Nos tomamos la seguridad muy en serio aquí en Kinsta, por eso ofrecemos la autenticación de dos factores para todos los clientes de Kinsta. ¡Nada puede ser peor que ver su propio sitio hackeado! Está disponible para todo el mundo dentro del dashboard de MyKinsta y sumamente recomendamos su uso. Hoy nos sumergiremos en por qué la autenticación de dos factores de WordPress es importante, conoceremos nuestra nueva actualización de característica y por qué es una gran manera gratuita de configurar la autenticación de dos factores para su sitio web.

Por Qué Es Importante la Autenticación de Dos Factores

Si usted echa un vistazo en las plataformas CMS superiores como Joomla!, Drupal y Magento, WordPress es el líder con más del 62.5% de la cuota de mercado. Debido a su popularidad también significa que es atacado más que los demás. No se puede decir realmente que una plataforma es más segura que otra, más ataques se producen principalmente por el mero volumen de sitios.

Otra razón es debido a los propietarios de los sitios web no calificados. Una razón por la que WordPress es increíble es que casi cualquiera puede elegirlo y empezar a usarlo, pero eso también significa que hay un montón de principiantes más probablemente dejando atrás puertas abiertas al no parchar, no bloquear las cosas con los permisos correctos, etc.

WordFence encuestó a un gran número de propietarios de sitio WordPress en 2016 y les pidió que contestaran a la siguiente pregunta: «Si usted sabe cómo su sitio se ve comprometido por favor describa cómo los asaltantes consiguieron acceder». El 61.5% respondió diciendo que no sabía cómo el atacante había puesto en peligro su sitio web.

Asimismo llevaron a cabo otro estudio para ver qué hacen los atacantes con sitios WordPress comprometidos. Como puede ver, el 25% son típicamente desactivados o desfigurados. Esta es probablemente una de las peores cosas que pueda suceder si se ejecuta un negocio en WordPress. Es por ello que debería implementar medidas de seguridad en primer lugar y no después.

Qué hacen los usuarios de WP
Qué hacen los usuarios de WP

Hay muchas maneras en que usted puede bloquear un sitio WordPress, un sencillo cambio es cambiar su login URL de WordPress. Esto derribará instantáneamente el número de intentos fallidos de login para su sitio WordPress de bots y scripts constantemente explorando la Web en busca de un camino. Pero una de las cosas más importantes es que simplemente elija una contraseña compleja.

¿Suena bastante fácil, correcto? Además, vea la lista anual de SplashData de 2018 del robo de contraseñas más populares durante todo el año (ordenadas en orden de popularidad).

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou

¡Es correcto! La contraseña más popular es «123456», seguido por un sorprendente «contraseña». Esa es una razón por la cual aquí en Kinsta en cuanto a las nuevas instalaciones de WordPress realmente forzamos una contraseña compleja a ser utilizada para su wp-admin login (como se ve a continuación en nuestro proceso de instalación de un solo clic).

Forzar generación de contraseña segura
Forzar generación de contraseña segura

La seguridad comienza desde los conceptos básicos. Google tiene algunas buenas recomendaciones sobre cómo elegir una contraseña segura. Y una de sus recomendaciones es habilitar la autenticación de dos factores.

La autenticación de dos factores implica un proceso de 2 pasos en los que no sólo necesita su contraseña para iniciar sesión, sino un segundo método. Generalmente es un texto (SMS), llamada telefónica o contraseña temporal basada en el tiempo (TOTP). En la mayoría de los casos, esto es 100% eficaz en la prevención de los ataques de fuerza bruta a su sitio WordPress. ¿Por qué? Porque es casi imposible que el atacante tenga tanto su contraseña como su móvil.

Consulte más abajo sobre cómo habilitar la autenticación de dos factores de WordPress.

La Autenticación de Dos Factores en Kinsta

Aquí en Kinsta, nos tomamos la seguridad del usuario muy en serio. Para ayudar a nuestros clientes a proteger sus cuentas MyKinsta y sitios de WordPress, ofrecemos soporte 2FA basado en Authenticator.

