Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Copa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Cómo añadir la autenticación de dos factores en WordPress (método gratuito)

Los grandes sitios web como Facebook y Google se toman la seguridad muy en serio y te piden que utilices la autenticación de dos factores (2FA) para proteger tu cuenta. Esto se debe a que 2FA añade una capa extra de seguridad que, según nuestra experiencia, hace que sea mucho más difícil para los hackers entrar.

Ahora puedes hacer que tu sitio de WordPress sea igual de seguro. Añadir la autenticación de dos factores a tus usuarios de WordPress es una decisión inteligente, tanto si tienes un blog pequeño como una tienda online con mucho movimiento.

Este artículo te guiará para establecer 2FA en tu sitio WordPress usando un plugin y una aplicación de autenticación. Es más fácil de lo que piensas y marca una gran diferencia a la hora de mantener tu sitio seguro.

How to Add Two-Factor Authentication in WordPress (Free Method)

¿Por qué añadir la identificación de dos factores en WordPress?

Uno de los trucos más comunes que utilizan los hackers se llama ataques de fuerza bruta. Durante uno de estos ataques, utilizan scripts automatizados que intentan adivinar el nombre de usuario y la contraseña correctos para poder acceder a su sitio web WordPress.

Un ataque de fuerza bruta correcto puede dar a los hackers acceso al área de administrador de su sitio web. Pueden instalar malware, robar información de los usuarios y borrar todo lo que haya en su sitio.

Una de las formas más sencillas de proteger tu sitio web de WordPress contra el robo de contraseñas es añadir la autenticación de dos factores (2FA). Con esta configuración, tendrás que introducir tu contraseña y un código secundario (de una aplicación, correo electrónico o mensaje de texto) para acceder a tu sitio web.

De este modo, aunque alguien te robara la contraseña, tendría que introducir un código de seguridad desde tu teléfono para acceder.

¿Qué es una aplicación de autenticación?

Hay varias formas de establecer el acceso / acceso en 2 pasos en WordPress. Sin embargo, el método más seguro y sencillo es utilizar una aplicación de autenticación.

Una aplicación autenticadora es una aplicación para smartphone que genera una contraseña temporal de un solo uso para las cuentas que guardes en ella.

Básicamente, la aplicación y su servidor utilizan una clave secreta para cifrar la información y generar códigos de un solo uso que puedes utilizar como segunda capa de protección.

Hay muchas aplicaciones gratuitas:

  • La aplicación más popular es Google Authenticator, pero no es la mejor opción. Eso es porque si pierdes tu teléfono, no hay manera de recuperar tus cuentas a menos que crees una copia de seguridad de antemano.
  • Te recomendamos que utilices Authy, ya que es una app gratuita y fácil de usar que, además, te permite guardar tus cuentas en la nube en formato cifrado. De esta forma, si pierdes tu teléfono, solo tienes que introducir tu contraseña maestra para restaurar todas tus cuentas.
  • Otros gestores de contraseñas como LastPass y 1Password vienen con su propia versión de un autenticador. Son mejores que Google Authenticator ya que permiten restaurar claves.

Para este tutorial, usaremos Authy. Puedes seguir nuestro tutorial usando una aplicación diferente si lo deseas, ya que todas funcionan de la misma manera.

Dicho esto, veamos cómo añadir 2FA en WordPress. Simplemente haga clic en los enlaces de abajo para saltar al método que prefiera:

Veamos ahora cómo añadir fácilmente la verificación de dos factores a la pantalla de acceso de WordPress de forma gratuita.

Método 1: Añadir identificación de dos factores usando WP 2FA

Este método es fácil y recomendable para todos los usuarios. Es flexible y permite aplicar la autenticación de dos factores a todos los usuarios.

Primero, necesitas instalar y activar el plugin WP 2FA – Two-factor Authentication. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.

Una vez activado, el asistente de configuración de WPA 2FA se iniciará automáticamente. Si no, puedes visitar la página Usuarios ” Tu Perfil y desplazarte hasta la sección ‘Ajustes WP 2FA’.

Al hacer clic en el botón “Configurar la autenticación de dos factores (2FA)” se iniciará el asistente de configuración.

Asistente de configuración de WP 2FA

Basta con hacer clic en el botón “¡Pongámonos en marcha!” para empezar a configurar el plugin.

