Cómo configurar la autenticación de dos factores de WordPress: revisión de WP 2FA

¿Quiere agregar autenticación de dos factores a WordPress?

La autenticación de dos factores de WordPress puede ayudarle a proteger su sitio de WordPress protegiendo su propia cuenta de WordPress, así como las cuentas de otros usuarios de su sitio.

Cuando se trata de configurar la autenticación de dos factores en WordPress, el complemento freemium WP 2FA ofrece una de las soluciones más pulidas y flexibles. Puede funcionar igualmente bien para sitios web personales como para grandes organizaciones que necesitan políticas personalizadas de dos factores.

En nuestra revisión de WP 2FA, comenzaremos analizando brevemente las características del complemento. Luego, compartiremos una guía paso a paso sobre cómo configurar la autenticación de dos factores en WordPress usando el complemento.

¡Vamos a profundizar en!

Revisión de WP 2FA: un vistazo rápido a las características

No profundizaremos demasiado en las características de esta primera sección porque verá todo esto en la sección más práctica de nuestra revisión/tutorial de WP 2FA.

También puede encontrar todas las funciones en el sitio web de WP 2FA.

Pero, antes de comenzar, aquí hay un vistazo rápido a las características que hacen de WP 2FA uno de los mejores complementos de autenticación de dos factores de WordPress:

• Múltiples métodos de dos factores : puede elegir entre correo electrónico, SMS/mensaje de texto, cualquier aplicación de autenticación (por ejemplo, Google Authenticator) y/o notificaciones automáticas (a través de Authy). También hay una opción para generar códigos de respaldo únicos.
• Interfaz fácil de usar (frontend y backend ): los usuarios pueden administrar dos factores desde el panel de WordPress, así como desde el frontend de su sitio.
• Políticas flexibles de dos factores : puede crear políticas personalizadas de dos factores, como requerir dos factores para algunos usuarios pero no para otros.
• Etiquetado blanco : puede etiquetar en blanco todas las partes de la interfaz WP 2FA para que coincida con su marca.
• Dispositivos confiables : puede guardar un dispositivo como “confiable” durante un cierto período de tiempo para no tener que volver a realizar la operación de dos factores en ese dispositivo.
• Integraciones : ofrece integraciones listas para usar para WooCommerce y muchos complementos de membresía.

El complemento WP 2FA proviene de WP White Security, el mismo equipo detrás del popular complemento WP Activity Log; puede obtener más información al respecto en nuestra revisión de WP Activity Log.

Cómo configurar la autenticación de dos factores de WordPress con WP 2FA

Ahora, entremos en la guía paso a paso sobre cómo configurar la autenticación de dos factores de WordPress usando WP 2FA.

Para este tutorial, tenemos la versión premium del complemento instalada en nuestro sitio. Sin embargo, también hay una versión gratuita del complemento en WordPress.org y los pasos básicos serán los mismos para esa versión.

Es decir, puedes seguir esto ya sea que estés usando la versión gratuita o la versión paga.

1. Instale el complemento y complete el asistente de configuración

Cuando instale y active por primera vez el complemento WP 2FA, se iniciará automáticamente un asistente de configuración para ayudarlo a completar algunos pasos de configuración básicos importantes.

Para el primer paso, elegirá su método de autenticación de dos factores preferido entre cinco opciones diferentes.

Puedes elegir tantas o tan pocas opciones como quieras. Si proporciona varios métodos, los usuarios podrán elegir con qué método autenticarse.

Algunos de ellos, como el envío de mensajes SMS a través de Twilio, requerirán alguna configuración adicional. Más sobre eso más adelante.

En el siguiente paso, puede habilitar métodos alternativos, como permitir que los usuarios generen códigos de respaldo únicos que pueden usar si pierden su método principal.

A continuación, puede elegir su política 2FA, también conocida como qué usuarios deben utilizar la autenticación de dos factores. Tienes tres opciones:

1. Todos los usuarios : requiere que todos los usuarios configuren y utilicen la autenticación de dos factores. Más adelante, podrás configurar otras configuraciones, como un período de gracia para configurarlo.
2. Solo para usuarios y roles específicos : solo requiere que ciertos usuarios utilicen la autenticación de dos factores. Por ejemplo, puede exigir que los administradores y editores utilicen la autenticación de dos factores, pero no los autores ni los suscriptores. También puede solicitarlo para nombres de usuario específicos.
3. No lo imponga a ningún usuario , no obligue a ningún usuario a utilizar la autenticación de dos factores, simplemente proporciónelo como una opción si desean proteger sus cuentas.

Si elige una de las dos primeras opciones, el siguiente paso le dará la opción de excluir manualmente a ciertos usuarios.

