Hoy te quiero enseñar qué es y cómo usar la verificación en 2 pasos en WordPress. Y lo vamos a hacer de una manera sencilla.
Solo necesitamos un plugin que no consumirá recursos de tu WordPress y un smartphone (iPhone o Android) o tablet (igual, iPad o Tablet Android), para que además sea ¡totalmente gratis!
¿Qué es la verificación en 2 pasos?
Seguro ya habrás escuchado sobre este término, o a lo mejor sobre autentificación en 2 pasos, o en inglés two-factor authentication.
Pero en términos muy simples, te cuento que la verificación en 2 pasos en WordPress es una medida de seguridad adicional que sirve para reforzar la seguridad del panel de administración de nuestro sitio web. De igual modo, se aplica al producto o servicio que quieras proteger.
Consiste en autentificarse en dos fases distintas:
- La contraseña de la cuenta: en este punto tienes que acceder con tu contraseña habitual.
- Un sistema de seguridad dinámico: llamada contraseña de una sola vez (en inglés One Time Password u OTP)
Usando las cuentas de Google de ejemplo. Con la verificación en dos pasos de Google activada, cuando inicias sesión desde una nueva IP o que no haya sido usada antes, primero tienes que poner tu contraseña, como siempre; y después, Google te enviará un SMS o te llamará a tu móvil registrado y darte un código de 6 dígitos. Solo cuando pongas el código, podrás acceder a tu cuenta.
Hasta que no autorizas a tu PC ( a través de tú IP), como punto de acceso autorizado, siempre tendrás que usar la verificación en dos pasos. Una vez que autorizas una dirección IP, el segundo código (OTP) no es necesario.
De esta forma anulas toda posibilidad de ataques de fuerza bruta o diccionario. Aunque consigan el acceso, necesitan tu móvil.
Ventajas de la verificación en 2 pasos en WordPress
Pues como te puedes imaginar, los beneficios de usar la verificación en dos pasos es incalculable en un entorno inseguro. Aun cuando alguien consiga tu contraseña, no podrá acceder a tu cuenta. La segunda fase de autentificación, la OTP, lo parará.
Tiene que tener acceso a tu contraseña, tu dispositivo o a tu ordenador verificado (recuerda que va por IP, aunque te roben el portátil al conectar desde otra IP, le pedirá el OTP). Un conjunto de elementos que hacen casi imposible que suceda.
Por tanto, vamos a experimentar una fuerte mejora en la seguridad de nuestro sitio WordPress.
¿Qué necesitamos?
Para configurar y activar la verificación en 2 pasos, necesitamos los siguientes elementos:
- Un teléfono móvil o tablet. Mejor que sea un smartphone, ya que las llamadas y SMS internacionales requieren cargos extras, y usando una app e internet en tu smartphone Android, iOS y Blackberry no te costará nada.
- Un número de teléfono activo (aunque usemos un smartphone con acceso a internet).
- Una cuenta de Duo Security.
¿Por qué Duo Security?
Son una empresa de alto nivel y que se encarga de asegurar cientos de compañías como Sony, Microsoft, Accenture, Toyota… Son extremadamente seguros y es fácil de usar.
Además es gratis si en tu blog no tienes más de 10 usuarios.
Configurando la cuenta de Duo Security
Lo primero que necesitas es crearte una cuenta gratuita de Duo Security. Esta es válida para webs con no más de 10 usuarios. Como ya te he dicho, tienes que tener un número de teléfono activo para registrar la cuenta.
Los pasos son los siguientes:
Primero de todo, haz clic en Sign Up Free. Rellena los datos con cuidado. Para el número de teléfono, asegúrate de usar tu código de país, seguido de espacio y tu número.
Para España, yo puse el +34, por ser este mi código de país.
En el Paso 2, tienes que seleccionar el tamaño de tu empresa. Yo puse solo yo, pero puedes poner sin problemas, de 2-10 trabajadores. Y como vamos a usar Duo Security para proteger nuestro sitio WordPress, marcamos la opción de CMS en «What do you want to protect?». El resto lo puedes dejar tal como sale en la imagen.
Tan pronto como finalices el registro, te enviarán un correo con un enlace de activación. Abre tu bandeja de entrada y haz clic en ese enlace. Serás redirigido a una página similar a esta:
- En «Teléfono» asegúrate de poner el mismo que usaste en el registro.
- Una vez que hayas rellenado todos los datos, haz clic en Submit.
- Espera unos segundos, y haz clic en Text Me (te mandarán un SMS – Recomendado) o Call Me (te llaman para darte un código).
- Si no recibes el SMS con el código (a mi me llego sin problemas), prueba la función de llamada.
- Si aún así no funciona, comprueba de nuevo el número y asegúrate de tener suficiente señal en tu móvil.
