Cuatro métodos de autenticación de dos factores integrados en WordPress, gratuitos
La autenticación de dos factores en WordPress suele ofrecerse como complemento o como parte de un plan premium. ReportedIP incluye de serie cuatro métodos de autenticación de dos factores —TOTP, claves de acceso/WebAuthn, correo electrónico y SMS— de forma gratuita en todos los planes, junto con códigos de recuperación y un proceso de restablecimiento de contraseña.
Esta guía aborda los cuatro métodos, explica cómo la «escalera de limitación de velocidad» evita la adivinación de códigos y aborda la brecha en el flujo de reinicio que la mayoría de los complementos de autenticación de dos factores dejan sin cubrir.
¿Qué es ReportedIP ?
ReportedIP es un completo plugin de seguridad para WordPress: 12 sensores de ataque, el conjunto completo de autenticación de dos factores (2FA) que se describe aquí, bloqueo progresivo e inteligencia sobre amenazas de la comunidad con participación voluntaria. Todo el sistema de autenticación de dos factores (2FA) es gratuito y funciona sin conexión. El conjunto completo de funciones ReportedIP se encuentra en la página del producto.
Los cuatro métodos del núcleo
- TOTP — Códigos RFC 6238, compatibles con Google Authenticator, Authy, 1Password y Microsoft Authenticator. Las claves secretas se cifran cuando están en reposo.
- Passkey / WebAuthn / FIDO2 — Face ID, Touch ID, Windows Hello y YubiKey. Resistente al phishing, con una implementación propia y sin dependencia de Composer.
- Código OTP por correo electrónico: un código de 6 dígitos válido durante 10 minutos, con un límite de 3 envíos cada 15 minutos, un tiempo de espera de 60 segundos antes de poder reenviarlo y 5 intentos de verificación por código.
- Código OTP por SMS: a través del servicio de retransmisión reportedIP gestionado reportedIP (plan Professional y superiores), solo en la UE y con un acuerdo de protección de datos (DPA) explícito. Los números de teléfono se cifran cuando están en reposo.
Compatible con las cuatro opciones: 10 códigos de recuperación de un solo uso (con cifrado hash en reposo y aviso de saldo bajo cuando quedan 3), dispositivos de confianza con una fecha de caducidad configurable (por defecto, 30 días) y aplicación basada en roles con un periodo de gracia (por defecto, 7 días) y un contador de intentos fallidos.
La escalera de limitación de velocidad evita tener que adivinar el código
Los códigos de 2FA incorrectos siguen la misma escala de etapas que los intentos fallidos de inicio de sesión: 3 códigos incorrectos → 30 s, 5 → 5 min, 10 → 30 min, 15 → 1 h. El decimoquinto intento fallido a nivel de IP hace que la IP pase a un bloqueo progresivo real, por lo que un atacante que utilice un ataque de fuerza bruta ya no podrá simplemente esperar a que se agote el tiempo de espera y volver a intentarlo cada hora.
La función de restablecimiento de contraseña que la mayoría de los complementos pasan por alto
El proceso de «contraseña perdida» de WordPress es un clásico ejemplo de elusión de la autenticación de dos factores (2FA): si el único segundo factor es el correo electrónico, cualquier persona con acceso al buzón recibe tanto el enlace de restablecimiento como la contraseña de un solo uso (OTP) por el mismo canal. El proceso de restablecimiento de Hive exige un segundo factor distinto del correo electrónico —aplicación de autenticación, SMS, clave de acceso o código de recuperación— antes de aceptar una nueva contraseña. El correo electrónico queda excluido por diseño. Las cuentas cuyo único factor sea el correo electrónico y que no dispongan de códigos de recuperación quedan bloqueadas de forma permanente con una alerta de administrador. Este comportamiento se ajusta a la norma NIST SP 800-63B §6.1.2.3 y a OWASP ASVS V6.3.
Cómo activarlo
En el paso de la autenticación de dos factores (2FA) del asistente de configuración (o Ajustes → Autenticación de dos factores), habilita los métodos que quieras ofrecer, selecciona los roles que deben inscribirse y configura el periodo de gracia y el contador de saltos. Para flujos sin interfaz o personalizados, el reportedip-hive/v1 El espacio de nombres REST expone /2fa/challenge, /2fa/verify y /2fa/methods; los administradores del shell pueden ejecutar wp reportedip 2fa reset <user> para desbloquear una cuenta bloqueada.
Guías relacionadas
- Claves de acceso y WebAuthn: inicio de sesión en WordPress a prueba de phishing
- Servicio gestionado de reenvío de correo electrónico y SMS para un envío fiable de códigos OTP
- WooCommerce 2FA que se integra en tu tema
Consulte la documentación sobre autenticación para obtener más detalles sobre la configuración, explore las guías completas del complementoReportedIP o lea el estándar WebAuthn en el W3C.