The WP 2FA Setup Wizard

En la página siguiente, se le pedirá que elija un método de identificación.

Hay dos opciones:

  • Código de un solo uso generado con la aplicación 2FA de su elección (recomendado)
  • Código único enviado por correo electrónico
Choose 2FA method

Le recomendamos que elija el método de identificación mediante la aplicación 2FA (TOTP), ya que es más seguro y fiable.

Una vez hecha su elección, puede hacer clic en el botón “Continuar configuración” para pasar a la página siguiente del asistente de configuración.

Se te preguntará qué métodos 2FA alternativos quieres que utilicen tus usuarios si el método 2FA principal falla, como por ejemplo si pierden su teléfono.

En el plan gratuito, solo estará disponible el método de copia de seguridad de código. Si quieres más métodos 2FA alternativos, entonces tendrás que actualizar a WP 2FA Premium.

WP 2FA Alternative 2FA Methods

Basta con hacer clic en el botón “Continuar configuración” para pasar a la página siguiente.

En esta página, puede hacer que el acceso / acceso de dos factores sea obligatorio para algunos o todos los usuarios. Se lo recomendamos, especialmente si tiene un sitio web de WordPress multiusuario, como un sitio de membresía.

Si desea aplicar 2FA a todos los usuarios de su sitio web, seleccione la opción “Todos los usuarios” y haga clic en “Continuar configuración”.

Enforce 2FA for All Users

Ahora todos sus usuarios estarán obligados a utilizar 2FA.

Sin embargo, puede que haya algunos usuarios en su sitio web a los que no quiera obligar a utilizar 2FA. La siguiente página le permite escribir los nombres de usuario o perfiles de usuario de esos miembros del equipo.

Exclude Users or Roles from Having to Use 2FA

Una vez hecho esto, al hacer clic en el botón “Continuar configuración” accederás a una página en la que podrás decidir en cuánto tiempo deben empezar a utilizar 2FA tus usuarios.

Puede exigirles que empiecen de inmediato, o puede darles un periodo de gracia de, por ejemplo, 3 días, para que tengan tiempo de establecer los ajustes. Sólo tiene que hacer clic en la opción que desee utilizar en su sitio web.

Si quieres dar un periodo de gracia, puedes elegir cuántas horas o días serán. El ajuste por defecto de 3 días funcionará bien para la mayoría de los sitios web.

Set a Grace Period So Your Users Can Configure 2FA

También hay opciones para saber qué hacer una vez finalizado el periodo de gracia si algunos usuarios no han establecido 2FA. Puedes permitirles acceder pero no dejarles acceder al panel de control o bloquearles el acceso. Para la mayoría de los sitios web, la primera opción será la mejor.

Una vez hecha su elección, puede hacer clic en “Todo listo” para salir del asistente de configuración. Enhorabuena, ha establecido la autenticación de dos factores en su sitio.

Verá la pantalla de Finalización de la configuración con un mensaje de felicitación. También verá un botón que le permitirá establecer 2FA para su propia cuenta de usuario. Deberá hacer clic en el botón “Configurar 2FA ahora”.

Configure 2FA on Your Own User Account

Configuración de la identificación de dos factores para su propia cuenta de usuario

Se iniciará un nuevo asistente de configuración para ayudarle a establecer la autenticación de dos factores para su propia cuenta de usuario. Se indicará a los demás usuarios de tu sitio web que hagan lo mismo.

Lo primero que tendrás que decidir es qué método 2FA deseas utilizar. Deberías ver la opción de un código de un solo uso a través de una aplicación de autenticación. Es posible que también veas otras opciones dependiendo de las elecciones que hayas hecho durante el asistente de configuración.

Sólo tiene que elegir la opción “Código de un solo uso a través de la aplicación 2FA” y, a continuación, hacer clic en el botón “Siguiente paso”.

Choose the 2FA Method

El plugin te mostrará ahora un código QR y un código de texto.

Tendrás que explorar el código QR con una aplicación de autenticación. También puedes introducir manualmente el código de texto en la aplicación.

Use Your Authenticator App to Scan the QR Code

Ahora tendrás que coger tu dispositivo móvil y abrir tu aplicación de autenticación preferida. En las capturas de pantalla siguientes se utiliza Authy, pero otras aplicaciones funcionan de forma similar.

