Autenticación de WordPress de dos factores con Google Authenticator

Category: Tutorial 12 0

Como empresario de Internet, su sitio web es como su casa en Internet. Y quieres mantener ese hogar seguro, ¿no? Si estás usando WordPress para manejar tu sitio – ¡felicidades! Tienes un gran hogar, en un vecindario increíble. (¡Tu casa es WordPress y el vecindario es la comunidad de WordPress!)

Hoy vamos a hablar de cómo mejorar la seguridad de WordPress – usando autenticación de dos factores – 2FA en pocas palabras. En mi último artículo, hablamos de cómo configurar la autenticación de dos factores usando Duo Security – una renombrada firma de seguridad con clientes como Sony y Esty. En este artículo vamos a aprender a configurar la autenticación de dos factores utilizando el plugin de Google Authenticator WordPress. Este plugin fue desarrollado por Henrik Schack, más información sobre el mismo se puede encontrar en su blog.

Para que este proceso funcione, necesitarás un teléfono inteligente, ya sea un teléfono Android, iPhone o un BlackBerry. Otros sistemas operativos como Symbian y los sistemas operativos móviles basados en JAVA de Samsung no son compatibles. Esto se debe a que nuestro software de autenticación será la aplicación Google Authenticator de nuestro teléfono. Si has utilizado la función 2FA de Gmail o de Dropbox en el pasado, has tenido que instalar la aplicación Google Authenticator. Para la gente que no ha usado la aplicación, no se preocupe. Es un proceso bastante fácil!

Instalando el Autentificador de Google

Empezamos instalando el plugin en WordPress. Para ello, ve a WordPress Dashboard > Plugins > Add New.

Busca ” google authenticator ” e instala el primer resultado que se muestre (el plugin creado por Henrik Schack).

Una vez que el plugin se descargue y se desempaquete, Actívelo .

Configuración del Autentificador de Google en WordPress

El plugin Google Authenticator para WordPress no tiene una entrada de menú dedicada en el menú del tablero de mandos de WordPress, ni tampoco tiene un elemento de submenú en Configuración . Necesitas activar este plugin en por usuario , como en nuestro último tutorial 2FA. Puedes acceder a la configuración por usuario, yendo a WP Dashboard > Users > Your Profile. Desplázate un poco hacia abajo y encontrarás la configuración bajo Configuración del Autentificador de Google.

Explicación de la configuración del Autentificador de Google

Descripción: En primer lugar, necesitas añadir una Descripción para tu blog. Esta descripción te ayudará a reconocer el sitio en la aplicación Google Authenticator. Dado que es posible que tengas muchas otras aplicaciones vinculadas a Google Authenticator, siempre es mejor utilizar un identificador (descripción) adecuado. El nombre del blog será suficiente. Utilicemos ThinkingTeapot como identificador en nuestro tutorial.

Modo Relajado: El Modo Relajado extiende el tiempo de introducción de la contraseña de un minuto a cuatro. Esto significa que tendrás cuatro minutos para introducir el código de autenticación de 6 dígitos en la página de inicio de sesión. Puede activar este ajuste o dejarlo desactivado – ¡la elección es suya!

Secreto: Esta clave es necesaria si quieres añadir la cuenta de WordPress a la aplicación Google Authenticator, es decir, sin usar el código QR. Para introducir la clave secreta en la aplicación Google Authenticator, ejecuta la aplicación Google Authenticator en tu smartphone y selecciona Menu Key >Add Account > Enter Key Provided .

También puedes añadir tu cuenta de WordPress a la aplicación Google Authenticator escaneando el código QR. Esta es la forma recomendada y más fácil, ya que ahora implica cualquier tipo de escritura. Haz clic en el botón Mostrar/ocultar el código QR .

Abre el Autentificador de Google en tu smartphone y busca una opción llamada Configurar cuenta en el menú. Selecciónala y te llevará a la página de configuración de Añadir una cuenta .

Haga clic en Escanee un código de barras y sostenga su cámara firmemente, para capturar el código QR. Por lo general, el Google Authenticator tarda uno o dos segundos en reconocer el código de barras.

Entonces reconocerá automáticamente tu blog de WordPress y lo añadirá a la lista de servicios/sitios web conectados en Google Authenticator. Ahora nuestro sitio está correctamente vinculado a Google Authenticator. El paso final es activar el Google Authenticator en el propio WordPress. Marque el botón Activo que se encuentra justo debajo de la Configuración de Google Authenticator.

Contraseñas de la aplicación: Las contraseñas de la aplicación te permiten acceder a tu blog de WordPress utilizando la interfaz XML-RPC. Está pensada para aplicaciones de blogs de terceros como Windows Live Writer o Microsoft Word 2013. Permite que las aplicaciones pasen por alto el control de seguridad del Google Authenticator. Sin embargo, no se recomienda habilitar las contraseñas de las aplicaciones, ya que presentan un grave defecto de seguridad que los hackers pueden explotar.

Guarda los ajustes: Finalmente, para guardar todos estos ajustes, haz clic en Actualizar Perfil , que se encuentra justo en la parte inferior de la página de Perfil de Usuario. Si no lo haces, ¡se perderán todos tus ajustes!

Trabajando la magia

Ahora que todo está instalado, ¡vamos a probar a este bebé!

Nos desconectamos de nuestra cuenta de WordPress y visitamos la pantalla de acceso de nuevo. Sólo que esta vez, somos recibidos por una simple pero inmensamente poderosa autenticación de dos factores. Copiamos el código de la aplicación Google Authenticator que se muestra en nuestro teléfono y lo pegamos en el campo respectivo. Introduce esta contraseña de una sola vez y abre sésamo!

¿Qué plugin de autenticación de dos factores debo elegir?

La elección entre el Duo Security y el Google Authenticator se reduce a esto: el sitio web que estamos tratando de proteger. Si te centras en la seguridad, entonces la autenticación de dos factores es un gran paso. El Autentificador de Google para WordPress hará el trabajo.

Pero si quieres ampliar el juego, entonces Duo Security es tu mejor apuesta. Especialmente para la gente que ha tenido su sitio hackeado en el pasado o aquellos que encuentran un montón de intentos de acceso no autorizados en su sitio deben utilizar este protocolo.

Conclusión

El plugin de Google Authenticator WordPress es una solución simple y elegante para los protocolos de autenticación de dos factores. Duo Security proporciona muchas más características como la generación de OTP (contraseñas de un solo uso) a través de llamadas telefónicas y SMS. Por supuesto, el servicio es cobrable después de cierto punto, pero incluye una amplia gama de compatibilidad. Por ejemplo, con la generación OTP de teléfonos y SMS, se puede utilizar cualquier teléfono móvil con una señal del operador.

Además, Duo Security utiliza un protocolo PUSH en tiempo real, que sólo funciona cuando su teléfono está conectado a Internet. Cuando intentas acceder, se envía una notificación Push de automatización a tu móvil. Una vez que presionas el botón Approve , estás conectado automáticamente a tu sitio de WordPress.

Personalmente recomendaría usar Duo Security ya que tiene muchos más medios de autenticación para obtener la contraseña de una sola vez, junto con una plétora de otras opciones. Si estás dirigiendo un sitio donde hay comercio electrónico involucrado, entonces el uso de la autenticación de dos factores ciertamente ayudaría a mejorar la seguridad.

En cuanto a ti, ¿cuál es tu plugin favorito de autenticación de dos factores? ¿Tienes algunos consejos de seguridad increíbles para nosotros? Nos encantaría saber de ti! Ah, y por favor, háganos saber cómo le ha gustado este tutorial. Espero tus comentarios y sugerencias.

Related Articles