La seguridad de un sitio web WordPress es primordial, especialmente cuando se trata de un sitio de afiliación. Garantizar la máxima protección y evitar registros falsos es una prioridad para mantener la integridad de su plataforma.
En esta documentación se explica cómo añadir la autenticación de dos factores (2FA) a MemberPress mediante la aplicación WP 2FA plugin.
¿Qué es la 2FA?
Cuando está activada, la 2FA requiere que los usuarios de un sitio web proporcionen dos métodos de autenticación para acceder a una cuenta o aplicación en línea.
Esta capa añadida de seguridad protege contra los ataques a las contraseñas e incluso evita los registros falsos. Ayudará a salvaguardar la información confidencial, garantizar el cumplimiento de la normativa y fomentar la confianza de los usuarios.
Características del plugin WP 2FA
WP 2FA tiene un amplio conjunto de características que proporciona una configuración simplificada de autenticación de dos factores para sus sitios de membresía. Estas incluyen:
- Múltiples métodos de autenticación: Ofrece varias opciones de autenticación, incluyendo TOTP y verificación basada en correo electrónico;
- Personalización de roles de usuario: Permite especificar qué roles de usuario requieren 2FA, proporcionando una personalización de la seguridad basada en roles;
- Códigos de seguridad: Los usuarios pueden generar códigos de copia de seguridad para alternativas de inicio de sesión seguro si falla el 2FA principal;
- Registro e informes: Proporciona registros e informes detallados para supervisar la actividad de los usuarios y el uso de 2FA;
- Compatibilidad de integración: Funciona a la perfección con otros plugins, temas y sistemas de afiliación de WordPress, como Memberpress, para una experiencia de usuario unificada.
¿Cómo configurar WP 2FA?
Antes de empezar, asegúrate de que dispones de la siguiente configuración:
- Una instalación de WordPress activa con acceso de administrador.
- Un sitio web de afiliación totalmente operativo con el plugin Memberpress.
Si aún no ha creado su sitio de afiliación, consulte la sección "Primeros pasos con MemberPress" para ayudarle a empezar.
Instalación
Para activar la autenticación de dos factores, tendrá que instalar la aplicación WP 2FA de MelaPress. Este plugin fácil de usar simplifica la implementación de 2FA en sus sitios web de membresía.
Vaya a su panel de WordPress, vaya a Plugins > Añadir nuevo y escriba WP 2FA en la barra de búsqueda.
A continuación, instale y active el plugin WP 2FA.
Configurar el plugin WP 2FA
Tras activar correctamente el complemento, se le dirigirá a un asistente para configurar la autenticación de doble factor en su sitio web.
Este asistente le guiará a través de una serie de pasos que le ayudarán a configurar 2FA sin ninguna dificultad, incluso para usuarios sin conocimientos técnicos. Todo lo que se configura con la ayuda del asistente se puede cambiar o reconfigurar desde la configuración del complemento.
Pulse el botón "Empecemos" para iniciar el asistente, y siga los pasos para configurar el plugin:
- En el primer paso, puede seleccionar los métodos de autenticación que desea utilizar en su sitio. Hay dos opciones y le sugerimos que utilice ambas:
- Código de un solo uso a través de la aplicación 2FA (TOTP) - este método permitirá a sus miembros utilizar cualquier aplicación móvil de autenticación compatible (Authy, Google Authenticator, Microsoft Authenticator, Duo Security, Lastpass, FreeOTP u Okta Verify) para la autenticación y verificación 2FA. Esta opción es especialmente importante en los casos en que sus miembros pierden el acceso a su correo electrónico y no pueden utilizar el segundo método (correo electrónico);
- Código único por correo electrónico (HOTP) - Con este método, sus afiliados podrán obtener sus códigos 2FA a través de un correo electrónico.
- Además de los métodos de autenticación primaria, WP 2FA ofrece opciones secundarias como Códigos de seguridad. Puede activarlo en el segundo paso.
- A continuación, las políticas 2FA del complemento le permiten elegir si desea aplicar 2FA y para quién:
- Todos los usuarios - esto aplicará 2FA a todos sus usuarios incluyendo todos los usuarios Administradores;
- Sólo usuarios y roles específicos - aquí puede imponer 2FA para usuarios específicos, o para todos sus usuarios con un determinado rol de usuario asignado (por ejemplo, por defecto, todos sus miembros tendrán el rol "Abonado"función de usuario);
- No imponer a ningún usuario - esta opción permitirá a sus usuarios decidir si quieren activar 2FA.
- En el cuarto paso, también puede excluir usuarios individuales o roles de usuario de la opción 2FA que eligió en el paso anterior.
- También puede proporcionar un periodo de gracia para que los usuarios activen 2FA en el último paso:
Los usuarios tienen que configurar 2FA inmediatamente - esta opción no permitirá a los usuarios acceder a ninguna página o entrada de su sitio después de iniciar sesión, sin haber configurado antes el 2FA;
Dar a los usuarios un periodo de gracia para configurar 2FA - esta opción dará a los usuarios un periodo determinado para configurar 2FA. Mientras tanto, sus usuarios tendrán acceso a su contenido (en función de su afiliación). Con esta opción, también puedes seleccionar si los miembros deben tener acceso al panel de control. Además, puede elegir dónde se mostrará la notificación de configuración de 2FA, recordándoles que deben configurar 2FA.