En primer lugar, haz clic en el botón “+” o “Añadir cuenta” de tu aplicación de autenticación.

Click the + Button to Add an Account

La aplicación te pedirá permiso para acceder a la cámara de tu teléfono.

Debe permitir este permiso y, a continuación, pulsar el botón “Escanear código QR” para poder explorar el código QR que aparece en la página de ajustes del plugin en su ordenador.

Click the Scan QR Code Button

Una vez que la aplicación reconozca el código QR, empezará automáticamente a guardar la cuenta.

Después, puedes editar el logotipo y el alias por defecto de la cuenta. Cuando esté listo, pulse el botón “Guardar”.

Save Your New 2FA Account

La aplicación de autenticación guardará tu cuenta del sitio web.

A continuación, empezará a mostrar una contraseña de un solo uso. Tendrás que introducirla en los ajustes del plugin en tu ordenador.

Find Your 2FA Token

Ahora tienes que volver a tu ordenador.

En el asistente de configuración del plugin, haga clic en el botón “Estoy listo” para continuar.

After Scanning the QR Code, Click the 'I'm Ready' Button

El plugin le pedirá que verifique su contraseña de un solo uso.

Sólo tiene que introducir el código de su aplicación móvil en el campo “Código de identificación” antes de que caduque.

A continuación, haga clic en el botón “Validar y ahorrar” para finalizar la configuración.

Type the One-Time Token and Validate

A continuación, se le dará la opción de generar y guardar una lista de códigos de copia de seguridad. Estos códigos pueden utilizarse en caso de que no tengas acceso a tu teléfono.

Debe hacer clic en el botón “Generar lista de códigos de seguridad”.

Click 'Generate List of Backup Codes'

Se generarán y mostrarán los códigos de copia de seguridad.

Puedes descargar estos códigos de seguridad a un lugar seguro de tu ordenador, imprimirlos y guardarlos en un lugar seguro, o enviártelos a ti mismo por correo electrónico. Asegúrate de guardarlos en un lugar al que puedas acceder si no tienes tu teléfono.

List of Backup Codes

A continuación, puede hacer clic en el botón “Estoy listo, cierre el asistente” para salir del asistente de configuración.

Uso de la identificación de dos factores al acceder al sistema

La próxima vez que sus usuarios accedan, verán un aviso de que tienen que establecer la autenticación de dos factores, junto con la fecha límite al final del periodo de gracia.

Pueden hacer clic en un botón para configurar 2FA ahora o elegir que se les recuerde en su siguiente acceso.

Notification About Needing to Set Up 2FA

Al hacer clic en el botón “Configurar 2FA ahora”, seguirá los mismos pasos que cuando estableció 2FA para su propia cuenta de usuario en la sección anterior.

Cuando accedan después de establecer la autenticación de dos factores, verán la pantalla de acceso a WordPress con normalidad. Sin embargo, cuando introduzcan su nombre de usuario y contraseña, aparecerá una segunda pantalla en la que se les pedirá el código de su aplicación de autenticación.

Users Must Enter an Authentication Code Before Logging In

Tendrán que introducir el código de la aplicación en su teléfono para poder acceder. También pueden introducir un código de copia de seguridad si no llevan el teléfono encima.

Esto hace que su sitio web sea más seguro. Si un pirata informático conoce el nombre de usuario y la contraseña de uno de sus usuarios, no podrá acceder a menos que también tenga acceso a su teléfono.

Sugerencia: Si su sitio web de WordPress utiliza una página de formulario de acceso personalizada, también puede crear una página personalizada en la que los usuarios puedan gestionar sus ajustes del autenticador de dos factores sin acceder al área de administración de WordPress.

Método 2: Añadir la identificación de dos factores mediante dos factores

Este método es menos flexible, ya que no permite imponer el acceso de dos factores a todos los usuarios. Cada usuario tendrá que establecerlo por su cuenta y puede desactivarlo desde su perfil. Sin embargo, es un método rápido y sencillo si sólo quieres establecer 2FA para tu propia cuenta.

En primer lugar, debe instalar y activar el plugin Two-Factor. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.

Para activarlo, debe visitar la página Usuarios ” Perfil y desplazarse hasta la sección “Opciones de dos factores”.

