Configuración

Seguridad »Autenticación en dos pasos

Tu sitio web de WordPress.com es tu hogar en Internet y te interesa protegerlo. Con un poco de suerte, ya habrás elegido una contraseña única y difícil de adivinar para tu cuenta. Para añadir otro nivel de seguridad, puedes activar la autenticación en dos pasos.


¿Qué es la autenticación en dos pasos?

Es un método para proteger las cuentas en el que para acceder a ella es necesario no solo saber algo (la contraseña), sino también tener algo (el dispositivo móvil o una llave física). La ventaja de este método de seguridad es que, aunque adivinen tu contraseña, necesitan robarte algo de tu propiedad, como el móvil, para poder acceder a tu cuenta.

En WordPress.com, ofrecemos la autenticación en dos pasos utilizando un dispositivo móvil y una llave de seguridad física. Primero, verificamos tu dispositivo móvil enviándote un código mediante un método de los varios que tenemos. Una vez verificado tu dispositivo móvil, puedes añadir también la autenticación que utilice una llave física.

Una vez que configures la autenticación en dos pasos, cuando inicies sesión con tu contraseña, te enviamos un nuevo código a tu dispositivo que debes introducir o tendrás que conectar tu llave física antes de iniciar sesión. Así, añadimos un pequeño paso al proceso de acceso, que nos permite proteger mucho más tu cuenta.


Configuración con una aplicación de autenticación

Para configurar la autenticación en dos pasos a través de una aplicación de autenticación como Google Authenticator, Authy o Duo en tu dispositivo, debes empezar en el navegador del ordenador.

Primero, accede a la página de configuración de Autenticación en dos pasos , en WordPress.com.

También puedes acceder a Configuración haciendo clic en la imagen de perfil, en la página de inicio de WordPress.com:

Enlace del perfil

Luego, haz clic en el enlace “Seguridad”, en el lateral izquierdo de la pantalla de navegación:

Menú de cuenta, enlace de seguridad

A continuación, haz clic en Autenticación en dos pasos y en Empezar ahora.

Configuración de la autenticación en dos pasos

En este momento, te pedirán que elijas tu país y proporciones tu número de teléfono móvil (sin el código del país ni espacios o guiones). Cuando acabes, haz clic en Verificar a través de la aplicación.

Introducción del número de teléfono

A continuación, escanea el código QR que se muestra con tu aplicación de autenticación, donde se mostrará un número de 6 dígitos. Introdúcelo en el campo proporcionado y haz clic en Activar.

Escaneo del código QR y verificación de código

Por último, te pedirán que imprimas los códigos de recuperación. No te saltes este paso porque será la única manera que tendrás de volver a acceder a tu cuenta sin la ayuda de nuestro personal en caso de que pierdas tu dispositivo.

Recuerda: Si tienes el navegador configurado para que bloquee las ventanas emergentes, es posible que tengas que desactivar esta función temporalmente, ya que no dejará que se abra la ventana con los códigos de recuperación.

Haz clic en Todo finalizado.

A partir de aquí, tu sitio web ya tiene activada la autenticación en dos pasos. Hay un paso más en el que puedes introducir uno de los códigos impresos para confirmar que los códigos de recuperación funcionan.

Verificación mediante código de recuperación

Configuración con códigos por SMS

Si no puedes configurar la autenticación en dos pasos mediante una aplicación de autenticación, puedes hacerlo mediante mensajes de texto SMS. Para ello, configura tu número de teléfono tal como se describe arriba, pero luego haz clic en Verificar a través de SMS.

Verificación mediante SMS

En unos minutos, recibirás un mensaje de texto que incluye un número de 7 dígitos. Introdúcelo en el espacio en blanco proporcionado y haz clic en Activar.

A partir de este momento, podrás imprimir y verificar códigos de recuperación tal y como se explica arriba. Una vez hecho esto, tu cuenta estará protegida con la autenticación en dos pasos.

Las aplicaciones de teléfonos inteligentes que bloquean llamadas automáticamente pueden bloquear también nuestros mensajes.


Autenticación mediante llaves de seguridad

WordPress.com admite la verificación mediante inicio de sesión con llaves de seguridad físicas a través del estándar de WebAuthn.

