Episodio 2 de este Podcast sobre Seguridad en WordPress para Principiantes.

Hoy hablo de…

 

Cómo usar segundos factores de autenticación en WordPress

No es ningún secreto si te digo que la identificación tradicional con usuario y contraseña en cualquier servicio web, es un procedimiento inseguro y cada vez más fácilmente deducible.

Hay herramientas maliciosas que permiten capturar tus pulsaciones de teclado para luego enviarlas al atacante y que conozca por ejemplo tus datos de acceso a tu cuenta de correo, a tu banco online, o a tu cuenta de Facebook.

Es muy fácil encontrar en Internet herramientas que permiten lanzar ataques de fuerza bruta, algunos valiéndose de un potente diccionario de miles de combinaciones, que se utilizan para romper la seguridad de cualquier formulario de acceso que no esté debidamente protegido.

WordPress utiliza también un formulario de acceso basado en usuario y contraseña, a través de la url de tu-dominio.com/wp-admin y es tan inseguro como tener la llave de la puerta de tu casa debajo de la alfombra de entrada.

 

Pero ¿que es la doble autenticación?

Básicamente, para explicártelo de forma sencilla, te diré que se trata de añadir una capa extra de seguridad a tu acceso habitual.

Si me centro en WordPress diseccionaría un 2FA en dos partes:

  1. El acceso tradicional a /wp-admin con tu “usuario” y “contraseña” (robusto o no -hoy día es indiferente-)
  2. Un acceso de validación adicional basado en una clave aleatoria que se genera en tiempo real desde un dispositivo móvil (en la mayoría de casos).

Lo habitual es disponer de una aplicación en el móvil para generar esas contraseñas aleatorias, por ejemplo:

También se pueden recibir esas claves aleatorias por medio de mensajes SMS, procedentes de algún servicio específico en la nube (de Google o del proveedor del token).

 

¿Porqué es seguro un 2FA?

Debo decir, por experiencia propia y habiendo analizado la mayoría de sistemas de doble autenticación disponibles en el mercado y accesibles a usuarios normales que este método es 100% eficaz en la prevención de ataques de fuerza bruta a un sitio de WordPress.

Es seguro porque es casi imposible que el atacante tenga el usuario y la contraseña y además tu teléfono móvil. (No descarto situaciones puntuales específicas en las que este escenario podría suceder, pero interpreto que estarías siendo forzado en contra de tu voluntad).

 

¿Cuantos servicios de los que conoces y usas habitualmente utilizas con doble autenticación?

Cada vez más servicios online muy conocidos utilizan la doble identificación para garantizar a los usuarios un acceso seguro a sus servicios.

Sony, que tras muchos problemas en 2014 y 2015 finalmente decidió añadir doble autenticación a los servicios de PlayStation Network después de sufrir numerosos ataques con revelación de usuarios y contraseñas.

Google en su servicio estrella de correo Gmail te permite habilitar la doble autenticación con Google Authenticator.

Instagram recientemente ha habilitado el servicio de doble autenticación para tener acceso a tu cuenta desde dispositivos móviles.

 

¿Que tiene que ver esto con WordPress?

La verdad es que tanto o más porque si para ti tu cuenta de correo en Google, o tu cuenta de Instagram es más importante que tu proyecto web, tu Blog o Tienda, entonces deberías realmente preguntarte si valoras el trabajo que te supone sacar adelante tu web con WordPress.

Es muy habitual encontrar instalaciones de WordPress sobrecargadas de plugins para reforzar la seguridad que al final solo contribuyen a aumentar los tiempos de carga de la web, duplicar tareas tanto en el dashboard como en el servidor donde se aloja la web y ayudan a engordar las tablas de la base de datos del Blog.

La mayoría de veces estos plugins no son necesarios, principalmente si tu proyecto se aloja en un Hosting donde la seguridad global y de cada cuenta sea una máxima para la empresa de alojamiento.

Descansar las medidas de seguridad encaminadas a detener los ataques de fuerza bruta contra formularios de acceso, la inyección de spam o ataques de denegación de servicio en tu proveedor de Hosting te van a permitir aliviar la carga de tu Blog o Tienda WooCommerce y dedicar tus esfuerzos a construir buenos contenidos y no a fortificar.

En este sentido los segundos factores de autenticación ayudan a colocar barreras que van más allá de la clásica contraseña y el correspondiente usuario y te permiten utilizar un dispositivo móvil como herramienta para completar el acceso a tu instalación de WordPress con total seguridad.

Herramientas como Latch, desarrollada por EleventPaths, te permiten disponer de un “pestillo digital” en tu móvil que haga de interruptor de seguridad para abrir y cerrar el acceso al formulario de acceso con total seguridad.

 

En este vídeo puedes ver mi última emisión en Facebook LIVE donde explico las facilidades que Latch (pestillo digital) puede aportar a tu instalación de WordPress.

 

Es posible que en algún momento tu usuario y contraseña de acceso a WordPress puedan haber sido comprometidos, pero será muy difícil que la persona que haya obtenido tus datos de acceso de forma fraudulenta además tenga acceso a tu dispositivo móvil para poder completar el proceso de login a tu web.

Este punto es determinante para considerar que activar un segundo factor de autenticación en el formulario de acceso de tu WordPress es probablemente la mejor medida para combatir ataques contra tu web usando técnicas encaminadas a romper esa seguridad.

Se tardan 5 minutos en aplicar un 2FA en tu Blog WordPress, ya sea con el uso del pestillo digital Latch, o utilizando Google Authenticator o servicios similares, y a cambio obtienes un nivel de seguridad muy alto a coste cero.

 

En pocos pasos puedes instalar Latch en WordPress:

  1. Crea una cuenta “gratuita” de usuario en el servicio de Latch.
  2. Ten preparada una instalación de WordPress en la que implementar Latch.
  3. Busca e instala el plugin Latch para WordPress (desde el dashboard).
  4. Instala la App de Latch en tu móvil (es el token físico).
  5. Busca 5 minutos de tiempo para parear el acceso a tu blog por medio del plugin con Latch
  6. Descansa tranquilo porque ahora los malos lo tendrán un poco más difícil.

 

Si tu proyecto, tu trabajo o tus ingresos dependen de tu web realizada con WordPress, la primera línea de defensa eres siempre tú. - tuitealo

Powered by Vcgs-Toolbox

 

Combatir los ataques de fuerza bruta no necesariamente implica llenar tu instalación de WordPress de plugins redundantes, hay medidas muy simples y rápidas de aplicar con las que obtendrás mayores niveles de seguridad …y de tranquilidad.

 

Este PODCAST ha sido patrocinado por:

nosolocodigo.com

Si necesitas resolver problemas con infecciones o hackeos en tu web WordPress, en nosolocodigo.com encontrarás un grupo de profesionales que te ayudarán a resolver este problema y segurizar mejor tu web.  NOSOLOCODIGO.COM

 

Este ha sido el 2º Podcast de Seguridad en WordPress para Principiantes dedicado a ti que acabas de empezar con tu Blog, tu Tienda online con WooCommerce o tu que tienes muchas dudas con la seguridad de tu sitio web y no sabes cómo mejorarla.

Recordarte que este PODCAST lo puedes escuchar desde tu dispositivo en iTunes, iVOOX y Stitcher

Nos vemos en el próximo PODCAST dedicado a WordPress y su seguridad!!

 
 

Mis post en tu correo cuando se publiquen

Sin SPAM ¡Palabra!

Compartir es GRATIS ¿te animas?Tweet about this on TwitterShare on Google+1Share on Facebook0Pin on Pinterest0Email this to someone