Configurando la autenticación multifactor en WordPress con Duo Security

Que la autenticación multifactor cumple un rol fundamental en la seguridad de nuestras cuentas no es algo nuevo ni discutible.

Según la un informe de la compañía Netcraft, más de 75 millones de sitios corren bajo el CMS WordPress. De esos 75 millones, poco más de 37 millones son self-hosted, es decir que no corren en la solución basada en la nube de WordPress sino en plataformas de hosting/VPS de terceros.

Tengo que reconocer que a esta altura me sorprende que WordPress no tenga soporte para autenticación multifactor de manera nativa, sin embargo existen decenas de plugins que permiten agregarla facilmente.

Entre esas decenas de plugins, si tuviera que recomendarles uno sería el de Duo Security (recientemente adquirida por Cisco) por varios motivos: permite autenticación push, tiene soporte para llaves de autenticación -como las Yubico-, y es gratuito hasta 10 usuarios 🙂

El proceso de configuración requiere que creemos una cuenta en duo.com, configuremos una aplicación, y obtengamos algunas claves API. Vamos a hacerlo paso a paso:

  1. Ingresamos a signup.duo.com.
  2. Completamos toda la información y creamos la cuenta.
  3. Ahora tenemos que configurar la autenticación multifactor en nuestra nueva cuenta de Duo. Antes de hacer esto, recuerden tener descargada la app para iOS o Android.
  4. El siguiente paso es iniciar sesión en el Panel de Administración de Duo.
  5. Una vez allí, vamos a Add new… > Application.
  6. Buscamos WordPress y seleccionamos Protect this Application.
  7. En la siguiente pantalla podemos configurar algunos parámetros adicionales, pero lo más importante es tener a mano Integration keySecret keyAPI hostname ya que los necesitaremos para la configuración del plugin.

Ahora tenemos que instalar el plugin en nuestra instancia de WordPress. Este proceso es idéntico al de cualquier plugin, por lo que no vamos a entrar en detalle en el proceso de instalación.

Una vez que el plugin esté instalado y activado, vamos a clickear Settings en la página de plugins de WordPress -o desde la barra de navegación izquierda AjustesDuo Two-Factor-.

Ingresamos los valores de Integration keySecret keyAPI hostname que obtuvimos anteriormente. En este paso es importante que saquen la selección del rol Subscriber ya que de lo contrario los visitantes del sitio también serán desafiados a completar la autenticación multifactor (Créanme, ya me pasó).

Presionamos Guardar cambios y abrimos un navegador en modo incógnito para probar el nuevo flujo de inicio de sesión.

Ingresamos usuario y contraseña, clickeamos Acceder… y voilà!


En mi caso puedo elegir entre recibir una notificación push en mi iPhone o Apple Watch, ingresar un passcode (se generan desde la app de Duo y son de un único uso), o conectar mi llave de autenticación Yubico en el puerto USB tal como indica el banner azul.

Asi es como se ve una notificación push en la app para iOS:

Y asi los passcodes que, como dije anteriormente, son de un único uso:

¡Hasta la próxima!

Dejar un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.