Pulse el botón "Todo Hecho"para finalizar la configuración.
Creación de una página de configuración 2FA para miembros
Dado que normalmente los miembros no tienen acceso al panel de control predeterminado de WordPress, los administradores pueden establecer la página de configuración de 2FA. Esta página está disponible para los miembros en el front-end y les permite habilitar 2FA para sus cuentas.
Esta página debe configurarse desde su panel de control:
- Vaya a Panel > WP 2FA > Políticas 2FA.
- Desplácese hasta "Página de configuración del frontend 2FA"y ajústelo a Sí.
- Proporcionar un URL de la página donde los usuarios pueden configurar 2FA.
El plugin generará automáticamente la página, que puede ser personalizada como cualquier otra página de WordPress. En la misma página, puedes configurar a dónde deben ser redirigidos tus miembros después de configurar la configuración 2FA.
Afiliación y 2FA
Cuando un usuario se registre o inicie sesión, será redirigido automáticamente a la página de configuración de Frontend 2FA. En esta página, se les presentará la opción "Configurar 2FA".
Este botón iniciará un asistente fácil de seguir que les guiará a través del Configuración 2FA.
Añadir 2FA a páginas personalizadas
Aunque la página de configuración WP 2FA está disponible por defecto, puede que no siempre se ajuste a sus necesidades. En este caso, puede que quiera crear una página personalizada y añadir una opción de configuración 2FA allí. Esta podría ser una página personalizada del área de miembros o cualquier otra página que haya creado para sus miembros.
El plugin WP 2FA facilita esta función proporcionando códigos cortos. Estos shortcodes permiten a los usuarios acceder al asistente 2FA en la página de configuración personalizada del front-end.
Para ello, sólo tiene que añadir el siguiente shortcode a su página personalizada:
[wp-2fa-setup-form]
Además, esta debe ser la página a la que MemberPress redirija a los miembros al iniciar sesión (el "URL para dirigir a los miembros después de iniciar sesión"en Panel de control > MemberPress > Configuración > Cuenta).
Prevención de registros falsos
Los registros falsos creados para actividades maliciosas (por ejemplo, pruebas de tarjetas) pueden generar trabajo adicional y desorden en su backend. La autenticación de dos factores también puede ayudarte como capa adicional de protección frente a registros falsos.
Por defecto, una vez que un nuevo usuario envía el formulario de registro, MemberPress creará una cuenta de usuario en WordPress. Además, al mismo tiempo asignará una transacción y una suscripción a ese usuario.
Para evitar que se creen transacciones y suscripciones por cada registro de usuario falso, puede dividir el proceso de registro.
Con esta solución, usted protegería todas sus páginas de registro de miembros haciéndolas disponibles sólo para los usuarios existentes. A continuación, crearía un flujo de usuario que le pediría a un usuario que se registrara para obtener una cuenta de WordPress en primer lugar. Una vez registrados e iniciada la sesión, los usuarios tendrán que pasar por la autenticación de dos factores.
A partir de ese momento, podrán acceder a las páginas de registro de miembros como usuarios registrados.
Siga estos pasos para crear este proceso de registro alternativo:
- Vaya a Panel de control > MemberPress > Normasy crear una regla para proteger cada una de sus páginas de registro. Dentro de las Condiciones de Acceso para estas reglas, debe establecer el acceso sólo para su rol de usuario predeterminado de WordPress. A menos que cambie la configuración por defecto, este será el rol "Abonado" rol de usuario.
- A continuación, active el registro de usuarios predeterminado de WordPress activando "Cualquiera puede inscribirse"bajo el epígrafe "Afiliación". Puede encontrar esta opción navegando a Panel de control > Configuración > General.
- Ahora, podrá utilizar la página de registro predeterminada de WordPress. Esta página tiene el /wp-login.php?action=registro babosa (por ejemplo https://yourdomain.com/wp-login.php?action=register). Debe enlazar esta página con todos sus botones, enlaces y páginas de registro.
- Además, debe establecer 2FA como obligatorio para todos los usuarios en Panel > WP 2FA > Políticas 2FA.
Como parte de este flujo, puede crear una página personalizada del área de miembros. Aquí, puede añadir enlaces a la página de la cuenta del usuario, páginas de registro de miembros o página de precios, etc. A continuación, podría servir como la página en la que los usuarios aterrizarían al finalizar el proceso de autenticación de dos factores.
Redirigirá a los usuarios a esta página del área de miembros después de iniciar sesión. También puede redirigir a los usuarios a la página de la cuenta MemberPress o a cualquier otra página que desee utilizar como página de bienvenida.
Con esta solución, sólo los usuarios autorizados podrán registrarse como miembros. Así, todas las suscripciones y transacciones en su backend MemberPress estarán relacionadas con usuarios con correos electrónicos confirmados.
Resumen
Añadir el WP 2FA plugin a su sitio MemberPress en polvo mejora su seguridad y le ayuda a mantener la confianza de sus miembros.
WP 2FA simplifica la implementación de 2FA con opciones fáciles de usar y una perfecta integración con MemberPress durante el registro y el inicio de sesión para administradores y miembros.