Cómo configurar la autenticación de dos factores en WordPress: una guía paso a paso

Publicado: 2025-05-03

¿Sabía que puede configurar la autenticación de dos factores en WordPress? Si no está seguro de si integrar esta función de seguridad en su sitio web de WordPress, aquí hay algo a considerar: ¿cuántas cuentas tiene en línea? ¿Están todos protegidos por contraseña? ¿Cuántas de esas cuentas comparten la misma contraseña? Si un visitante no deseado tiene acceso a una cuenta, es probable que también puedan acceder a otros. El problema empeora aún más si usa contraseñas fáciles de obtener o inicia sesión en redes públicas (sugerimos usar una VPN para cifrar su tráfico si usa una red pública). ¿Su contraseña es el nombre de su perro? Tu fecha de boda? ¿Lo has escrito en un diario?

Todos los días, los bots atacan a miles de sitios web de WordPress, exponiendo a los visitantes al malware. Los sitios web infestados con bots a menudo son desactivados por motores de búsqueda como Google. Los proveedores de alojamiento pueden bloquear el acceso a dichos sitios, y el tráfico dirigido comienza a desplomarse. Todo su arduo trabajo se puede reducir a nada. Si desea ir más allá de la autenticación de dos factores (2FA), la autenticación multifactor (MFA) proporciona capas adicionales de seguridad, combinando contraseñas con biometría o tokens de seguridad para una protección aún mayor contra las amenazas.

¿Qué es la autenticación de dos factores (2FA)?

Las contraseñas pueden verse comprometidas, especialmente a través de ataques de fuerza bruta. Confiar únicamente en una contraseña para la seguridad se conoce como autenticación de factor único (SFA). Aquí es donde puede ayudar una segunda capa de seguridad, más allá de una simple contraseña. La autenticación de dos factores (2FA o TFA) agrega esta capa adicional. De hecho, muchos sitios web populares (por ejemplo, Facebook, Gmail, PayPal) utilizan la autenticación de dos factores para mejorar la seguridad y reducir las infracciones, incluso si se filtran las credenciales de un usuario.

Entonces, ¿qué es exactamente 2FA? Esencialmente, es un proceso que requiere que los usuarios verifiquen su identidad con algo que poseen, además de su contraseña.

En general, 2FA no reemplaza la contraseña; Lo complementa con un paso adicional al que solo el usuario (usted, como administrador) puede acceder.

Aquí hay un ejemplo de cómo funciona

Inicie sesión como de costumbre, luego aparece un mensaje, diciéndole que se envió un código a su dispositivo. Recibe e ingresa ese código que se envió a su teléfono, otro dispositivo o correo electrónico. Este código, a menudo llamado contraseña de una sola vez (OTP), se entrega a un número móvil o dirección de correo electrónico registrada. Sin este código adicional, los piratas informáticos no pueden acceder a su sitio web, incluso si tienen su contraseña.

En resumen, en la autenticación de dos factores, debe haber dos categorías distintas de autenticación:

  • Algo que conoces (por ejemplo, una contraseña o PIN).
  • Algo que tiene (por ejemplo, un token de seguridad o un teléfono inteligente con una aplicación de autenticador).
  • Algo que usted es (por ejemplo, biometría como huellas digitales o reconocimiento facial).

¿Qué es la autenticación multifactor (MFA)?

La autenticación multifactor (MFA) es un proceso de seguridad que requiere que los usuarios verifiquen su identidad utilizando múltiples métodos antes de obtener acceso a un sistema o cuenta. En lugar de confiar únicamente en una contraseña, MFA agrega capas adicionales de protección, a menudo combinando algo que el usuario conoce (como una contraseña), algo que el usuario tiene (como un dispositivo móvil o token de seguridad), y a veces incluso algo exclusivo del usuario, como una huella digital o reconocimiento facial. Este enfoque reduce significativamente el riesgo de acceso no autorizado, ya que hace que sea más difícil para los atacantes violar las cuentas, incluso si han robado una forma de autenticación. Es una herramienta poderosa para mantener los datos personales y comerciales seguros en el mundo digital actual.

