La seguridad es asunto extremadamente crítico para cualquier sitio web, incluyendo por supuesto aquéllos basados en WordPress, y una de las formas más efectivas de mejorar la seguridad de nuestro sitio es utilizando lo que se como Autenticación en dos pasos, or 2FA por sus siglas en inglés, por eso en esta oportunidad vamos a ver cómo proteger WordPress con 2FA (Autenticación en Dos Pasos).
Contenido
¿Por qué la seguridad es tan importante?
Antes de meternos en el concepto de 2FA y cómo aplicarlo en WordPress vamos a repasar algo básico: la seguridad de un sitio web. ¿Por qué es tan importante que un sitio web sea seguro? Pues existen varias razones.
La primera y principal es por una cuestión de funcionamiento, es decir, para que un sitio web funcione de forma correcta es imprescindible que sea lo suficientemente seguro. ¿Y esto por qué? Porque si un sitio web no es seguro lo más probable es que tarde o temprano termine infectado con malware, lo cual hará que no funcione como corresponde.
Un sitio infectado con malware es un gran problema, debido a que no funcionará de la manera que esperamos, ya que el malware puede causar toda clase de problemas, desde mostrar contenido que no forma parte del propio sitio, hasta enviar spam o incluso dirigirnos a otras webs maliciosas.
La seguridad también es importante desde el punto de vista del almacenamiento de datos en el sitio, sobre todo en aquéllos que trabajan con datos sensibles, como podrían ser por ejemplo números de tarjetas de crédito. ¿Te imaginas que un sitio que almacena este tipo de información sea atacado y la información robada? Sería un desastre.
Y estos son solo algunos de los ejemplos más comunes, podríamos hablar al respecto todo el día, pero no es la idea, simplemente estamos haciendo un énfasis en por qué la seguridad es tan importante para cualquier sitio web. Como mencionamos algunos párrafos atrás, una forma de mejorar la seguridad de una web es usando lo que se conoce como 2FA, así que veamos de qué trata.
¿Qué es la autenticación en dos pasos (2FA)?
La autenticación en dos pasos es, explicado de forma sencilla, una capa de seguridad adicional que se agrega en los sistemas de login de los sitios web. Su uso es muy simple: se trata de un paso extra que debemos realizar para completar la autenticación en un sitio web, es decir, para hacer login.
Su uso puede variar un poco, aunque en su forma más tradicional se utiliza una aplicación que genera un código cada 30 segundos, y dicho código debe ser introducido luego de ingresar los datos de usuario y contraseña en un formulario de login.
Explicado de manera más práctica, al hacer login en un sitio web el sistema nos pedirá un código adicional (el código de autenticación en dos pasos), que como ya dijimos lo generará un medio externo, por lo usual una app que tendremos en nuestro móvil.
Esta es una medida de seguridad simple pero extremadamente efectiva, ya que el código solo está disponible en un dispositivo, por lo tanto si una persona lograra robar nuestros datos de acceso para un sitio web no le bastaría solo con eso, también necesitará tener acceso a nuestro móvil.
Generalmente, el 2FA es un sistema que se activa al escanear un código de barras con una aplicación especializada, por ejemplo Google Authenticator, Authy, entre otras. Luego de completado dicho proceso, en el dispositivo podremos ver el código de 2FA en cualquier momento, y cambiará cada 30 segundos.
Existen otros métodos para utilizar el 2FA, no necesariamente tiene que usarse una app, y no necesariamente tiene que ser a través del móvil, lo que sucede es simplemente que el método mencionado es el más usado.
Entre las otras formas de obtener un código de 2FA tenemos por ejemplo el email, es decir que el código de 2FA es enviado vía email luego de hacer login, de manera que solo la persona con acceso al email en cuestión podrá verlo. Otro caso es el del SMS, o sea que el código es generado al momento de hacer login y enviado vía SMS al móvil asociado a la cuenta del usuario.
¿Y esto es posible aplicarlo en WordPress? Pues claro que sí, y se trata de una forma excelente de mejorar la seguridad de nuestro WordPress, de hecho este CMS es el más atacado a nivel mundial, así que cualquier seguridad extra siempre es bienvenida. Veamos entonces cómo podemos usar la autenticación en dos pasos en WordPress.
