La verificación o autenticación en 2 pasos es un método de seguridad que se ha ido generalizando gracias al uso de servicios populares como Gmail, iCloud, Amazon, Dropbox, y muchos sitios de exchanges bancarios y criptomonedas. La finalidad es añadir una capa de seguridad extra a nuestra web, de tal manera, que aparte del usuario y contraseña requerido para entrar a la zona de gestión, ahora se requeriría un código adicional que es enviado a nuestros móviles, bien mediante un SMS o bien mediante el uso de una app. Sólo con el código enviado, se completaría el proceso de autenticación y entrada a la zona de gestión, con lo que se evita en gran medida la posibilidad de hackeo y ataque a nuestra web.
WordPress es una plataforma muy utilizada para crear sitios webs, y es a su vez, un objetivo muy apetitoso para los atacantes. Debido a esto, es altamente recomendable implementar este sistema de autenticación de 2 pasos.
Como implementar Google Authenticator
De todas las opciones disponibles para WordPress, nuestra preferida es la de Google Authenticator, ya que no tiene ningún coste para el administrador del sitio web, a diferencia de un sistema basado en el envío de SMS o aplicaciones premium, y sólo se requiere tener a mano un móvil con sistema operativo iOS, Android o BlackBerry.
Pasos a seguir
1. Instalamos la app de Google Authenticator en nuestro móvil. Para ello basta con buscarla en nuestro mercado de apps (ej. Play en Android), e instalarla.
2. Instalamos el plugin Google Authenticator By Henrik Schack. Desde la zona de gestión de WordPress, vamos a Plugins > Añadir Nuevo , y buscamos este plugin.
3. Una vez instalado, vamos a Usuarios > Todos los Usuarios y hacemos clic en el usuario en el que queremos activar la verificación. Lo recomendable es activarlo al menos en todos los usuarios tipo Administrador.
En esta página de gestión de usuario, veremos el nuevo bloque de Google Authenticator. Simplemente hacemos clic en el check de activar y en mostrar el código QR.
4. Para finalizar, abrimos la aplicación de Google Authenticator en nuestro móvil, hacemos clic en el botón +, y o bien escanemos el código QR o bien introducimos la clave secreta que aparece en nuestro WordPress. Si todo ha ido bien, tendría que aparecer un bloque con 6 números dentro de nuestro móvil similar a:
A partir de este momento nuestro WordPress ya estaría asegurado. Cada vez que se trate de entrar a la zona de gestión, se nos requerirá el usuario y contraseña, como hasta ahora, y un número de verificación que lo obtendremos abriendo en nuestro móvil la aplicación de Google Authenticator en ese preciso momento.
A continuación un videotutorial resumen de los pasos a seguir:
[youtube clipid=»7GzyVyOXTag» autoplay=»0″]