Para que MFA esté vigente, debe haber al menos dos capas de autenticación que van más allá de la combinación típica de 2FA (ver la sección 2FA cómo funciona arriba). Por ejemplo:

  • Biometrics (algo que está) emparejado con un token de seguridad (algo que tiene) supera la configuración básica de dos factores.
  • Si se agrega una contraseña (algo que sabe) junto con estos dos, fortalece aún más las capas de autenticación.

MFA es esencialmente una extensión de 2FA, que ofrece una mayor seguridad mediante el uso de tres o más factores. Entonces, por ejemplo, si bien la biométrica y los tokens de seguridad podrían ser parte de MFA, solo no se considerarían MFA a menos que se combinen con métodos de verificación adicionales.

¿Cuál es la diferencia entre la autenticación de dos factores (2FA) y la autenticación multifactor (MFA)?

La diferencia clave entre la autenticación multifactor (MFA) y la autenticación de dos factores (2FA) radica en el número de pasos de autenticación.

2FA requiere exactamente dos factores separados para verificar la identidad de un usuario. Por ejemplo, una contraseña y un código único enviado a su dirección de correo electrónico.

MFA , por otro lado, es un concepto más amplio que abarca 2FA pero puede incluir tres o más capas de autenticación. Por ejemplo, MFA podría combinar una contraseña, un escaneo de huellas digitales (factor biométrico) y un token de seguridad. Si bien 2FA proporciona una fuerte barrera contra el acceso no autorizado, MFA ofrece una defensa aún más integral, especialmente adecuada para entornos que requieren niveles más altos de seguridad.

Esencialmente, todos los 2FA son MFA, pero no todos los MFA son 2FA.

Tenga en cuenta que si bien la seguridad es crucial, es igualmente importante mantener la facilidad de acceso para sus clientes y visitantes. Golpear el equilibrio correcto es clave. No querrá hacerlo demasiado difícil para sus clientes y visitantes . Para la mayoría de las situaciones, la autenticación de dos factores ofrece protección suficiente. Una combinación simple de inicio de sesión de contraseña seguido de un código de verificación enviado a su correo electrónico generalmente proporciona seguridad y conveniencia.

Métodos para obtener el código de verificación

Antes de implementar 2FA en su sistema, es útil comprender cómo funciona el segundo paso para que pueda elegir el método más adecuado para usted. El código de verificación se puede obtener a través de métodos como estos:

  1. Servicios de correo electrónico : el código se envía directamente a su dirección de correo electrónico registrada.
  2. SMS : el código se envía a su teléfono móvil a través de un mensaje de texto.
  3. Códigos generados por aplicaciones : aplicaciones como Google Authenticator generan un nuevo código a intervalos cortos. Al iniciar sesión, ingresa manualmente el código que se muestra actualmente. Es posible que se requiera una configuración.
  4. Tokens USB : este método implica insertar un token USB en su dispositivo e ingresar una contraseña de token. Es altamente seguro ya que el proceso de autenticación no puede ser interceptado. Sin embargo, es posible que no funcione con teléfonos móviles ya que se requiere un puerto USB (aunque podría usar un adaptador USB-C a USB-A, lo cual es importante tener alrededor).

Los dos primeros métodos requieren conectividad de datos de Internet o celulares, mientras que los dos últimos no.

Formas populares de 2FA y MFA

Si bien la lista anterior destaca los métodos de seguridad que funcionan al recibir e ingresar un código, hay muchos otros métodos que no requieren el uso de un código de verificación.

