WordPress. También puedes consultar nuestra guía sobre cómo obtener un certificado SSL gratuito para tu sitio de WordPress o nuestra selección de los mejores plugins de seguridad para WordPress.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Felix
Cloud Syncing feature is now available at Google Authenticator. So, you won’t lose your accounts even if the phone is lost. For me, personally, I use Google Authenticator because it’s more convenient for me as a Google user.
Moinuddin Waheed
two factor authentication is a must have things for the security of the websites.
I have used it after learning a horrible lesson from a shared hosting account. my website was corrupted and malfunctioned and I had no clue what to do.
when I made fresh installation the first thing I did to enable two factor authentication.
this might at times seem an additional thing to do while logging in but it saves from a large headache that may cause if account is compromised.
I want to know how the hackers or brute force attackers target a website?
do they have database of websites stolen from hosting providers or just they do it randomly?
WPBeginner Support
There are different ways that sites are targeted but in the long run it is random.
Administrador
Jiří Vaněk
I use two-factor authentication for administration integrated into the Wordfence plugin, which also serves for overall website protection. Additionally, I would recommend changing the URL address from wp-admin to something custom for added security.
WPBeginner Support
While that can be done we would warn against it. If you change the wp-admin url it can cause conflicts with some plugins and can make any site troubleshooting more difficult.
Administrador
Jiří Vaněk
Okay, thank you for the advice. I’ve changed the URL on many websites, and so far, I’ve never had any issues with it. It might also be because I use a very similar, trusted series of plugins on many of these sites that I’m familiar with. Nevertheless, thanks for the warning.
J P Welch
I’d like to use 2FA on one link to several pages of data, but not the entire site. Is that possible?
WPBeginner Support
While possible, we don’t have a recommended plugin to achieve that at the moment, we will be sure to keep an eye out!
Administrador
Skye
What if you migrate your website to a different domain- will your 2FA be linked to the old domain? Would you have to deactivate it before migrating your website to the new host and domain?
Bikash Rai
How to remove two factor authentication that I get every time I login. I want to simply get rid of this thing.
Thanks in advance!
WPBeginner Support
It would depend on which method you used to set it up, if you used the plugin then you would remove the plugin to remove the two factor authentication. Should you be unable to remove it, if you reach out to your hosting provider they should be able to assist.
Administrador
MuZa
Hey please update this post. This plugin is too old and not tested on three major updates of WordPress.
WPBeginner Support
Thank you for letting us know about the plugin not being updated we’ll be sure to take a look at it. The Two Factor SMS plugin is the only one not updated, the first plugin has been updated
Administrador
Lisa Smith
Found this to be really helpful related to Two Factor, but FYI – the Two Factor SMS plugin hasn’t been updated in several WP versions.
WPBeginner Support
Thank you for letting us know, we’ll be sure to take a look into this for other plugin options
Administrador
Harman
You can simply do it via wordpress.com.
Anna Walton
I’ve followed your exact instructions just now to set up 2FA with Twilio. I logged out after finishing the set-up as per the article, and now I can’t get back into my site! I get the code from Twilio, but it says there’s an error! Unfortunately, I’d not yet set up the 2FA with the authenticator app, as I followed the steps in the article, which was to log out first to see it working. Can you advise please? I’ve checked your article https://www.wpbeginner.com/wp-tutorials/locked-out-of-wordpress-admin/, but this doesn’t seem to cover getting locked out due to 2FA error. I use your site loads, and think your guidance is great! Please help on this one!!
WPBeginner Support
Hi Anna,
You can manually delete the plugin using FTP. Connect to your website and go to /wp-content/plugins/ folder and then delete two-factor and two-factor-sms folders. You can always reinstall the plugins after login.
Administrador
Patrick Bartkus
FreeOTP is an Open Source alternative to Google Authenticator. It is not controlled by Google and is maintained by Red Hat under the Apache 2.0 license. It is available for iOS and Android. It also works on Google sites.