Cómo activar la verificación en 2 pasos en WordPress. ¡Doble seguridad, doble tranquilidad!

Hoy te quiero enseñar qué es y cómo usar la verificación en 2 pasos en WordPress.  Y lo vamos a hacer de una manera sencilla.

Solo necesitamos un plugin que no consumirá recursos de tu WordPress y un smartphone (iPhone o Android) o tablet (igual, iPad o Tablet Android), para que además sea ¡totalmente gratis!

¿Qué es la verificación en 2 pasos?

Seguro ya habrás escuchado sobre este término, o a lo mejor sobre autentificación en 2 pasos, o en inglés two-factor authentication.

Pero en términos muy simples, te cuento que la verificación en 2 pasos en WordPress es una medida de seguridad adicional que sirve para reforzar la seguridad del panel de administración de nuestro sitio web. De igual modo, se aplica al producto o servicio que quieras proteger.

Consiste en autentificarse en dos fases distintas:

  1. La contraseña de la cuenta: en este punto tienes que acceder con tu contraseña habitual.
  2. Un sistema de seguridad dinámico: llamada contraseña de una sola vez (en inglés One Time Password u OTP)

Usando las cuentas de Google de ejemplo. Con la verificación en dos pasos de Google activada, cuando inicias sesión desde una nueva IP o que no haya sido usada antes, primero tienes que poner tu contraseña, como siempre; y después, Google te enviará un SMS o te llamará a tu móvil registrado y darte un código de 6 dígitos. Solo cuando pongas el código, podrás acceder a tu cuenta.

Hasta que no autorizas a tu PC ( a través de tú IP), como punto de acceso autorizado, siempre tendrás que usar la verificación en dos pasos. Una vez que autorizas una dirección IP, el segundo código (OTP) no es necesario.

De esta forma anulas toda posibilidad de ataques de fuerza bruta o diccionario. Aunque consigan el acceso, necesitan tu móvil.

Ventajas de la verificación en 2 pasos en WordPress

Pues como te puedes imaginar, los beneficios de usar la verificación en dos pasos es incalculable en un entorno inseguro. Aun cuando alguien consiga tu contraseña, no podrá acceder a tu cuenta. La segunda fase de autentificación, la OTP, lo parará.

Tiene que tener acceso a tu contraseña, tu dispositivo o a tu ordenador verificado (recuerda que va por IP, aunque te roben el portátil al conectar desde otra IP, le pedirá el OTP). Un conjunto de elementos que hacen casi imposible que suceda.

Por tanto, vamos a experimentar una fuerte mejora en la seguridad de nuestro sitio WordPress.

¿Qué necesitamos?

Para configurar y activar la verificación en 2 pasos, necesitamos los siguientes elementos:

  1. Un teléfono móvil o tablet. Mejor que sea un smartphone, ya que las llamadas y SMS internacionales requieren cargos extras, y usando una app e internet en tu smartphone Android, iOS y Blackberry no te costará nada.
  2. Un número de teléfono activo (aunque usemos un smartphone con acceso a internet).
  3. Una cuenta de Duo Security.

¿Por qué Duo Security?

Son una empresa de alto nivel y que se encarga de asegurar cientos de compañías como Sony, Microsoft, Accenture, Toyota… Son extremadamente seguros y es fácil de usar.

Además es gratis si en tu blog no tienes más de 10 usuarios.

Configurando la cuenta de Duo Security

Lo primero que necesitas es crearte una cuenta gratuita de Duo Security. Esta es válida para webs con no más de 10 usuarios. Como ya te he dicho, tienes que tener un número de teléfono activo para registrar la cuenta.

Los pasos son los siguientes:

verificación en 2 pasos en wordpress

Primero de todo, haz clic en Sign Up Free. Rellena los datos con cuidado. Para el número de teléfono, asegúrate de usar tu código de país, seguido de espacio y tu número.