Aquí hay una lista completa de las formas más populares de 2FA y MFA , incluidos los métodos de autenticación basados ​​en código y no basados ​​en código, actualmente empleados por varios servicios:

  • Autenticación basada en PIN : ingresar un código PIN secundario que solo usted conozca.
  • Autenticación basada en el conocimiento (KBA) : Respondiendo preguntas de seguridad (por ejemplo, "¿Cuál era el nombre de su primera mascota?").
  • Autenticación basada en correo electrónico : recibir e ingresar un código enviado a su dirección de correo electrónico.
  • Autenticación basada en SMS : recibir e ingresar un código enviado a su teléfono a través de mensajes de texto (SMS).
  • Autenticación basada en llamadas telefónicas : recibir una llamada de voz que proporciona una contraseña única o requiere confirmación de voz.
  • Autenticación basada en aplicaciones de autenticador : ingresar un código desde una aplicación de autenticador, como el autenticador de Microsoft o el autenticador de Google.
  • Autenticación basada en push o autenticación de notificación push : confirmar su inicio de sesión en una aplicación relacionada a través de una notificación push enviada a su dispositivo registrado. La aplicación le solicita al usuario que apruebe o niegue el intento de inicio de sesión con un toque simple (por ejemplo, la aplicación Bank Wise (previamente transferida) le pide que confirme tocando "aprobar" o "sí").
  • Autenticación biométrica : verificación de huellas dactilares utilizando un sensor de huellas digitales (por ejemplo, en su computadora portátil o dispositivo móvil).
  • Autenticación de token de hardware: utilizando una clave o dispositivo de seguridad USB físico, como tokens USB, para autenticar el acceso de inicio de sesión.
  • Autenticación del token de seguridad: utilizando un token de seguridad físico o digital para verificar la identidad durante el inicio de sesión. Estos tokens pueden generar contraseñas únicas (OTP), funcionar como dispositivos de hardware como claves USB o generar códigos de inicio de sesión sin requerir una conexión USB.
  • Autenticación del código de respaldo: ingresar códigos de copia de seguridad previamente generados como un método respaldo para recuperar el acceso cuando otras opciones de autenticación (como SMS o aplicaciones de autenticador) no están disponibles.

Aquí hay métodos especializados 2FA y MFA:

  • Autenticación basada en código QR : escanear un código QR con una aplicación Authenticator para verificar el inicio de sesión.
  • Contraseña única (TOTP) basada en el tiempo : generando una contraseña temporal que cambia cada pocos segundos, a menudo utilizada en aplicaciones de autenticador.
  • Contraseña única (HOTP) basada en HMAC : HMAC significa Código de autenticación de mensajes basado en HASH. Un sistema similar a TOTP, pero los códigos siguen siendo válidos hasta que se usan.
  • Autenticación basada en llamadas telefónicas : recibir una llamada de voz que proporciona una contraseña única o requiere confirmación de voz.
  • Autenticación basada en Bluetooth : Uso de Bluetooth para verificar la identidad, que a menudo requiere proximidad entre los dispositivos.
  • Autenticación de tarjeta inteligente : usando una tarjeta inteligente física insertada en un dispositivo para autenticación, común en la seguridad empresarial.
  • Autenticación basada en el comportamiento : análisis de patrones de pulsación de teclas, movimientos de ratones u otras biometría conductual.
  • Autenticación basada en geolocalización : restringir los intentos de inicio de sesión basados ​​en la ubicación física de un usuario o las direcciones IP conocidas.
  • Autenticación Fido2/WebAuthn : Uso de claves de seguridad criptográfica, como yubikeys, para autenticarse sin contraseñas.
  • Autenticación basada en patrones : dibujar un patrón en una pantalla táctil (común en la seguridad del dispositivo móvil).

Elegir el servicio correcto

Como puede ver, hay muchos para elegir y no todos los servicios y los complementos de WordPress ofrecen todas estas opciones, por lo que deberá decidir cuál funciona mejor para usted. Algunos servicios proporcionan múltiples opciones, lo que le permite elegir entre un menú desplegable. Si opta por usar complementos de WordPress para integrar 2FA, el proceso de configuración será más conveniente para usted.

Durante el proceso de configuración, también se le puede proporcionar códigos de recuperación. Asegúrese de anotarlos y almacenarlos de forma segura. Estos códigos de respaldo lo ayudarán a recuperar su cuenta en caso de que se bloquee debido a 2FA/MFA.