No verás este paso si eliges no aplicar 2fa a ningún usuario.

Finalmente, el último paso le permite configurar su período de gracia. Esto le permite dar a los nuevos usuarios una cierta cantidad de tiempo para configurar la autenticación de dos factores.

Por ejemplo, podría darles tres días antes de empezar a hacer cumplir la norma.

Alternativamente, puede seleccionar la opción Los usuarios deben configurar 2FA de inmediato para obligar a los usuarios a configurarlo de inmediato.

¡Y eso es todo por el asistente de configuración!

2. Configure 2FA para su propia cuenta

Una vez que haya completado el asistente de configuración, el siguiente paso es configurar la autenticación de dos factores para su propia cuenta:

1. Vaya a Usuarios → Perfil en su panel de WordPress para abrir su propio perfil de usuario.
2. Desplácese hacia abajo hasta la sección Configuración de autenticación de dos factores .
3. Haga clic en el botón Configurar 2FA .

Ahora verá una ventana emergente que le permitirá elegir entre los métodos de autenticación de dos factores disponibles que eligió en el asistente de configuración:

Por ejemplo, si elige la opción de aplicación 2FA (por ejemplo, Google Authenticator), se le pedirá que configure su aplicación 2FA escaneando el código QR:

El complemento agregará automáticamente el nombre de dominio de su sitio y su cuenta de usuario a la aplicación de dos factores (si corresponde):

Luego, el complemento le pedirá que ingrese el código de autenticación para validar que haya configurado correctamente su aplicación:

Después de eso, el complemento también le pedirá que configure un método de copia de seguridad. Por ejemplo, puedes descargar algunos códigos de respaldo de un solo uso en caso de que no puedas generar un código desde la aplicación:

Puedes enviar los códigos por correo electrónico, imprimirlos o copiarlos a tu portapapeles:

¡Y eso es! Su cuenta de administrador de WordPress ahora se beneficia de la autenticación de dos factores.

El proceso de configuración será similar para otros usuarios de su sitio; le mostraré un ejemplo más adelante.

3. Configure más sus políticas 2FA

Si bien el asistente de configuración de WP 2FA le permite configurar políticas básicas para la autenticación de dos factores de WordPress, el área de configuración completa del complemento le brinda aún más control.

Para acceder a estas configuraciones, vaya a WP 2FA → Políticas 2FA .

Aquí puede configurar políticas para todo el sitio. O también puede configurar políticas completamente diferentes basadas en diferentes roles de usuario, que puede seleccionar mediante el menú desplegable.

Estas son algunas de las nuevas configuraciones que obtienes y que no formaban parte del asistente de configuración:

• Enlaces de autenticación de correo electrónico : elija durante cuánto tiempo son válidos y qué correos electrónicos pueden usar las personas.
• Recordar este dispositivo : elija si desea permitir que las personas recuerden dispositivos. Si está habilitado, no necesitarán usar dos factores para ese dispositivo después de su primer inicio de sesión. También puede elegir cuánto tiempo recordar el dispositivo antes de que los usuarios necesiten volver a autenticarse.
• Redirigir después de la configuración : puede redirigir a los usuarios a una determinada URL después de que hayan configurado dos factores.
• Páginas frontend 2FA : si no desea que las personas utilicen el panel de control backend, también puede configurar una página frontend para que administren su configuración de dos factores.

Nuevamente, puede establecer un valor predeterminado para todo el sitio pero luego también ajustar esta configuración para varios roles de usuario.

4. Explora todas las configuraciones de WP 2FA

Si desea configurar aún más el complemento, WP 2FA también ofrece un área de configuración dedicada. No es necesario cambiar nada aquí, pero ofrece algunas opciones útiles:

• Correos electrónicos y plantillas : personalice los correos electrónicos de dos factores que envía el complemento.
• Etiquetado blanco : coloque etiquetas blancas en todas las interfaces del complemento para que coincidan con las suyas. Puedes personalizar el logo, los colores y el texto de todo.
• Integraciones : puede configurar integraciones con otros servicios, incluidos los siguientes: Authy ( notificaciones push para dos factores ), Twilio ( mensajes de texto para dos factores ) y WooCommerce.

Por ejemplo, al personalizar los correos electrónicos, obtienes un editor de texto y un montón de etiquetas combinadas que te permiten insertar información dinámica:

Para el etiquetado blanco, puede utilizar el menú desplegable para personalizar todas las diferentes áreas del complemento:

¡Y eso es todo para configurar el complemento!

Cómo otros usuarios de su sitio configurarán la autenticación de dos factores

Ya te mostré cómo configurar la autenticación de dos factores de WordPress para tu propia cuenta, pero ¿qué pasa con otros usuarios?