Comparado con el método tradicional de 2FA basado en SMS que envía códigos de acceso a través de mensajes de texto, nuestro método basado en el Autentificador utiliza códigos generados dinámicamente en Google Authenticator, 1Password y otras aplicaciones 2FA. Esto significa que la configuración de 2FA está protegida contra ataques básicos de seguridad como el intercambio de SIM.

Recomendamos habilitar 2FA para todos los servicios de Internet que lo soporten. Para habilitar la autenticación de dos factores en MyKinsta, mira nuestr artículo de la base de conocimientos.

Habilitar la Autenticación de Dos Factores de WordPress

Ahora que tiene su Panel de Control Kinsta asegurado, también puede habilitar la autenticación de dos factores de WordPress en su sitio web.  Recomendamos uno de los plugins siguientes.

Two Factor Authentication

El Two Factor Authentication WordPress plugin es desarrollado por los mismos autores de UpdraftPlus el plugin popular de backups. Soporta protocoles estándares de TOTP + HOTP (Google Authenticator, Authy y muchos otros). Hay ambos: versión gratuita y premium.

UpdraftPlus WordPress plugin de autenticación de dos factores
UpdraftPlus WordPress plugin de autenticación de dos factores

De momento tiene 10.000 instalaciones activas y una clasificación de 4.5 de 5, sus características:

  • Código QR gráficos para escaneo fácil de móviles
  • Incluye soporte de WooCommerce y formularios de login de Affiliates-WP
  • Compatible con Multisitios de WordPress (el plugin debe ser activado en la red)
  • Códigos de emergencia y diseño superior (versión premium)

Google Authenticator

Si usted está buscando una solución totalmente gratuita, el plugin Google Authenticator para WordPress funciona muy bien. Nota: Eso significa que usted debe elegir entre dos aplicaciones diferentes. Puede determinar cuál es más eficaz para su entorno. Si usted quiere quedarse con una aplicación, actualizando su plan de principiante podría ser el camino a seguir. Estaremos utilizando el Google Authenticator gratis en este ejemplo.

El plugin Google Authenticator tiene más de 20,000 instalaciones activas con un 4.5 de 5 estrellas, y está activamente mantenido hasta la fecha por el desarrollador, Henrik Schack. Es completamente gratuito y se puede configurar para una cantidad ilimitada de usuarios. La mayoría de los otros plugins de autorización de dos factores se dará cuenta de que tienen limitaciones, a menos que los actualice a un plan pagado. Usted puede descargar el plugin Authenticator de Google para WordPress desde el repositorio o buscándolo en el Tablero de Mando de WordPress en «Agregar nuevos» plugins.

Una vez instalado, puede hacer clic en su perfil de usuario, marcarlo como activo y crear una nueva clave secreta o escanear el código QR.

Ajustes de Google Authenticator
Ajustes de Google Authenticator

A continuación, puede utilizar una de las Authenticator Apps gratuitos en su teléfono:

Después de habilitar esto necesitará su contraseña de login normal más el código desde la App de Google Authenticator en su teléfono. Usted notará un campo adicional que ahora aparece en la página de inicio de sesión de WordPress. Además, este plugin es totalmente compatible con el plugin que hemos recomendado anteriormente para cambiar su login URL de WordPress.

Google Authenticator WordPress login
Google Authenticator WordPress login

¡Y eso es todo! Ahora dispone de la autenticación de dos factores en su cuenta Kinsta y en su sitio de WordPress.

Resumen

Estamos entusiasmados de ofrecer autenticación de dos factores en Kinsta, puesto que ésta ha sido una de nuestras características más solicitadas. ¡Proteger sus sitios WordPress ahora es un poco más fácil! Asegúrese de echar un vistazo a nuestra guía más avanzada sobre seguridad de WordPress para ver realmente cómo bloquear su sitio.

¿Tiene alguna pregunta sobre cómo funciona la autenticación de dos factores de WordPress? Siéntase libre de dejar un comentario abajo o abrir un ticket de soporte desde su Tablero de Mando de MyKinsta.

El Código QR es una marca registrada de DENSO WAVE INCORPORATED en Estados Unidos y otros países.

Brian Jackson

Brian tiene una gran pasión por WordPress, lo ha estado utilizando durante más de 10 años e incluso ha desarrollado un par de plugins premium. Brian disfruta de los blogs, las películas y el senderismo. Conéctese con Brian en Twitter.