Configurando el panel de administración de Duo
Cuando finalizas de crear la cuenta Duo, automáticamente eres redirigido al panel de administración.
- Si por lo que sea, no has llegado aquí, inicia sesión en tu cuenta, y en el menú de la izquierda, selecciona Integrations > New Integration.
- En Integration Type elige WordPress.
- El nombre de la integración (Integration Name), puede ser lo que quieras. Yo puse «Blog Hormigas».
- Haz clic en Create Integration para crearla.
Conectar Duo Security con nuestra Web WordPress
Lo primero que necesitamos es instalar el plugin Duo Two-Factor Authentication. Lo instalamos desde el repositorio oficial de WordPress de la manera habitual.
Entramos en la configuración del plugin, a través de Ajustes > Duo Two-Factor y vamos copiando y pegando las claves generadas antes. Integration key, Secret key y API hostname. Esto establecerá la conexión entre Duo Security y nuestro WordPress.
Cuando hagas clic en «Guardar cambios», la conexión estará establecida. Ahora está activa la verificación en 2 pasos en WordPress. En el próximo paso, configurarás un método de verificación.
Añadir un método de verificación para cada usuario de WordPress
Para hacer esto, primero necesitas salir de tu sesión y volverla a iniciar. Tras el login verás algo como esto:
Esto le dice al usuario que aún no tiene un método de verificación activado en Duo Security.
Métodos de verificación en dos pasos disponibles en Duo Security
- Llamada de teléfono (a móvil o fijo)
- SMS
- Blackberry
- Android
- iOS
La llamada y el SMS requieren gastar créditos. Tienes 1000 créditos gratis para empezar, pero cuando se gasten debes comprar más. El uso de créditos depende a quá país hay que llamar.
Yo he probado el método de Android y funciona perfectamente. El de iOS funciona exactamente igual.
Puedes guardar los créditos por si por ejemplo pierdes, se estropea o roban el teléfono. Entonces teniendo un duplicado de tu número aun podrías acceder a tu sitio WordPress, hasta que vuelvas a configurar el nuevo dispositivo.
Cómo añadir un dispositivo Android a tu cuenta de Duo Security
Me centro en este porque es el que tengo y es el más expandido, pero para iOS funciona exactamente igual. Y en verdad se basa en seguir las instrucciones en pantalla.
La principal ventaja de usar un dispositivo Android o iOS, es que no dependen de una señal de móvil activa, les basta con tener acceso a internet (por ejemplo un iPad Wifi).
Para usar Android o iOS debes elegir Tablet en la siguiente pantalla:
Y ahora señalas tu versión. En mi caso fue Android:
Ahora necesitas instalar la aplicación correspondiente en tu dispositivo. Cuando lo hayas hecho, marca la casilla de verificación y pulsa Continue.
Abre la aplicación «Duo Mobile» en tu dispositivo y haz clic en el icono con forma de llave. Esto lanzará un lector de códigos.
Escanea el código desde la pantalla para transformar tu teléfono o tablet en un dispositivo reconocido y autorizado.
Esta confirmación me dice que mi dispositivo Android fue reconocido en esta cuenta.
Iniciando sesión con la verificación en dos pasos en WordPress
Ahora ya esta todo configurado. Mantén tu tablet o teléfono cerca e inicia sesión empezando por la fase uno, poniendo tu usuario y contraseña. Ahora te saldrá la verificación de paso 2.
Puedes elegir entre Duo Push o Passcode como método de login. Si seleccionas Duo Push, haz clic en Log In. Ahora deberías ver una notificación en tu dispositivo Android/iOS.
Lanza la App Duo Mobile y seleccionar Approve. Ahora deberías ver inmediatamente algo como esto:
Has pasado con éxito la segunda fase de la verificación en 2 pasos en WordPress, y ahora puedes entrar a tu panel de administración !Enhorabuena!
Si elegiste el método de passcode, tendrás que entrar a mano en la aplicación y escribirlo en el recuadro correspondiente.
¿Preparado para activar la verificación en 2 pasos en WordPress y blindar el entorno de tu web?
Activar la verificación en dos pasos es una de las mejores formas de prevenir accesos no autorizados y es una excelente práctica de seguridad. Solo te tomará un paso más acceder a tu sitio WordPress, pero ¡lo que creces en seguridad es enorme!
Existen alternativas excelentes en el mercado, pero las mejores (y realmente seguras) son de pago.
Y tú, ¿qué? ¿Qué opinas sobre añadir medidas de seguridad extra? ¿Es algo innecesario o lo consideras increíble y esencial? Te espero en los comentarios.
Este post es una traducción libre del original en wpexplorer.com
No Comments Found