Complementos de WordPress recomendados para 2FA

Para simplificar la configuración de la autenticación de dos factores en su sitio de WordPress, hemos compilado una lista de los mejores complementos 2FA. Estos complementos son fáciles de usar, incluyen instrucciones de configuración claras y vienen con documentación integral. No debes encontrar ninguna dificultad. No dude en compartir sus complementos 2FA favoritos o plantear cualquier preocupación de seguridad en la sección de comentarios a continuación.

Sin más preámbulos, ¡comencemos!

1. Google Authenticator

Google Authenticator

El primer complemento en nuestra lista es Google Authenticator de Miniorange, un desarrollador de complementos de WordPress de confianza. Este complemento proporciona una solución integral para asegurar sus páginas de inicio de sesión de WordPress sin requerir que gaste un centavo.

Google Authenticator es un excelente complemento de autenticación de dos factores para WordPress que es fácil de configurar y fácil de usar. Viene con una impresionante gama de características diseñadas para mantener a raya a los piratas informáticos más persistentes.

Algunas de las características clave del complemento incluyen una interfaz de usuario elegante, métodos de autenticación múltiples (que admiten incluso el autenticador de Microsoft), soporte de varios idiomas, TOTP (contraseña única en el tiempo) y soporte de HOTP (contraseña única basada en HMAC), prevención de ataque de fuerza bruta, bloqueo de seguridad IP, soporte de seguridad personalizable, soporte de varios complementos de WordPress, cumplimiento de GDPR y una vástaga de ataques de premio de premio.

La versión principal del complemento es gratuita para un solo usuario, y generalmente puede encontrar ayuda en el foro de soporte del complemento.

2. Dos factores

Two-Factor

El complemento de WordPress de dos factores es un proyecto completamente gratuito y de código abierto dirigido por George Stephanis, con contribuciones de varios otros desarrolladores. Es uno de los complementos de autenticación de dos factores más directos que puede usar para su sitio de WordPress.

Después de instalar el complemento, navegue a los usuarios> su perfil y desplácese hacia abajo a la sección de opciones de dos factores . Aquí, puede habilitar y configurar la configuración de autenticación de dos factores deseada.

Este complemento admite cuatro métodos de autenticación:

  1. Códigos de correo electrónico : códigos de verificación enviados directamente a su dirección de correo electrónico.
  2. Contraseña única (TOTP) basada en el tiempo : una contraseña dinámica generada utilizando aplicaciones como Google Authenticator.
  3. FIDO Universal 2nd Factor (U2F) : un método de autenticación basado en hardware que requiere una clave de seguridad USB.
  4. Códigos de verificación de respaldo : códigos de uso único que puede almacenar de forma segura para emergencias.

También hay un método ficticio disponible, que es particularmente útil para fines de prueba. Más allá de estas características, el complemento admite 15 idiomas y tiene más de 80,000 instalaciones activas al momento de escribir.

El complemento funciona excepcionalmente bien y es confiable para mejorar la seguridad de WordPress. Sería emocionante ver una versión premium en el futuro, ofreciendo funciones aún más avanzadas.

3. Verificación de 2 pasos de WordPress

WordPress 2-Step Verification

¿Ha encontrado un complemento de autenticación de dos factores para WordPress que ya se adapte a sus necesidades? Si no, estamos felices de presentar el complemento de verificación de 2 pasos de WordPress por AS247, un talentoso desarrollador de PHP de Vietnam.

Tenga la seguridad de que no tendrá que preocuparse por los piratas informáticos que roban sus credenciales de inicio de sesión cuando usen este complemento. El complemento de verificación de 2 pasos de WordPress incorpora medidas de seguridad de 2FA robustas en su página de inicio de sesión, asegurando que los atacantes permanezcan bloqueados fuera de su área de administración.

El complemento es fácil de instalar y configurar, y puede tener todo configurado en solo 10 minutos. Si encuentra algún problema, AS247 ofrece asistencia útil a través de los foros de soporte de WordPress.org.

