Cómo recuperarse de un bloqueo 2FA de WordPress
Inicio » Red de blogueros de seguridad » Cómo recuperarse de un bloqueo 2FA de WordPress
Usar 2FA para proteger su sitio web de WordPress es, con mucho, una de las mejores medidas de seguridad que puede tomar. Agrega una capa adicional de seguridad y es muy fácil de configurar. Además, tiene un historial comprobado de detener la gran mayoría de los ataques basados en inicio de sesión, como los ataques de fuerza bruta. Si bien muchos administradores de WordPress ya han implementado 2FA, varios todavía se alejan de esta tecnología. Una de las principales razones de esto es la idea errónea acerca de los cierres patronales.
En este artículo, veremos los pasos preventivos que puede tomar para evitar bloqueos. También analizaremos lo que puede hacer si ha sido bloqueado debido a la pérdida del dispositivo 2FA o una interrupción del servicio.
Tabla de contenido
2FA se puede implementar fácilmente en cualquier sitio web de WordPress utilizando un complemento de WordPress. En la mayoría de los casos, el complemento funciona independientemente de cualquier otro servicio y no requiere ninguna suscripción de terceros. Esto reduce el número de 'partes móviles' en el ecosistema. Algunos métodos 2FA, como SMS, Whatsapp y voz, requerirán una suscripción por separado para funcionar, ya que dependen de redes de terceros para entregar la OTP (contraseña de un solo uso) requerida para que funcione 2FA.
En este artículo, usaremos el complemento WP 2FA para ilustrar las opciones de recuperación de 2FA al usar 2FA en WordPress. Cabe señalar que WP 2FA viene con no menos de seis canales de autenticación diferentes para elegir, lo que lo convierte en uno de los complementos de WordPress 2FA más completos disponibles en el mercado hoy en día.
Planificar con anticipación suele ser la mejor manera de evitar los dolores y molestias de un bloqueo 2FA. Ya sea que haya configurado 2FA o aún esté en la fase de investigación, hay pasos que puede seguir para evitar bloqueos. Esto no solo aliviará su aprensión y la de sus usuarios acerca de la tecnología, sino que también evitará el tiempo de inactividad y eliminará la pérdida de productividad.
Uno de los problemas que enfrentan muchos administradores de WordPress es que los usuarios no configuran la autenticación de dos factores dentro del período de gracia proporcionado. Dependiendo de cómo esté configurada la política, la cuenta de usuario puede estar bloqueada, lo que requiere que un administrador la desbloquee.
Si bien esta podría ser la opción más segura, si usted es un administrador que administra una parte justa de usuarios distraídos, es posible que desee bloquear el acceso al tablero hasta que se configure 2FA en su lugar. Esto garantiza que los usuarios configuren 2FA sin requerir la intervención de su parte para desbloquear la cuenta.
WP2FA ofrece una selección de métodos de autenticación 2FA alternativos para ayudarlo a evitar bloqueos. Dado que los bloqueos pueden ocurrir por varias razones que pueden estar fuera de su control, como que un usuario olvide o pierda su teléfono, tomar medidas preventivas siempre es una opción inteligente.
Los métodos de verificación alternativos le permiten elegir un método 2FA alternativo en caso de que falle el método principal. Aquí, un usuario puede configurar cualquiera de los métodos disponibles como sus métodos principales y luego preconfigurar un método secundario. Ilustremos esto con un ejemplo. Un usuario puede tener la aplicación TOTP Authenticator configurada como su método principal y el correo electrónico como segundo. Si alguna vez olvidan su teléfono, lo llevan a reparar o se queda sin batería, simplemente pueden optar por recibir su OTP por correo electrónico.
WP 2FA también ofrece códigos de respaldo que los usuarios pueden descargar previamente para usarlos en caso de que no puedan iniciar sesión con su método principal.
Si actualmente está bloqueado y no tiene un método de copia de seguridad o un método secundario configurado, aún puede recuperar el acceso a su cuenta de WordPress. Sin embargo, solo tomará un poco más de trabajo, pero no debería tomar más de unos minutos.
Antes de continuar, primero debe verificar si hay algún otro usuario administrador que todavía tenga acceso a WordPress. Si este es el caso, puede pedirles que restablezcan su configuración 2FA a través de la página de perfil.
Si no hay nadie que pueda restablecer su configuración 2FA, deberá desactivar manualmente el complemento para poder acceder a WordPress sin tener que ingresar su código 2FA. Necesitará acceso FTP/SFTP o SSH para cambiar el nombre de la carpeta del complemento. Esto desactivará efectivamente el complemento, permitiéndole iniciar sesión sin 2FA.