La forma en que otros usuarios configuren dos factores dependerá de dos variables:

1. Período de gracia : si requiere que los usuarios configuren dos factores de inmediato, se les pedirá que lo hagan inmediatamente después de iniciar sesión por primera vez. Si les das un período de gracia de unos días, podrán esperar.
2. Interfaz frontend : la interfaz backend funciona de manera similar a lo que les mostré arriba. Pero si habilita la interfaz frontal, se verá un poco diferente.

Aquí hay unos ejemplos…

Si no ofrece ningún período de gracia, los usuarios serán redirigidos automáticamente a su página de perfil con la ventana emergente de configuración de dos factores abierta ( al igual que la interfaz que utilizó para configurarla para su propia cuenta ).

Los usuarios no podrán acceder a ninguna parte del panel hasta que completen la configuración.

Si habilita la página de configuración de dos factores de la interfaz, puede agregarla en cualquier lugar de su sitio usando el código corto [wp-2fa-setup-form].

Al hacer clic en ese botón se abrirá el mismo mensaje de configuración anterior; la única diferencia es que todo sucede en la interfaz de su sitio:

Nuevamente, puede etiquetar en blanco todo este texto para integrarlo aún más con su sitio.

Por ejemplo, aquí puedes ver que he personalizado el texto de la ventana emergente para WPKube:

Una vez que los usuarios configuren su método de dos factores, verán algunas opciones adicionales para cambiar su configuración o generar códigos de respaldo:

Informes de autenticación de dos factores de WordPress

Para ayudarle a ver lo que sucede en su sitio, el complemento también incluye una herramienta de informes para evaluar rápidamente el uso de dos factores.

Puede acceder a él yendo a WP 2FA → Informes .

Precios de WP 2FA

WP 2FA viene en una versión gratuita en WordPress.org y en una versión premium con más funciones.

En general, la versión gratuita debería estar bien si sólo deseas proteger tu propia cuenta de administrador de WordPress. Ya admite autenticación de dos factores a través de aplicaciones de teléfonos inteligentes, correo electrónico y códigos de respaldo.

Sin embargo, si tiene otros usuarios en su sitio y desea configurar políticas de autenticación de dos factores para esos usuarios, le recomendaría actualizar a la versión premium.

Más allá de brindarle más control sobre las políticas y el comportamiento de dos factores, la versión premium también agrega métodos adicionales como notificaciones push de Authy y mensajes SMS a través de Twilio.

Estas son algunas de las características más importantes de la versión premium:

• Más métodos 2FA, incluidos SMS, notificaciones automáticas e inicio de sesión con un clic.
• Opción para agregar dispositivos de confianza (“Recordar este dispositivo).
• Soporte de etiqueta blanca para personalizar la interfaz.
• Ajuste las políticas de 2FA para diferentes tipos de usuarios.

Hay dos variables principales que afectan el precio:

• Número de usuarios : en lugar de facturarle según la cantidad de sitios web que tenga, WP 2FA le factura según la cantidad de cuentas de usuario que activan la autenticación de dos factores. Todos los planes admiten sitios ilimitados y los usuarios pueden distribuirse en cualquier número de sitios.
• Funciones : existen algunas diferencias de funciones entre los diferentes niveles.

El plan Enterprise también ofrece soporte prioritario.

Aquí hay una captura de pantalla de precios que ilustra la diferencia:

• El gran precio en la parte superior es para hasta cinco cuentas de usuario .
• El precio en el menú desplegable es para ampliar el uso hasta 25 cuentas de usuario .

Nuevamente, los límites de usuarios solo se aplican a cuentas de usuario que han habilitado la autenticación de dos factores. Si tiene 250 usuarios pero solo 10 de ellos tienen autenticación de dos factores, eso solo cuenta como 10 usuarios a efectos de facturación.

Si desea probar las funciones premium, el complemento tiene dos políticas relevantes aquí:

1. Puede obtener una prueba gratuita de 14 días de las funciones premium para probar todo.
2. Hay una garantía de devolución de dinero de 30 días si tiene algún problema más allá de la prueba.

También puede ahorrar un 20 % en cualquier plan de licencia utilizando nuestro código de cupón exclusivo WP 2FA.

Comprar WP 2FA

Revisión de WP 2FA: ventajas y desventajas de utilizar este complemento

Para resumir lo que discutimos en nuestra revisión de WP 2FA, repasemos algunos de los pros y los contras de usar este complemento.

