Lo más seguro es que uses un nombre de usuario y contraseña para acceder al Panel de Administración de WordPress. Pero, si roban o adivinan tu contraseña, cualquier persona podría colarse dentro de web. Es por ello que durante los últimos años ha proliferado al verificación en dos pasos, o 2FA, con la que podemos entrar en nuestras cuentas con mayor seguridad.
Con este tipo de doble verificación, estamos salvados de los ataques por fuerza bruta, por los cuales intentan acceder a nuestra cuenta introduciendo millones de contraseñas, hasta dar con la acertada.
Por suerte, a día de hoy encontramos en WordPress diversos plugins que podemos instalar, y que nos van a permitir usar la verificación en dos pasos, tanto a nosotros como a el resto de miembros de nuestra web, si es que lo tuviésemos. En la mayoría de los casos, lo que tendremos es un campo de texto extra en nuestra pantalla de login donde introduciremos un código.
Pero antes que nada, veamos en profundidad en que consiste la verificación en dos pasos para comprobar de primera mano como es capaz de protegernos mejor que una simple contraseña.
Qué es la Verificación en Dos Pasos (2FA)
La verificación en dos pasos, o Two Factor Authentication (2FA) es un mecanismo de seguridad para acceder a sistemas o cuentas. Añade una capa extra de seguridad, exigiendo al usuario dos contraseñas o códigos para acceder.
Normalmente, para acceder nuestra cuenta solo tenemos que insertar un nombre de usuario o cuenta de correo electrónico, y una contraseña. Con la verificación en dos pasos, además, nos requerirán un código. Este código será enviado a un correo electrónico o a un teléfono que hayamos elegido con anterioridad. El código al teléfono lo podemos recibir mediante un SMS, o por alguna APP de autentificación, como Authy. Por tanto, si no tenemos acceso a ese correo electrónico o teléfono, no podremos acceder.
Lo bueno de esta verificación es que no es necesaria siempre ya que normalmente, se nos añadirá una cookie que guardará nuestro equipo y/o IP. Por lo que, al acceder a la cuenta las sucesivas veces, y reconocer que estamos accediendo desde el mismo dispositivo y/o IP, no nos pedirá de nueva hacer la segunda verificación mediante el código.
¿Es un sistema infalible?
Ningún sistema es 100% seguro, pero si usamos la verificación en dos pasos junto con otras pautas, haremos que aumente de forma exponencial la seguridad de nuestras cuentas.
Consejos para mejorar la seguridad de nuestras cuentas
El primer paso es tener una contraseña lo más segura posible, con al menos estas características:
- Longitud mayor a 8 caracteres.
- Contener mayúsculas, minúsculas, número y caracteres especiales.
- Que no contenga palabras asociadas a nosotros, como nuestro nombre, apellidos o ciudad en la que residimos.
En principio, tener una contraseña de este tipo puede parecer muy complicado de retener, aunque podemos usar algunos trucos. Unos de los más habituales es que nuestra contraseña sea una frase que podamos recordar, y que le insertemos mayúsculas en algunos lugares, sustituyamos letras por números, etc.
Por ejemplo, puedo tener como contraseña una frase o refrán que sea fácil de recordar (sobre todo para los que vivimos en España), como A otra cosa, mariposa. Pues mi contraseña, a partir de ella, puede ser 4_0tr4-C05A;M4ripO5A!.
Además, otro consejo es no usar la misma contraseña en cuentas diferentes. Con esto lo único que conseguiremos es que si, nos roban la contraseña, tendrán acceso a muchas de nuestras cuentas. Al menos, si esto nos pasa, que los daños sean mínimos. Para estar seguro del todo, podemos echar un vistazo a webs como Have I Been Pwned, donde si introducimos nuestro email, nos dirán si hemos sido víctimas de alguna filtración. Y en caso de respuesta afirmativa, lo más recomendable es cambiar de contraseña.
Personalmente, uso un gestor de contraseñas donde voy recopilando todas mis cuentas, y que es accesible desde el navegador web. Para mayor seguridad, Bitwarden, que es el gestor de contraseñas que utilizo, tiene una contraseña maestra sin la cual no puedo acceder al contenedor donde están el resto de contraseñas.
Plugins de Verificación de Dos Pasos para WordPress
Ya va siendo hora de que empecemos a hablar de WordPress. Y es que, para implementar la verificación en dos pasos en nuestra web, tendremos que echar mano de complementos. Veamos un par de ellos
miniOrange 2 Factor Authentication
Con miniOrange disponemos de dos tipos de planes. Con el plan básico, que es gratuito, podremos añadir la verificación en dos pasos mediante nuestro email, sms o app de verificación. Pero además, si trabajamos en un entorno que precise de máxima seguridad, el plan premium nos permite tener un hardware token. Esto es, crearemos en un dispositivo externo un archivo, que nos servirá como acceso a nuestra cuenta. Si ese dispositivo no esta conectado a nuestro ordenador, no podremos acceder. Muy restrictivo, pero tremendamente seguro.
Wordfence
Wordfence es uno de los mayor plugins de seguridad existentes en WordPress. Y, por supuesto, también incluye la opción de activar la verificación en dos pasos. Podemos elegir la clásica verificación mediante email o sms, pero sus desarrolladores recomiendan usar alguna app de autentificación para mayor seguridad. Eso si, no tendremos problemas para elegir una, ya que el listado de apps soportadas es bastante grande: Google Authenticator, Authy, Microsoft Authenticator, LastPass Authenticator…
Como hemos visto, añadir la verificación en dos pasos a nuestro WordPress es una buena idea para aumentar la seguridad de nuestra web sin apenas molestias extra. Y es que esta capa extra de seguridad hará que estemos a salvo de gran parte de la mayoría de ataques y filtraciones de contraseñas que se producen a día de hoy.
Buenas y como siempre gracias por el artículo.
José Conti hablo de otro plugin que comparto por aquí: 2FAS Light – Google Authenticator
Un saludo.
Muchas gracias por el aporte, Javi!
Me lo apunto para echarle un vistazo.
Un saludo!