Spotlight con sus iThems Security Pro – Autenticación de dos factores

En las publicaciones de Spotlight de características, destacaremos una característica en Ithemes Security Pro y compartiremos un poco sobre por qué desarrollamos la función, para quienes es funcional y cómo usar la función. Hoy cubriremos la autenticación con dos factores, un método probado para asegurar y proteger su sitio de WordPress. Por qué desarrollamos la autenticación con dos factores según el informe investigador sobre la violación de datos de Verizon, más del 70% de los empleados reutilizan las contraseñas en el trabajo. Pero las estadísticas más importantes en el informe es que “el 81% de las violaciones de piratería han utilizado contraseñas robadas o débiles”.
En una lista compilada por Splash Data, la contraseña más común incluida en todos los depósitos de datos fue 123456. A pesar de que el 91% de las personas saben que la reutilización de las contraseñas es una práctica débil, ¡un asombroso 59% de las personas reutilizan sus contraseñas en todas partes! Muchas de estas personas todavía usan contraseñas que han aparecido en una estúpida base de datos. Una descarga de la base de datos aparece cuando un hacker gana con éxito el acceso a una base de datos de usuarios y luego descarga el contenido en algún lugar en línea. Desafortunadamente para nosotros, estos depósitos de contenido contienen mucha conexión confidencial e información de cuenta.
„La colección no. La violación de 1 ″ de los datos alojados en Mega incluyó 1,160,253,228 combinaciones de correo electrónico y contraseña únicas. Este tipo de puntaje proporcionará un hocico malicioso con más de mil millones de conjuntos de credenciales para usar en ataques crudos. Los ataques de fuerza bruta se refieren a un método de prueba y error utilizado para descubrir combinaciones de nombre de usuario y contraseña para ingresar a un sitio web. Todas estas razones y muchas más deberían hacer que desee agregar otra capa protectora al inicio de sesión de WordPress. Bien, entonces usted es el tipo de persona que usa un administrador de contraseñas como LastPass para crear contraseñas fuertes y únicas para cada una de sus cuentas, pero. ¿Qué les sucede a otros usuarios de administrador y editor en su sitio? Si un atacante ha logrado comprometer una de sus cuentas, aún podría causar mucho daño a su sitio web.
Si solo había un método para asegurar sus cuentas de usuario de WordPress, Google dijo que es el 100% de los ataques de bots automatizados. Lo que es la autenticación de dos factores. La autenticación de dos factores es un proceso para verificar la identidad de una persona mediante la necesidad de dos métodos de verificación separados. Google ha compartido en su blog que el uso de la autenticación de dos factores puede detener el 100% de los ataques automáticos de hocico. Realmente me gustan estas probabilidades. Hay 3 categorías de comprobación de identidad 1. Algo que sabe. ¿Recuerdas que ha completado preguntas de seguridad al configurar su cuenta hipotecaria en línea? ¿Algo como quién es tu maestro favorito? ¿O cuál es el nombre de la niña de tu madre? Estas preguntas de seguridad son una forma de autenticación con dos factores, que requieren respuestas que solo conoció. Algo que tienes. Esta categoría requiere que tenga algo físico en su poder, como un teléfono o un Yubikey, para demostrar su identidad. Por ejemplo, algunos métodos de autenticación de dos factores requieren un código basado en el tiempo enviado a un dispositivo en particular a través de una aplicación 2FA. 3. Algo que eres. Es posible que no conozca el nombre, pero si tiene un teléfono inteligente, probablemente haya utilizado la autenticación biométrica para conectarse a su teléfono. La autenticación biométrica requiere una característica biológica única para autenticar sus datos de conexión. Si su teléfono tiene un escáner de huellas digitales o una identificación facial, use autenticación biométrica cada vez que desbloquee su teléfono.
Solicitar otro método de verificación de identidad adicional para conectarse a su sitio web bloqueará todos los ataques de fuerza bruta automatizada e incluso lo ayudará a protegerse si hay autenticación interrumpida en su sitio web. Una vulnerabilidad de autenticación interrumpida puede permitir que un atacante comprometa a un usuario o contraseñas, claves o chips de sesión de usuario para hacerse cargo de las cuentas del usuario. Cómo usar dos factores en iThems Security Pro para comenzar con la autenticación de dos factores, navegar a las características del menú de la configuración de seguridad y activar la función de dos factores. Después de activar dos factores, haga clic en la configuración de la rueda dentada. Ahora echemos un vistazo más de cerca a la configuración de dos factores.
Métodos de autenticación disponibles para los usuarios: la configuración le permite elegir cuál de los tres métodos de autenticación permitirá que las personas usen. Los tres métodos de autenticación proporcionados por IThemes Security Pro:

Aplicación móvil: el método de aplicación móvil es el método más seguro de autenticación con dos factores proporcionados por iThemes Security Pro. Este método requiere el uso de una aplicación móvil gratuita con dos factores, como Authy.