Cómo proteger WordPress con 2FA (Autenticación en Dos Pasos)
Implementar 2FA en WordPress es un proceso extremadamente sencillo, de hecho se hace con un plugin y podemos tenerlo listo en cuestión de muy pocos minutos. La verdadera cuestión aquí es cuál plugin utilizar, ya que existen muchísimos plugins de seguridad de WordPress que integran esta función.
En esta ocasión vamos a ver uno de los más populares: WP 2FA. Por supuesto existen más opciones, por ejemplo Wordfence, iThemes Security, entre otros, todos son excelentes, así que en realidad como dijimos la verdad incógnita es cuál elegir. Veamos entonces cómo es el proceso para activar la autenticación en dos pasos en WordPress mediante el plugin WP 2FA.
La función principal de este plugin, como habrán adivinado por su nombre, es habilitar la opción de 2FA en nuestro sitio. Actualmente cuenta con una excelente puntuación de 4,7/5, y requiere WordPress 5.0 o posterior para funcionar. Por supuesto es totalmente gratuito y está disponible en español.
Para instalar WP 2FA primero que nada vamos a buscarlo en el directorio de plugins de WordPress, y hacemos click en instalar como se muestra en la imagen de abajo.
Al cabo de unos segundos el plugin estará instalado, así que vamos a hacer click en Activar. Esto nos llevará a una nueva pantalla para configurar el 2FA.
Vamos a hacer click donde dice Empecemos, y a continuación tendremos que elegir el método por el cual obtendremos el código: los principales son mediante una app y mediante correo. Para este ejemplo elegimos la opción “Código de un solo uso a través de una aplicación 2FA (TOTP)”, y si deseamos ver las apps soportadas hacemos click en el enlace del costado que tiene dicha lista.
En el siguiente paso podremos elegir si queremos forzar el 2FA para todos los usuarios, para algunos, o no forzarlo y dejar que cada usuario opte por usarlo o no. En este caso vamos a usar la opción de forzarlo para todos, de manera que la próxima vez que un usuario ingresa tendrá que configurar el 2FA para su cuenta.
En la siguiente pantalla podemos elegir si queremos excluir a algún usuario o algún perfil. Y a continuación tenemos la opción de brindar un período de gracia para que cada usuario active el 2FA, esto por supuesto va en gustos, aunque desde el punto de vista de la seguridad la mejor opción es que lo configuren de manera inmediata, es decir la próxima vez que ingresen.
Y en el próximo paso tendremos la opción de configurar 2FA para nuestra propia cuenta ahora o más tarde. Por supuesto elegimos ahora.
Esto nos llevará a una nueva pantalla donde tendremos disponible el código QR que debemos escanear con la app elegida (Authy, Google Authenticator, Duo Security, etc.). Tras escanear el código con la app vamos a clickear en Estoy Listo, y en la nueva pantalla tendremos que introducir el código de autenticación que nos brinde la aplicación.
Y eso es todo, ya hemos configurado el 2FA, y veremos que el sistema ahora nos brinda la opción de descargar una lista de códigos de respaldos. Estos códigos de respaldo se utilizan en caso de que alguna vez no tengamos acceso al código del 2FA, así que si los descargamos es importante guardarlos en un lugar muy seguro.
¿Y qué pasa en caso de que no quieras usar este plugin o ya tengas instalado uno que integra la misma funcionalidad? Pues como dijimos antes, todos los plugins de 2FA son similares, así que no importa mucho cuál uses, lo que sí importa es utilizar uno, por lo tanto elige el que más te guste.
Conclusión
Como hemos podido ver en esta ocasión, la seguridad es un aspecto extremadamente importante de cualquier sitio web, y una de las formas más sencillas de mejorarla es mediante el uso de la autenticación en dos pasos (2FA).
Para un CMS como WordPress, mejorar la seguridad es algo imprescindible, así que implementar 2FA en WordPress es algo extremadamente recomendado para contar con una capa de seguridad adicional al hacer login en el sitio.
Usando el 2FA tendremos disponible un código aleatorio que cambia cada 30 segundos y al cual podremos acceder fácilmente desde nuestro móvil o email, y dicho código funcionará como un paso extra para completar nuestra autenticación en WordPress. No hay dudas de que la autenticación en dos pasos es un método excelente y simple para mejorar la seguridad en WordPress.
