Autenticación de dos factores de WordPress

Hay muchos vectores de ataques que pueden poner en peligro su sitio de WordPress, y la lista crece de la siguiente manera: Los hackers están mejorando Su camino. Pero, extrañamente, los ataques de fuerza bruta siguen siendo una de las amenazas más grandes y de más rápido crecimiento. La empresa de seguridad web Sucuri rastrea los ataques de fuerza bruta Todos los días en la red de sitios protegidos de WordPress, las estadísticas son increíbles. Desde enero de 2015 hasta febrero de 2016, el número de ataques de fuerza bruta en la red por día aumentó en un 833%.

El gráfico que muestra el aumento de los ataques de fuerza bruta de WordPress ilustra la necesidad de una autenticación de dos factores.

Los propietarios de sitios de WordPress familiares tradicionalmente han intentado mitigar la fuerza bruta y otras formas de ataque protegiendo el sitio con frases de contraseña, contraseñas seguras y SSL. Sin embargo, estas técnicas por sí solas no son suficientes. Los propietarios de sitios deben complementar estos métodos con otros enfoques avanzados y de la manera más rentable posible. Uno de estos enfoques que encaja bastante bien es la autenticación de dos factores.

¿Qué es la autenticación de dos factores?

¿Qué es la autenticación de dos factores?

Autenticación de dos factores Es ampliamente utilizado por muchas empresas preocupadas por la seguridad para proteger a los usuarios de la fuerza bruta y otros tipos de ataques que involucran violaciones de cuentas de usuario. Los ejemplos de industrias que hacen un uso extensivo de la autenticación de dos factores incluyen servicios financieros, minoristas y proveedores de servicios en línea, como los proveedores de correo electrónico. De hecho, es posible que haya utilizado sin saberlo la autenticación de dos factores en los últimos días.

En pocas palabras, la autenticación de dos factores es una combinación de dos formas diferentes de autenticación para validar a un usuario. En la mayoría de los casos, el primer elemento es una combinación de nombre de usuario y contraseña, y el segundo elemento es un token u otra forma de identificación única. Uno de los ejemplos más comunes de autenticación de dos factores que se utiliza en la actualidad es el del sector minorista. ¿Recuerda la última vez que hizo un pago de comestibles con su tarjeta de débito? El primer elemento de la autenticación que proporcionamos fue la propia tarjeta de débito. El segundo elemento es el código PIN que ingresa en su dispositivo de tarjeta de crédito. Estos elementos no son muy útiles individualmente, pero cuando se usan juntos, puede acceder al dinero en su cuenta.

Hay muchas formas de generar y distribuir tokens / códigos de acceso que actúan como el segundo elemento de autenticación.

El último método de autenticación de dos factores

El último método de autenticación en dos pasos

La última autenticación de dos factores en línea es muy eficaz para combatir los ataques de fuerza bruta. Esto se debe a que se requiere un segundo elemento para autorizar el acceso a la cuenta generado sobre la marcha con un solo uso. Esto generalmente incluye al propietario de la cuenta que proporciona el código de acceso o el token generado directamente por la aplicación o el proveedor. Los titulares de cuentas pueden recibir o ver este token de autenticación de varias formas, pero la más común es una de las siguientes:

  • Envíe un correo electrónico a una dirección de correo electrónico confirmada que contenga un token
  • Mensaje de texto a un número de teléfono confirmado que contiene un token

El proceso es realmente sencillo. El usuario visita el sitio web al que desea iniciar sesión e ingresa el nombre de usuario y la contraseña de ese sitio. Luego, el sitio envía un token de seguridad al usuario basado en uno de los métodos anteriores, solicitando al usuario que ingrese este token. El sitio puede ofrecer solo algunas o todas las opciones anteriores para la entrega de tokens secundarios, y el método utilizado lo establece el usuario en la configuración de su cuenta.

Pero, ¿qué pasa si el usuario pierde el acceso al método de entrega especificado para el token secundario? Por ejemplo, un usuario elige recibir mensajes de texto en su teléfono inteligente, pero es posible que le hayan robado el teléfono inteligente. En este caso, el proveedor generalmente proporciona al propietario de la cuenta un código de recuperación de una sola vez o un conjunto de códigos de recuperación de una sola vez para usar en situaciones en las que el usuario no tiene acceso al método de entrega deseado. Los usuarios pueden imprimir y guardar estos códigos para uso futuro según sea necesario.

Proporcionar autenticación de dos factores con WordPress

La adopción de la autenticación de dos factores por parte de los propietarios de sitios de WordPress ha aumentado significativamente en los últimos años. Esto se debe principalmente a la variedad de complementos disponibles para implementar este método de forma rápida y asequible. Hemos reunido una breve lista de algunos de los principales complementos que se utilizan actualmente.

Dos elementos

Infografía de autenticación de dos factores mediante teléfono y computadora.

Hay una función de autenticación de dos factores para considerar la integración con WordPress Core 4.6 (esperando su finalización, por supuesto). El proyecto Two-Factor está dirigido por George Stephanis, miembro del equipo JetPack. George también tiene 19 complementos, que incluyen RICG Responsive Images y Update Control, ambos con más de 10,000 descargas. Two-Factor todavía tiene algunos errores, pero es muy fácil de usar y admite los siguientes métodos de autenticación:

  • Contraseña de un solo uso basada en el tiempo (TOTP)
  • Email
  • Código de recuperación
  • FIDO U2F

Además, este complemento permite a los administradores de WordPress administrar, modificar y hacer cumplir las opciones de autenticación de dos factores para otros usuarios en su sitio.

Sistema de autenticación de Google

Sistema de autenticación de Google

El complemento Google Authenticator proporciona un método Google Authenticator para la autenticación de dos factores y es muy fácil de usar. Los usuarios instalan la aplicación Google Authentication System en sus teléfonos inteligentes y la utilizan para escanear el código QR generado en la página de inicio de sesión de WordPress del sitio. Esto generará un código de acceso y lo ingresará en la página de inicio de sesión. El complemento es fácil de configurar y usar, y también proporciona funcionalidad y administración de contraseña de aplicación simple.

Autenticación de dos factores

Inicio de sesión seguro en WordPress con autenticación de dos factores (TFA / 2FA)

Utilice este complemento de autenticación de dos factores (TFA / 2FA) para proteger su inicio de sesión de WordPress. Los usuarios habilitados necesitarán un código de un solo uso para iniciar sesión. De los creadores de UpdraftPlus: el complemento de copia de seguridad / restauración número uno de WP. Hay más de 2 millones de instalaciones activas.

Si usted o su cliente están tratando de agregar una capa adicional de seguridad a su sitio, definitivamente deben ver cómo la autenticación de dos factores puede ayudar. Con tantos complementos para elegir, puede encontrar una solución que satisfaga sus necesidades de seguridad, esfuerzo y costos.También debes estar al tanto de las novedades relacionadas con Proyecto de dos factores.. La incorporación de una solución sólida de autenticación de dos factores directamente en WordPress hace que sea aún más fácil adoptar la autenticación de dos factores, lo que beneficia a toda la comunidad.