Two Factor options

A partir de aquí, tienes que elegir una opción de acceso / acceso de dos factores. El plugin te permite utilizar el correo electrónico, una aplicación de autenticación y los métodos de claves de seguridad FIDO U2F.

Recomendamos utilizar el método de la aplicación de autenticación. Solo tiene que explorar el código QR de la pantalla con una aplicación de autenticación como Google Authenticator, Authy o LastPass Authenticator.

Click the Scan QR Code Button

Una vez que haya explorado el código QR, la aplicación le mostrará un código de verificación que deberá introducir en las opciones del plugin y hacer clic en el botón “Enviar”.

El plugin establecerá ahora la clave secreta. Puedes restablecer esta clave en cualquier momento desde la página de ajustes para volver a escanear el código QR.

Secret keys configured

No olvide hacer clic en el botón “Actualizar perfil”, al final de la página, para guardar sus ajustes.

Ahora, cada vez que acceda a su sitio web de WordPress, se le pedirá que introduzca el código de identificación generado por la aplicación en su teléfono.

Add two factor authentication code to continue

FAQ Acerca de la autenticación de dos factores (2FA) en WordPress

He aquí algunas respuestas a algunas de las preguntas más frecuentes acerca del uso del acceso / acceso en dos pasos en WordPress.

1. ¿Cómo accedo con 2FA si no tengo acceso a mi teléfono?

Si utiliza una aplicación de autenticación con una opción de copia de seguridad en la nube como Authy, también puede instalar la aplicación en su ordenador portátil.

Esto te da acceso a los códigos de identificación incluso cuando no tienes el teléfono contigo. También te permite restaurar fácilmente tus claves secretas cuando compres un teléfono nuevo.

Muchas aplicaciones de autenticación también te permiten generar códigos de copia de seguridad. Estos códigos se pueden utilizar como contraseñas de un solo uso cuando no tengas acceso a tu teléfono.

2. ¿Cómo acceder sin códigos de mi aplicación de autenticación?

Si no tienes acceso a tu teléfono, portátil o códigos de seguridad, solo podrás acceder desactivando el plugin 2FA.

Puede consultar nuestra guía sobre cómo desactivar todos los plugins de WordPress cuando no se ha podido acceder al área de administrador.

Una vez desactivados todos los plugins, también desactivarás el plugin de autenticación de dos factores y podrás acceder a tu sitio web de WordPress. Una vez conectado, podrás reactivar los plugins y restablecer la configuración de la autenticación de dos factores.

3. ¿Necesito proteger con contraseña la carpeta de administrador de WordPress?

La seguridad de un sitio web funciona mejor cuando dispone de varias capas de seguridad para proteger su sitio web, empezando por lo más básico, como el uso de HTTPS y un alojamiento seguro de WordPress.

La verificación de dos factores hace que su acceso a WordPress sea seguro, pero puede hacerlo aún más seguro protegiendo con contraseña el directorio del administrador de WordPress. Esto significa que los usuarios no podrán acceder / acceder a su página de inicio de sesión a menos que primero introduzcan un nombre de usuario y contraseña.

Guías de expertos para proteger el acceso / acceso a WordPress

Ahora que ya sabe cómo añadir la verificación de 2 factores a WordPress, puede que le interese ver otros artículos relacionados con cómo hacer que el acceso / acceso a WordPress sea más seguro.

Esperamos que este artículo te haya ayudado a añadir la verificación de 2 factores para acceder / acceder a WordPress. También puedes consultar nuestra guía sobre cómo obtener un certificado SSL gratuito para tu sitio de WordPress o nuestra selección de los mejores plugins de seguridad para WordPress.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Descargo: Nuestro contenido está apoyado por los lectores. Esto significa que si hace clic en algunos de nuestros enlaces, podemos ganar una comisión. Vea cómo se financia WPBeginner , por qué es importante, y cómo puede apoyarnos. Aquí está nuestro proceso editorial .

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

El último kit de herramientas de WordPress

Obtenga acceso GRATUITO a nuestro kit de herramientas - una colección de productos y recursos relacionados con WordPress que todo profesional debería tener!

