Llave de Seguridad para 2FA / MFA en WordPress

La seguridad, hoy en día, ya no es suficiente con un usuario y una contraseña, ya sea más o menos segura. Ahora es necesario un segundo factor de autenticación.

Si bien es cierto que WordPress por defecto genera claves bastante seguras, nunca puedes saber si posteriormente un usuario realmente acaba poniendo una segura o no segura, así que podemos forzar a determinados usuarios a usar un sistema de 2FA (segundo factor de autenticación) / MFA (multi factor de autenticación).

Personalmente soy muy fan de los plugins que la propia Comunidad WordPress hace, a modo de feature plugin, como podría ser este, y es que esta funcionalidad que aporta el plugin quizá debería venir por defecto en el propio núcleo de WordPress.

El plugin Two-Factor viene de una propuesta de 2013, que se materializó en 2018 con la creación de un repositorio dentro de WordPress para su desarrollo.

El plugin crea una pequeña ficha en el perfil del usuario en el que se pueden configurar 4+1 métodos:

  1. Correo electrónico:
    Si se activa este sistema, tras introducir el usuario y contraseña, te manda un correo electrónico en el que viene un código (numérico) que tendrás que introducir.
  2. Contraseña de un solo uso basada en tiempo (TOTP):
    Deberás configurar una aplicación que genere códigos de tiempo TOPT. Lo más habitual es escanear el código QR que ofrece y usar una aplicación del móvil (tipo FreeOTP -código abierto-).
    Si se activa este sistema, tras introducir el usuario y contraseña, te pide el código numérico generado por la aplicación, que tendrás que introducir.
  3. Claves de seguridad FIDO U2F:
    Si tienes una llave de seguridad FIDO / U2F, que es un elemento de hardware, podrás incluirla en la lista y cuando accedas a WordPress te pedirá que la utilices.
  4. Códigos de verificación de respaldo (de un solo uso):
    Siempre está bien generar estos 10 códigos únicos y guardarlos. Son códigos de un sólo uso que permiten el acceso si el resto de sistemas falla (por ejemplo, imagina que el correo electrónico no llega, que ya no tienes la App en el móvil o que no tienes a mano el dispositivo.
  5. Método simulado:
    Este es un método de prueba. Sólo debe usarse para hacer pruebas y nunca en producción.

Hasta ahora era muy fan de usar, al menos, un código por correo si es que tu correo tiene ya de por sí un método de 2FA, pero como últimamente se están produciendo muchos hackeos en dispositivos móviles (que incluyen los accesos del correo y de las aplicaciones 2FA) he decidido dar un paso más allá y hacer pruebas con un dispositivo físico, que aparentemente es como un pendrive.

Como es mi primer dispositivo me he ido a lo fácil y barato, que no tiene validación por huella como tienen otros.

Este dispositivo es un pendrive muy pequeño que incluye un botón/led. Una vez configurado en el sistema operativo, en el fondo es un hardware que lleva una clave interna que es la que valida que eres tú.

Otros dispositivos que pueden ser interesantes por calidad/precio:

Por norma general lo mejor es configurar varias opciones y dejar una de ellas por defecto. En caso de que no tengas opción de usar esa, siempre podrás utilizar un sistema alternativo.

Opciones de Two-Factor y Claves de Seguridad.

Para registrar una nueva Clave de Seguridad nueva hemos de pulsar en el botón de «Registrar una nueva clave» y nos saltará el sistema operativo para que la pongamos. Una vez puesta, normalmente pide validarla (que en el caso que os comento, es pulsar la bombilla led que parpadea) y una vez esto, podemos cambiarle el nombre al dispositivo.

A partir de aquí, cuando accedamos a nuestro WordPress nos pedirá el usuario y contraseña, y posteriormente alguno de los sistemas de seguridad de segundo factor de autenticación disponibles.

Sin duda un siguiente paso en la mejora de la seguridad para el acceso a los sitios WordPress.


Sobre este documento

Este documento está regulado por la licencia EUPL v1.2, publicado en WP SysAdmin y creado por Javier Casares. Por favor, si utilizas este contenido en tu sitio web, tu presentación o cualquier material que distribuyas, recuerda hacer una mención a este sitio o a su autor, y teniendo que poner el material que crees bajo licencia EUPL.