E -Correo: el método de correo electrónico de dos factores enviará códigos sensibles a tiempo a la dirección E -Mail de su usuario.
Códigos de enlace: un conjunto de códigos de uso únicos que se pueden usar para conectarse si se pierde el método primario con dos factores.
De acuerdo, le permite cambiar al resto de la configuración con dos factores.
Forzando la autenticación de dos factores: esta opción le permite pedir a los usuarios en un grupo particular de usuarios que usen la autenticación de dos factores. Desectivate la integración de dos factores: esta configuración le permite deshabilitar dos factores de embarque para ciertos usuarios. Cubriremos la integración 2FA más en profundidad más adelante en la publicación.
Protección de usuario vulnerable: cuando se activa, esta configuración requerirá que todos los usuarios usen dos factores al conectarse si el sitio es vulnerable, como la ejecución anticuada o el software conocido como vulnerable.
Desactivación en la primera conexión: al activar la autenticación característica de forzamiento con dos factores para ciertos grupos de usuarios, se les pedirá que ingresen el token con dos factores enviados a su correo electrónico en la próxima conexión. La activación de esta configuración simplificará los flujos de la placa cuando los usuarios estén conectados por primera vez.
Texto de bienvenida a bordo: esto le permite personalizar el texto que las personas ven cuando comienzan el flujo de integración en dos factores.
La incorporación en dos factores hemos creado la integración en dos factores para crear una forma fácil de usar para configurar dos factores en sus cuentas al conectar. Después de activar la autenticación en dos factores, cada usuario se guiará por el proceso de integración. Puede deshabilitar la integración de dos factores para ciertos grupos de usuarios en la configuración de dos factores.
Bien, pasemos por el proceso de conexión y el proceso de integración en dos factores. Al igual que normalmente, lo primero que verá es el formulario de conexión. Ingrese las credenciales y haga clic en el botón de inicio de sesión. Si ha seguido nuestras recomendaciones y ha activado los requisitos de fuerza de 2FA para usuarios privilegiados, lo siguiente que verá es el lugar donde puede ingresar el token con dos factores enviados a su dirección de correo electrónico .. Abra el correo electrónico y copie y pegue el token, luego haga clic en el botón de inicio de sesión.
En la siguiente pantalla, se le presentará el texto integrado de bienvenida. Tenga en cuenta que puede personalizar esto en su configuración de dos factores. Haga clic en el botón Continuar para moverse al siguiente paso.
El siguiente paso es seleccionar los dos factores que desea activar para su cuenta. Haga clic en los códigos de repuesto para generar una lista de códigos de repuesto para usar si su método de autenticación principal falla.

Ahora haga clic en el botón Descargar para descargar un archivo de texto de sus códigos de repuesto. Asegúrese de mantener estos códigos en un lugar seguro.

Ahora haga clic en el enlace de regreso para volver a la pantalla anterior. Ahora haga clic en la flecha de la aplicación móvil para activar y configurar este método de autenticación para nuestro usuario.


Ahora elija el sistema operativo móvil y luego abra la aplicación móvil con dos factores en el teléfono.

Desde el teléfono, escanee el código QR para continuar atando el secreto a su aplicación móvil.

Ahora ingrese el código de 6 dígitos en su teléfono en su navegador web y haga clic en Verificar para completar la aplicación móvil. Bueno, ahora tiene todo configurado con dos factores, haga clic en el botón Continuar para terminar de conectarse al tablero de WordPress.

La configuración del perfil de usuario con dos factores se puede realizar en cualquier momento en que sus dos factores accedan a su página de perfil de usuario.

Desde aquí, puede crear una nueva clave secreta, activar / desactivar los métodos 2FA y actualizar su método de autenticación principal. La conclusión para resumir, no puede hacer nada más, tan fácil como agregar 2FA a su inicio de sesión de WordPress que hará más para asegurar su sitio. Si actualmente no usa dos factores, agrégalo a su sitio ahora mismo.

Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.