Ventajas de WP 2FA

• Compatibilidad con los métodos más populares : WP 2FA admite la mayoría de los métodos populares que utilizan las personas, incluidas aplicaciones de autenticación TOTP/HOTP, correo electrónico, mensajes de texto, notificaciones automáticas y códigos de respaldo.
• Políticas de dos factores altamente configurables : obtiene mucha flexibilidad para controlar los requisitos de dos factores en su sitio. Por ejemplo, configurar diferentes reglas para diferentes roles de WordPress y dar a las personas un período de gracia para configurar la autenticación de dos factores.
• Etiquetado blanco completo : puede etiquetar en blanco cada parte de la interfaz, incluidos texto, correos electrónicos, colores, logotipos y más.
• Paneles de control frontal : puede permitir que los usuarios administren sus métodos de dos factores desde el interfaz de su sitio (además del panel de WordPress).
• Diseños pulidos : WP 2FA tiene diseños profesionales muy pulidos, lo que no siempre es el caso con otros complementos de autenticación de dos factores de WordPress.
• Integraciones : WP 2FA se integra con WooCommerce y muchos complementos de membresía.

Contras de WP 2FA

• No es compatible con FIDO U2F : WP 2FA actualmente no admite FIDO U2F como opción de dos factores, lo que significa que no puede usar métodos de hardware físico como Yubikey o Google Titan.
• El modelo de precios por usuario puede ser costoso para muchos usuarios : si tiene más de 100 usuarios, el modelo de facturación de WP 2FA basado en la cantidad de usuarios con 2FA activo podría hacerlo más costoso que otras soluciones. Sin embargo, la ventaja es que WP 2FA puede ser más económico que otras soluciones si solo tiene una pequeña cantidad de usuarios.

Preguntas frecuentes sobre WP 2FA

Para finalizar nuestra revisión de WP 2FA, repasemos algunas preguntas comunes que pueda tener sobre el complemento.

¿WP 2FA es gratuito?

WP 2FA ofrece una versión gratuita en WordPress.org que debería funcionar bien para la autenticación básica de dos factores.

¿WP 2FA admite aplicaciones de autenticación?

WP 2FA funciona con cualquier aplicación de autenticación que admita los protocolos TOTP/HOTP, que incluyen Google Authenticator, Authy, LastPass Authenticator, Microsoft Authenticator, etc.

¿WP 2FA admite códigos de respaldo?

WP 2FA permite a los usuarios generar códigos de respaldo sin conexión. Los usuarios pueden copiar, imprimir o enviar por correo electrónico los códigos.

¿WP 2FA admite la verificación de correo electrónico?

WP 2FA permite a los usuarios recibir su código de verificación único mediante correo electrónico. Para garantizar la confiabilidad, debe asegurarse de configurar un servicio de envío SMTP de WordPress para que los correos electrónicos lleguen a las bandejas de entrada de los usuarios.

¿WP 2FA admite la verificación de mensajes de texto?

La versión premium de WP 2FA admite la verificación de SMS/mensajes de texto. Para impulsar este servicio, utiliza una integración con Twilio.

¿WP 2FA es compatible con FIDO U2F (Yubikey)?

WP 2FA no es compatible con FIDO U2F en este momento. Si desea utilizar claves físicas de hardware como métodos de dos factores, deberá elegir un complemento de dos factores diferente.

Reflexiones finales sobre nuestra revisión de WP 2FA

En general, WP 2FA ofrece una forma muy refinada de configurar la autenticación de dos factores de WordPress y proteger su sitio web de WordPress.

Creo que hay algunas áreas en las que el complemento sobresale:

• Excelente interfaz con etiquetas blancas : la interfaz es más fácil de usar y está mejor diseñada que la mayoría de las otras soluciones de dos factores, incluida la posibilidad de que las personas administren dos factores desde el frontend. También puedes etiquetarlo en blanco para que coincida con tu marca y crear una experiencia completamente personalizada.
• Políticas flexibles : le brinda mucha flexibilidad para crear una política de dos factores que satisfaga las necesidades de su organización.
• Admite múltiples métodos : admite una amplia gama de métodos que incluyen correo electrónico, SMS, aplicación de autenticación, notificaciones automáticas y códigos de respaldo de un solo uso.

Actualmente no es compatible con FIDO U2F, por lo que no es la mejor opción si desea utilizar claves físicas de hardware como Yubikey. Pero, fuera de esa limitación, creo que es una excelente manera de configurar la autenticación de dos factores de WordPress.

Entonces, si desea utilizar métodos de dos factores como correo electrónico, SMS y/o aplicaciones de autenticación, definitivamente debería echarle un vistazo a este. Asegúrese de utilizar nuestro código de cupón WP 2FA para ahorrar un 20% en cualquier licencia.

Obtenga WP 2FA

También puedes emparejar WP 2FA con el complemento WP Activity Log del mismo desarrollador para proteger aún más tu sitio. Puede obtener más información en nuestra revisión del Registro de actividad de WP y ahorrar con nuestro cupón de Registro de actividad de WP.