homefinance blog
Hay muchos vectores de ataque que pueden comprometer el sitio web administrado de WordPress, y la lista aumenta a medida que los piratas informáticos mejoran sus métodos. Pero extrañamente, los ataques de fuerza bruta siguen siendo uno de los mayores y más rápido crecimiento entre estas amenazas. La compañía de seguridad web de Sucuri sigue los ataques diarios con fuerza bruta en su red de sitios protegidos de WordPress, y las estadísticas son sorprendentes. Desde enero de 2015 hasta febrero de 2016, el número diario de ataques de fuerza bruta en su red ha aumentado en un 833%.
Los sitios experimentados de WordPress han tratado tradicionalmente de aliviar la fuerza bruta y otras formas de ataque asegurando sus sitios con frases de acceso, contraseñas poderosas y SSL. Pero estas técnicas solas no son suficientes. Los propietarios del sitio deben completar estos métodos con otros enfoques avanzados y tienen que hacerlo lo más rentable posible. Uno de estos enfoques que se ajusta bastante bien es la autenticación con dos factores.
¿Cuáles son los dos factores de autenticación?
La autenticación de dos factores es ampliamente utilizada por muchas compañías que tratan con seguridad para proteger a sus usuarios de la fuerza bruta y otros tipos de ataques que implican comprometer las cuentas de los usuarios. Los ejemplos de industrias que utilizan ampliamente la autenticación de dos factores incluyen servicios financieros, proveedores de servicios minoristas y en línea, como proveedores de correo electrónico. De hecho, existe la posibilidad de que en los últimos días haya utilizado la autenticación de dos factores sin darse cuenta.
Asistencia de WordPress 24/7 de verdaderos expertos de WordPress
SABER MÁS
Simplemente dicho, la autenticación de dos factores es un método para verificar a un usuario a través de una combinación de dos formas diferentes de autenticación. En la mayoría de los casos, el primer factor es una combinación de usuario/contraseña, y el segundo factor es un símbolo u otra forma de identificación única. Uno de los ejemplos más extendidos de autenticación con dos factores en uso hoy proviene del sector minorista. ¿Recuerdas la última vez que pagaste alimentos usando la tarjeta de débito? El primer factor de autenticación que proporcionó fue la tarjeta de débito en sí, que pasó. El segundo factor fue el código PIN que ingresó en el terminal de la tarjeta de crédito. Individualmente, estos artículos no son muy útiles, pero cuando se usan juntos, proporcionan acceso al dinero en su cuenta. Existen muchos métodos diferentes para generar y entrega de los CODS/códigos de acceso que actúan como el segundo factor de autenticación. Métodos modernos de autenticación de dos factores
La autenticación moderna, en línea, de dos factores es bastante efectiva para combatir los ataques de las fuerzas brutas. Esto se debe al hecho de que requiere un segundo factor para autorizar el acceso a la cuenta que se genera sobre el uso único. En general, esto involucra al titular de la cuenta para proporcionar una contraseña o token generado por una aplicación o directamente por el proveedor. La forma en que el titular de la cuenta recibe o ve este símbolo de autenticación varía, pero el más común es uno de los siguientes métodos:
Un correo electrónico a una dirección de correo electrónico verificada que contiene un símbolo
Un mensaje de texto a un número de teléfono verificado que contiene un símbolo
Una aplicación como Google Authenticator genera tokens basados en el tiempo para la autenticación de otros tipos de aplicaciones, como Clef, ofrece mecanismos más sofisticados para formas únicas de verificación
El proceso es en realidad simple. Un usuario visita un sitio web que quiere autenticarse y proporciona su nombre de usuario y contraseña para el sitio. Luego, el sitio envía un token de seguridad al usuario en función de uno de los métodos enumerados anteriormente y luego le pide al usuario que introduzca este token. Los sitios solo pueden ofrecer algunas o todas las opciones mencionadas anteriormente para la entrega del símbolo secundario, y el método utilizado es establecido por el usuario en las preferencias de su cuenta.
Entonces, ¿qué sucede si un usuario pierde acceso al método de entrega que especificó para su símbolo secundario? Por ejemplo, un usuario puede haber elegido recibir un mensaje de texto en su teléfono inteligente, pero su teléfono inteligente fue robado. En este caso, los proveedores generalmente proporcionan un código de recuperación único o un conjunto de códigos de recuperación para usarlos en una situación en la que un usuario no puede acceder al método de entrega favorito. Los usuarios pueden imprimir y almacenar estos códigos para su uso posterior si es necesario. Proporcionar dos factores en la adopción de WordPress de dos factores por parte de los propietarios del sitio de WordPress ha aumentado significativamente en los últimos dos años. Esto se debió en gran medida a la gama de complementos que ahora están disponibles para implementar este método de forma rápida y accesible. Hemos reunido una breve lista de algunos de los complementos principales utilizados hoy.
Dos factores
Hay una característica de autenticación con dos factores que se combinarán en WordPress Core 4.6 (esperando la finalización, por supuesto). El proyecto de dos factores está dirigido por George Stephanis, que es miembro del equipo de JetPack. George también tiene 19 complementos en su crédito, incluidas las imágenes receptivas RICG y el control de actualizaciones, ambos con más de 10,000 descargas. Dos factores todavía presenta algunos errores, pero es muy fácil de usar y proporciona soporte para los siguientes métodos de autenticación: contraseña única basada en el tiempo (TOTP)
Correo electrónico
Códigos de recuperación
Fido U2F
Además, este complemento ofrece a los administradores de WordPress la capacidad de administrar, cambiar y forzar dos opciones de autenticación de factores para otros usuarios en su sitio.
Autenticador de Google
El complemento de Google Authenticator ofrece el método de autenticación de Google con dos factores y es muy fácil de usar. Los usuarios instalan la aplicación Google Authenticator en su teléfono inteligente y luego la usan para escanear un código QR que se genera en su página de inicio de sesión de WordPress. A su vez, genera una contraseña que luego se ingresa en la página de Connect. El complemento es fácil de configurar y usar e incluso ofrece una funcionalidad y administración simples de las contraseñas de la aplicación. Autenticación con dos factores
Conexión de WordPress asegurada con este enchufe de autenticación de dos factores (TFA / 2FA). Los usuarios para quienes se activa necesitarán un código único para autenticar. De los autores UpdraftPlus: el complemento WP de respaldo/restauración no. 1, con más de dos millones de instalaciones activas.
Autenticación en dos factores de WordPress (2FA)
Tags Autenticación en dos factores de WordPress (2FA)