Características que se destacan

La verificación de 2 pasos de WordPress viene con una variedad de características impresionantes, que incluyen:

  • Soporte de múltiples sitios : perfecto para administrar múltiples instalaciones de WordPress.
  • Códigos de correo electrónico : códigos de verificación enviados a su correo electrónico registrado.
  • Códigos generados por aplicaciones : códigos dinámicos generados por aplicaciones como Google Authenticator.
  • Verificación de SMS : códigos entregados a través del mensaje de texto.
  • Códigos de respaldo : Handy para emergencias cuando su método de verificación habitual no está disponible.

Además, si pierde acceso a su teléfono o código de verificación, el complemento permite una fácil recuperación a través de FTP, un salvavidas en situaciones críticas. También puede desactivar la verificación de 2 pasos en dispositivos de confianza, como su computadora personal.

¿Se pregunta cómo el complemento admite códigos generados por aplicaciones? AS247 proporciona una aplicación de autenticador en Play Store, lo que facilita la generación de contraseñas seguras para aplicaciones que no admiten la verificación de 2 pasos.

Personalización y compatibilidad

¿Necesita ayuda para personalizar su tema de WordPress? Existen numerosas compañías que ofrecen servicios de personalización de temas de WordPress de primer nivel para satisfacer sus requisitos.

Actualmente, el complemento no admite el editor de Gutenberg , por lo que deberá activar el editor clásico. El trabajo está en marcha para agregar soporte para Gutenberg, pero si se siente cómodo usando el editor clásico, el complemento de verificación de 2 pasos de WordPress es una excelente opción.

4. Autenticación de dos factores de Rublon

Rublon Two-Factor Authentication

El cuarto complemento en nuestra lista es la autenticación de dos factores de Rublon . El objetivo principal de este notable complemento de WordPress es mantener a los usuarios no autorizados fuera, y logra sin esfuerzo. Ofrece una forma directa de habilitar la autenticación de dos factores en su sitio web de WordPress.

El complemento de autenticación de dos factores de Rublon es extremadamente fácil de usar y fácil de instalar. No necesita experiencia técnica o capacitación especial para comenzar. Simplemente instale el complemento, luego conéctelo a la API de Rublon utilizando un token de sistema y una clave de seguridad.

Después de completar estos pasos, recibirá un enlace de confirmación por correo electrónico. Una vez que verifique su identidad, puede configurar opciones adicionales para mejorar la seguridad de su sitio.

Características y funcionalidad

Rublon admite una amplia gama de métodos de autenticación de dos factores, que incluyen:

  • Verificación por correo electrónico
  • Códigos SMS
  • Escaneo de código QR
  • Notificaciones de empuje
  • Contraseñas de una sola vez basadas en el tiempo (TOTP)

Además, puede la lista blanca de dispositivos de confianza, eliminando la necesidad de autenticación de dos factores durante futuros inicios de sesión en estos dispositivos.

Experiencia de usuario

El complemento ofrece una interfaz de fondo intuitiva y fácil de usar, lo que facilita la integración de la autenticación de dos factores en su sitio web de WordPress. Admite cinco idiomas y recibe críticas brillantes tanto de profesionales de seguridad como de principiantes. Los usuarios alaban con frecuencia su funcionalidad y confiabilidad.

5. API de Gateway

Gateway API

Si los otros complementos de autenticación de dos factores en nuestra lista no satisfacen sus necesidades para facilitar el uso, permítanos presentarle a Gatewayapi . Este complemento útil y directo es más que una simple herramienta de autenticación de dos factores, es un motor potente que le permite enviar mensajes SMS directamente desde el panel de administración de WordPress. Además de eso, incluye una función de autenticación de dos factores gratuita y fácil de usar.