Los bloqueos de 2FA pueden ocurrir por varias razones, según el método elegido. Saber por qué no recibe un código o por qué el código no funciona puede ayudarlo a solucionar los problemas mucho más rápido.
La autenticación por correo electrónico es una de las formas más fáciles en que los usuarios pueden obtener su código de autenticación para iniciar sesión. Si bien este método funciona perfectamente bien, debe recordar que depende de que su sitio web de WordPress pueda enviar correos electrónicos de manera oportuna. También depende de factores fuera de su control, como que su proveedor de alojamiento reenvíe dichos correos electrónicos. WordPress usa la función wp_mail para enviar correos electrónicos. La función se basa en la función de correo de PHP, que no es la opción más confiable para garantizar la entrega de correos electrónicos. Otra cosa a considerar es su alojamiento. Algunos proveedores de alojamiento prohíben el correo electrónico por completo para evitar que sus servidores se utilicen como spam.
Las aplicaciones como Google Authenticator y Authy a menudo brindan una forma sencilla de recibir el código único requerido para iniciar sesión con 2FA. Estas aplicaciones utilizan un algoritmo basado en el tiempo para mantenerse sincronizadas, y la primera sincronización se realiza a través de un código QR.
Las aplicaciones y los servidores pueden quedarse sin sincronización, por lo que volver a sincronizar su aplicación podría solucionar sus problemas. Si está cambiando de teléfono, Google Authenticator le permite transferir sus códigos de un teléfono a otro. Por otro lado, Authy le permite realizar copias de seguridad en la nube de sus códigos, por lo que todo lo que necesita hacer para recuperar sus códigos es iniciar sesión con sus credenciales, ya sea en un teléfono nuevo o incluso en su PC o computadora portátil.
La seguridad de WordPress es fundamental para garantizar la longevidad de su sitio web. 2FA es una fruta madura que ofrece una gran inversión por su dinero. Con muchas empresas de renombre y expertos respaldando la tecnología, su eficacia es indiscutible. Sin embargo, muchos administradores temen que los bloqueos de los usuarios sean más problemáticos de lo que vale la 2FA. Como ha demostrado este artículo, este no es el caso con WP2FA.
Con tantas formas de evitar los bloqueos de usuarios, no hay ninguna razón por la que los administradores de WordPress no deban ofrecer 2FA a sus usuarios. Siempre se recomienda planificar con anticipación, pero todos somos más sabios cuando miramos retrospectivamente. Es por eso que también hemos abordado lo que puede hacer para restaurar el acceso después del hecho, brindándole toda la información que necesita para asegurarse de que su implementación 2FA sea un éxito rotundo.
Hay muchas razones posibles por las que es posible que no reciba su correo electrónico 2FA. En la mayoría de los casos, puede ser un problema con WordPress que tiene problemas para enviar correos electrónicos o un nodo en la cadena, por una razón u otra, no reenvía el correo electrónico correctamente.
WP 2FA viene con un probador de correo electrónico incorporado que puede permitirle verificar que el correo electrónico se está enviando. Sin embargo, esta no es toda la historia y, como tal, vale la pena tomarse un minuto para comprender cómo se envían y entregan los correos electrónicos.
En pocas palabras, WP 2FA redacta el correo electrónico y lo reenvía a WordPress, que luego envía el correo electrónico al servidor SMTP configurado. WordPress hace esto mediante el uso de una función llamada wp_mail, que se basa en la función de correo de PHP. Si bien esto tiende a funcionar bastante bien desde el primer momento, puede ser propenso a problemas.
Un complemento como Check & Log Email es una buena herramienta para tener. Registra todos los correos electrónicos enviados y proporciona herramientas para la depuración. WP 2FA también le permite probar la entrega de correo electrónico a la que puede acceder navegando a WP 2FA > Configuración > Configuración y plantillas de correo electrónico. Si todo va bien aquí, el problema puede estar más adelante. Es posible que desee considerar optar por un complemento de correo electrónico SMTP para mejorar la confiabilidad de la entrega de correo electrónico.
La publicación Cómo recuperarse de un bloqueo 2FA de WordPress apareció primero en WP White Security.
*** Este es un blog sindicado de Security Bloggers Network de WP White Security escrito por Joel Barbara. Lea la publicación original en: https://www.wpwhitesecurity.com/recover-from-2fa-lockout/
Tabla de contenido