Reader Interactions

20 comentariosDeja una respuesta

  1. Syed Balkhi

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Felix

    Cloud Syncing feature is now available at Google Authenticator. So, you won’t lose your accounts even if the phone is lost. For me, personally, I use Google Authenticator because it’s more convenient for me as a Google user.

  3. Moinuddin Waheed

    two factor authentication is a must have things for the security of the websites.
    I have used it after learning a horrible lesson from a shared hosting account. my website was corrupted and malfunctioned and I had no clue what to do.
    when I made fresh installation the first thing I did to enable two factor authentication.
    this might at times seem an additional thing to do while logging in but it saves from a large headache that may cause if account is compromised.
    I want to know how the hackers or brute force attackers target a website?
    do they have database of websites stolen from hosting providers or just they do it randomly?

    • WPBeginner Support

      There are different ways that sites are targeted but in the long run it is random.

      Administrador

  4. Jiří Vaněk

    I use two-factor authentication for administration integrated into the Wordfence plugin, which also serves for overall website protection. Additionally, I would recommend changing the URL address from wp-admin to something custom for added security.

    • WPBeginner Support

      While that can be done we would warn against it. If you change the wp-admin url it can cause conflicts with some plugins and can make any site troubleshooting more difficult.

      Administrador

      • Jiří Vaněk

        Okay, thank you for the advice. I’ve changed the URL on many websites, and so far, I’ve never had any issues with it. It might also be because I use a very similar, trusted series of plugins on many of these sites that I’m familiar with. Nevertheless, thanks for the warning.

  5. J P Welch

    I’d like to use 2FA on one link to several pages of data, but not the entire site. Is that possible?

    • WPBeginner Support

      While possible, we don’t have a recommended plugin to achieve that at the moment, we will be sure to keep an eye out!

      Administrador

  6. Skye

    What if you migrate your website to a different domain- will your 2FA be linked to the old domain? Would you have to deactivate it before migrating your website to the new host and domain?

  7. Bikash Rai

    How to remove two factor authentication that I get every time I login. I want to simply get rid of this thing.
    Thanks in advance!

    • WPBeginner Support

      It would depend on which method you used to set it up, if you used the plugin then you would remove the plugin to remove the two factor authentication. Should you be unable to remove it, if you reach out to your hosting provider they should be able to assist.

      Administrador

  8. MuZa

    Hey please update this post. This plugin is too old and not tested on three major updates of WordPress.

    • WPBeginner Support

      Thank you for letting us know about the plugin not being updated we’ll be sure to take a look at it. The Two Factor SMS plugin is the only one not updated, the first plugin has been updated :)

      Administrador

  9. Lisa Smith

    Found this to be really helpful related to Two Factor, but FYI – the Two Factor SMS plugin hasn’t been updated in several WP versions.

    • WPBeginner Support

      Thank you for letting us know, we’ll be sure to take a look into this for other plugin options :)

      Administrador

  10. Harman

    You can simply do it via wordpress.com.

  11. Anna Walton

    I’ve followed your exact instructions just now to set up 2FA with Twilio. I logged out after finishing the set-up as per the article, and now I can’t get back into my site! I get the code from Twilio, but it says there’s an error! Unfortunately, I’d not yet set up the 2FA with the authenticator app, as I followed the steps in the article, which was to log out first to see it working. Can you advise please? I’ve checked your article https://www.wpbeginner.com/wp-tutorials/locked-out-of-wordpress-admin/, but this doesn’t seem to cover getting locked out due to 2FA error. I use your site loads, and think your guidance is great! Please help on this one!!

    • WPBeginner Support

      Hi Anna,

      You can manually delete the plugin using FTP. Connect to your website and go to /wp-content/plugins/ folder and then delete two-factor and two-factor-sms folders. You can always reinstall the plugins after login.

      Administrador

  12. Patrick Bartkus

    FreeOTP is an Open Source alternative to Google Authenticator. It is not controlled by Google and is maintained by Red Hat under the Apache 2.0 license. It is available for iOS and Android. It also works on Google sites.

Deja tu comentario

Gracias por elegir dejar un comentario. Tenga en cuenta que todos los comentarios son moderados de acuerdo con nuestros política de comentarios, y su dirección de correo electrónico NO será publicada. Por favor, NO utilice palabras clave en el campo de nombre. Tengamos una conversación personal y significativa.