Características clave de Gatewayapi

Gatewayapi está lleno de características útiles, que incluyen:

  • Contenido de SMS personalizable : agregue información personalizada a sus mensajes.
  • Importación de CSV : cargar fácilmente las listas de destinatarios.
  • Mensaje a granel : envíe mensajes SMS a grupos grandes a la vez.
  • Segmentación del destinatario : Crear y administrar grupos para mensajes específicos.
  • Códigos cortos : simplificar el manejo de mensajes.
  • Facilidad de uso : una interfaz limpia e intuitiva que cualquiera puede navegar.
  • Opciones de reautorización : reautorice en cada inicio de sesión o recuerde dispositivos confiables durante 30 días.
  • Funcionalidad de la bandeja de entrada : reciba y lea mensajes entrantes directamente a través de su número de teléfono.
  • ¡Y mucho más!

Comenzando con Gatewayapi

Para comenzar, simplemente instale el complemento y regístrese para obtener una cuenta gratuita en Gatewayapi.com. No se preocupe si tiene dificultades, el complemento viene con una guía detallada paso a paso, completa con capturas de pantalla, lo que hace que el proceso de configuración sea sin problemas. Honestamente, es posible que ni siquiera necesite leer la documentación para habilitar la autenticación de dos factores. ¡Es así de simple!

6. Autenticación de dos factores dúo

Duo Two Factor Authentication

El complemento Duo hace que la integración de la seguridad de dos factores en su sitio web de WordPress sea fácil y directo. Los usuarios y los administradores pueden verificar sus identidades utilizando dispositivos que ya poseen, como tokens de hardware o teléfonos móviles. Además, este complemento lo ayuda a monitorear las actividades de los usuarios en su sitio, agregando una capa adicional de responsabilidad.

Cómo usar el complemento Duo

Para comenzar a usar el complemento:

  1. Instale y active en su sitio de WordPress.
  2. Suscríbase a los servicios de Duo para acceder a las claves de seguridad.
  3. Defina los roles específicos de los usuarios que requieren autenticación de dos factores.

Opciones de autenticación

El complemento Duo ofrece múltiples métodos de autenticación:

  • SMS OTP : contraseñas únicas enviadas a teléfonos móviles a través de servicios de mensajería.
  • Hardware Token OTP : contraseñas generadas por dispositivos físicos.
  • Aplicación móvil Duo : los usuarios pueden generar OTP o usar la autenticación de un toque a través de la aplicación.
  • Autenticación de devolución de llamada : Duo llama al teléfono del usuario para confirmar.

Estas opciones versátiles aseguran una autenticación segura y flexible para todos los usuarios.

¿Qué complemento es adecuado para ti?

Esperamos que esta lista lo haya ayudado a encontrar su complemento de autenticación de dos factores favorito. También hay suites de seguridad todo en uno como WordFence, Solid Security y todo en uno Seguridad (AIO) que incluyen 2FA y una gran cantidad de otras características de seguridad. Si todavía está indeciso, le recomendamos instalarlos todos y probarlos. La belleza de WordPress es lo rápido que puedes hacer todo eso. Instale un complemento, actúe y pruebe. ¿No feliz? Desactivarlo y eliminarlo.

Pensamientos finales

Recuerde, WordPress Security es un aspecto vital para mantener un sitio web exitoso. La implementación de la autenticación de dos factores es una forma efectiva de mantener a los usuarios no autorizados fuera de su área de administración de WordPress. Al requerir un paso de verificación adicional, 2FA protege su sitio contra violaciones de seguridad, ataques de fuerza bruta y credenciales de inicio de sesión comprometidas.

Ya sea que opte por complementos de WordPress u otros métodos de integración, la configuración de 2FA es una forma simple pero poderosa de mejorar la seguridad de su sitio web. Tomarse el tiempo para implementar esta medida de precaución le dará tranquilidad y contribuirá a la confiabilidad a largo plazo de su presencia en línea. Manténgase proactivo y priorice la seguridad para mantener su sitio de WordPress a salvo de posibles amenazas.

¿Qué complemento 2FA es tu favorito? ¿Tiene alguna pregunta, inquietud o consejo para compartir? Nos encantaría saber de usted en la sección de comentarios.