Para España, yo puse el +34, por ser este mi código de país.

verificación en 2 pasos en wordpress

En el Paso 2, tienes que seleccionar el tamaño de tu empresa. Yo puse solo yo, pero puedes poner sin problemas, de 2-10 trabajadores. Y como vamos a usar Duo Security para proteger nuestro sitio WordPress, marcamos la opción de CMS en «What do you want to protect?». El resto lo puedes dejar tal como sale en la imagen.

verificación en 2 pasos en wordpress

Tan pronto como finalices el registro, te enviarán un correo con un enlace de activación. Abre tu bandeja de entrada y haz clic en ese enlace. Serás redirigido a una página similar a esta:

verificación en 2 pasos en wordpress

  • En «Teléfono» asegúrate de poner el mismo que usaste en el registro.
  • Una vez que hayas rellenado todos los datos, haz clic en Submit.
  • Espera unos segundos, y haz clic en Text Me (te mandarán un SMS – Recomendado) o Call Me (te llaman para darte un código).
  • Si no recibes el SMS con el código (a mi me llego sin problemas), prueba la función de llamada.
  • Si aún así no funciona, comprueba de nuevo el número y asegúrate de tener suficiente señal en tu móvil.

Configurando el panel de administración de Duo

Cuando finalizas de crear la cuenta Duo, automáticamente eres redirigido al panel de administración.

verificación en 2 pasos en wordpress

  • Si por lo que sea, no has llegado aquí, inicia sesión en tu cuenta, y en el menú de la izquierda, selecciona Integrations > New Integration.
  • En Integration Type elige WordPress.
  • El nombre de la integración (Integration Name), puede ser lo que quieras. Yo puse «Blog Hormigas».
  • Haz clic en Create Integration para crearla.

verificación en 2 pasos en wordpress

Conectar Duo Security con nuestra Web WordPress

Lo primero que necesitamos es instalar el plugin Duo Two-Factor Authentication. Lo instalamos desde el repositorio oficial de WordPress de la manera habitual.

Entramos en la configuración del plugin, a través de Ajustes > Duo Two-Factor y vamos copiando y pegando las claves generadas antes. Integration key, Secret key y API hostname. Esto establecerá la conexión entre Duo Security y nuestro WordPress.

verificación en 2 pasos en wordpress

Cuando hagas clic en «Guardar cambios», la conexión estará establecida. Ahora está activa la verificación en 2 pasos en WordPress. En el próximo paso, configurarás un método de verificación.

Añadir un método de verificación para cada usuario de WordPress

Para hacer esto, primero necesitas salir de tu sesión y volverla a iniciar. Tras el login verás algo como esto:

verificación en 2 pasos en wordpress

Esto le dice al usuario que aún no tiene un método de verificación activado en Duo Security.

Métodos de verificación en dos pasos disponibles en Duo Security

  1. Llamada de teléfono (a móvil o fijo)
  2. SMS
  3. Blackberry
  4. Android
  5. iOS

La llamada y el SMS requieren gastar créditos. Tienes 1000 créditos gratis para empezar, pero cuando se gasten debes comprar más. El uso de créditos depende a quá país hay que llamar.

Yo he probado el método de Android y funciona perfectamente. El de iOS funciona exactamente igual.

Puedes guardar los créditos por si por ejemplo pierdes, se estropea o roban el teléfono. Entonces teniendo un duplicado de tu número aun podrías acceder a tu sitio WordPress, hasta que vuelvas a configurar el nuevo dispositivo.

Cómo añadir un dispositivo Android a tu cuenta de Duo Security

Me centro en este porque es el que tengo y es el más expandido, pero para iOS funciona exactamente igual. Y en verdad se basa en seguir las instrucciones en pantalla.

La principal ventaja de usar un dispositivo Android o iOS, es que no dependen de una señal de móvil activa, les basta con tener acceso a internet (por ejemplo un iPad Wifi).

Para usar Android o iOS debes elegir Tablet en la siguiente pantalla:

verificación en 2 pasos en wordpress

Y ahora señalas tu versión. En mi caso fue Android:

verificación en 2 pasos en wordpress

Ahora necesitas instalar la aplicación correspondiente en tu dispositivo. Cuando lo hayas hecho, marca la casilla de verificación y pulsa Continue.

verificacion-en-2-pasos-en-wordpress-10

Abre la aplicación «Duo Mobile» en tu dispositivo y haz clic en el icono con forma de llave. Esto lanzará un lector de códigos.

verificacion-en-2-pasos-en-wordpress-101

Escanea el código desde la pantalla para transformar tu teléfono o tablet en un dispositivo reconocido y autorizado.

verificacion-en-2-pasos-en-wordpress-102

Esta confirmación me dice que mi dispositivo Android fue reconocido en esta cuenta.

verificacion-en-2-pasos-en-wordpress-11

Iniciando sesión con la verificación en dos pasos en WordPress

Ahora ya esta todo configurado. Mantén tu tablet o teléfono cerca e inicia sesión empezando por la fase uno, poniendo tu usuario y contraseña. Ahora te saldrá la verificación de paso 2.verificación en 2 pasos en wordpress

