Por estos días, la seguridad de los sistemas que corremos, sea en la nube o desde adentro de la organización están expuestos a ataques que buscan explotar una vulnerabilidad y hacerse con el control de ellos.
WordPress no es la excepción, de hecho, es uno de los sistemas web que más se intenta romper a través de la instalación de backdoors en templates “nulled” o mediante fuerza bruta desde la pantalla de login.
Para lo primero es, que si no estás dispuesto a pagar por un template que te gusta, uses los gratuitos, pero para lo segundo, antes, me gustaría recomendarte que no uses usuarios como “admin” “root” o cosas obvias, sino que uses tu nombre o algún otro. Lo segundo es activar el segundo factor de autenticación que viene por defecto cuando instalas Wordfence, que dicho sea de paso, es un WAF dedicado para WordPress y funciona muy bien.
Ahora bien, para activar 2FA, primero debes bajar en tu teléfono, alguna aplicación como Authy o Authenticator de Google (Esta última es la que uso). Una vez descargada e instalada en nuestro dispositivo, vamos al WordPress, específicamente a la sección de usuarios, seleccionamos el usuario y abajo de todo, vemos la opción 2FA Status, tal como aparece en la siguiente imagen.
Cuando le demos “Activate 2FA” nos aparecerá lo siguiente:
Aquí, debemos hacer un par de cosas, primero, con la aplicación que hayamos elegido, debemos escanear el código QR y poner el código que nos arroja y hacer un clic en “ACTIVATE”. Esto no sin antes descargar los códigos y guardarlos en un lugar seguro.
Una vez, puesto el código que nos arrojó la aplicación, veremos una pantalla como la siguiente, de esta manera, queda como configurada esta capa de seguridad extra cuando intentemos autenticarnos en la administración de nuestro WordPress.
Para probarlo, solo basta con salir del Wordpress y probar loguearnos de nuevo, con el nombre de usuario tal como siempre, la contraseña y el código que sacaremos desde la aplicación (recorda que tienen unos segundos de vencimiento).
Como ves, esto es muy sencillo y nos permite agregar una capa extra a nuestro CMS preferido. Si no te gusta Wordfence o no lo usas, podés descargar e instalar otros plugin de 2FA o incluso Latch (de Eleven Paths) que cumple una función de 2FA también pero “sin códigos”.