Puedes elegir entre Duo Push o Passcode como método de login. Si seleccionas Duo Push, haz clic en Log In. Ahora deberías ver una notificación en tu dispositivo Android/iOS.

verificación en 2 pasos en wordpress

Lanza la App Duo Mobile y seleccionar Approve. Ahora deberías ver inmediatamente algo como esto:

verificación en 2 pasos en wordpress

Has pasado con éxito la segunda fase de la verificación en 2 pasos en WordPress, y ahora puedes entrar a tu panel de administración !Enhorabuena!

Si elegiste el método de passcode, tendrás que entrar a mano en la aplicación y escribirlo en el recuadro correspondiente.

¿Preparado para activar la verificación en 2 pasos en WordPress y blindar el entorno de tu web?

Activar la verificación en dos pasos es una de las mejores formas de prevenir accesos no autorizados y es una excelente práctica de seguridad. Solo te tomará un paso más acceder a tu sitio WordPress, pero ¡lo que creces en seguridad es enorme!

Existen alternativas excelentes en el mercado, pero las mejores (y realmente seguras) son de pago.

Y tú, ¿qué? ¿Qué opinas sobre añadir medidas de seguridad extra? ¿Es algo innecesario o lo consideras increíble y esencial? Te espero en los comentarios.

Este post es una traducción libre del original en wpexplorer.com

7 comentarios en “Cómo activar la verificación en 2 pasos en WordPress. ¡Doble seguridad, doble tranquilidad!”

  1. Muy bueno el post, muy bien explicado y muy útil para la seguridad.
    Pero desgraciadamente, nunca me ha llegado el mensaje de verificación. Ni por sms ni por llamada. Una pena

    Saludos!!!

    1. ¡Vaya Adrian! Lo siento, porque a mi me funciono a la primera el sms, y ahora tengo activa esta verificación en dos pasos que funciona muy bien.
      Revisa si puedes que tienes bien escrito el número, con el código de país +34 espacio, y el numero todo seguido: +34 666554433.
      Un saludo.

      1. Si es una pena porque es una herramienta muy útil. Me han enviado otro Mail para volver a intentar el envío pero tampoco ha funcionado.
        Seguiremos intentando. Saludos!

  2. Un gran artículo, Javier, muchas gracias. Explicado en profundidad y, sin duda, muy útil. Tienes razón en que es una forma muy buena de dar seguridad a tu WordPress, de forma gratuita.

    Sólo comentarte una pequeña diferencia que me ha surgido al instalarlo yo. Al instalar el plugin y configurarlo, no tienes que salir de la sesión y volverla a iniciar. A mí me ha dirigido directamente a la primera fase de autenticación.

    Gracias de nuevo. El tuyo ha sido uno de los post que más me han ayudado últimamente. 🙂

    1. Gracias Andres.
      Efectivamente a mi me paso como comentas, peor lo dejaba como apunte para quien no le saltará, para que terminarán el proceso sin problemas.

      Me alegra haberte ayudado, y mas si es en temas de seguridad, que al final es en beneficio de todos!

      Un abrazo.

  3. Hola, el día de ayer implemente esta sugerencia en mi blog. En mi caso al estar en México después del código del país (+52) tengo que agregar el 1 (+521) para que me lleguen los SMS; aunque es mucho mas amigable usar la app en el iPhone.

    Desconozco cuando redactaste este post, pero el día de hoy escribí algo el respecto y te mención en el mismo.

    Gracias,
    Andres

    1. Gracias por la mención! Ya la vi y es de agradecer.

      Y sobre todo gracias por la información adicional. Probablemente por cosas asi es que de tantos problemas en centro y sur de america. Aqui en España a mi se me activo a la primera, y me siento bastante seguro!

      Un saludo.

Los comentarios están cerrados.

Acceso gratuito
a la Academia de
Hormigas en la Nube

+20 cursos disponibles sobre herramientas, marketing y ventas

Por tiempo limitado estoy regalando el acceso a la librería de recursos de la Academia de Hormigas en la Nube.

Cursos de ActiveCampaign, Elementor, Beaver Builder, WordPress, Copywriting, ventas, email marketing y más te estan esperando dentro. Disponible gratis por tiempo limitado.

Mockup escritorio herramientas
Ir arriba