En vez de escribir un código obtenido mediante SMS o una aplicación como Google Authenticator tras introducir tu contraseña, puedes conectar una llave física. Después de conectarla, pulsas un botón en la llave para completar la verificación e iniciar sesión. Nadie podrá iniciar sesión en tu cuenta sin la llave física, ni siquiera si esa persona conoce la contraseña.

Requisitos
  • Deberás disponer de un ordenador con un puerto USB y la versión más reciente de un navegador compatible como Chrome, Firefox, Opera o Edge.
    (Nota: Actualmente, Chrome y Firefox ofrecen la mejor compatibilidad en general, por lo que recomendamos esos navegadores para disfrutar de la mejor experiencia).
  • Deberás disponer de una llave que se conecte a un puerto USB y que funcione con FIDO2, como YubiKey de Yubico o Titan Key de Google (los dispositivos que utilizan el estándar FIDO U2F anterior deben seguir funcionando). Consulta la documentación de compatibilidad de tu llave específica para obtener más información sobre los tipos de dispositivos y navegadores que admite tu llave.
Añadir de una llave

Nota: Tendrás que seguir los pasos anteriores para activar la autenticación en dos pasos mediante SMS o una aplicación de autenticación para poder añadir una llave de seguridad.

Después de configurar la autenticación en dos pasos con una aplicación o SMS, tendrás la opción de añadir una llave de seguridad. Haz clic en Registrar llave.

Registro de la llave de seguridad

Te permitimos registrar varias llaves, por lo que podrás asignar un nombre a tu llave para distinguirla de las que añadas posteriormente. Escribe un nombre único y haz clic en Registrar llave.

En ese momento, conecta la llave a un puerto USB de tu computadora y, según el tipo de llave, pulsa el botón o toca el disco dorado de la llave.

Conecta y toca la llave de seguridad para registrarla.

Si la operación se realiza correctamente, verás un mensaje en la pantalla y la llave aparecerá en la sección Llave de seguridad.

Lista de llaves de seguridad

Una vez que se configure, no podrás acceder a tu cuenta sin la llave. Por lo tanto, trátala como si fueran las llaves de casa o del coche: guárdala en un lugar seguro.

Considera también la posibilidad de añadir una segunda llave como opción de recuperación y guárdala en algún lugar en el que puedas encontrarla fácilmente si le ocurre algo a tu llave principal. Para añadir llaves adicionales, solo tendrás que volver a hacer clic en Registrar llave.

Eliminación de una llave

Si quieres eliminar una llave de seguridad añadida anteriormente (por ejemplo, si la llave se ha perdido o ya no funciona), puedes desconectarla de tu cuenta.

Dirígete a la página Autenticación en dos pasos en tu configuración de perfil, haz clic en el icono de la papelera de reciclaje junto a la llave y haz clic en Llave remota en el mensaje de confirmación que se muestra.

Eliminación de una llave de seguridad

Acceso

El proceso de acceso puede variar un poco del habitual una vez que has activado la configuración en dos pasos. Independientemente de si has usado el método de Google Authenticator o de SMS para activarla, tendrás que empezar por acceder a la cuenta como de normal, con tu nombre de usuario y contraseña.

Imagen de la pantalla de inicio de sesión
Iniciar sesión en WordPress.com

A continuación, se te pedirá que introduzcas el código de verificación que te han enviado al dispositivo.

Introduce el código de autenticación en dos pasos.

Si configuras la autenticación en dos pasos con una aplicación de autenticación, abre la aplicación en el dispositivo y proporciona el número de seis dígitos que aparece para la cuenta. Si usas los SMS para la autenticación en dos pasos, te enviaremos un mensaje de texto con un número de seis dígitos. Una vez que introduzcas el código, te habrás conectado y podrás escribir en el blog.

Si tienes una llave de seguridad configurada, verás un mensaje en el que se te preguntará si quieres verificar mediante tu llave o tu aplicación de autenticación/SMS. Para verificar mediante tu llave, haz clic en Continuar con la llave de seguridad.

Opciones de la autenticación en dos pasos

A continuación, verás un mensaje que te indicará que conectes tu llave. Conecta la llave a un puerto USB de tu ordenador y, según el tipo de llave, pulsa el botón o toca el disco dorado de la llave para finalizar el inicio de sesión.

Aparecerá un mensaje para conectar la llave de seguridad y completar el inicio de sesión.

Nota: Si tardas mucho en realizar el procedimiento de comprobación, se cancelará la solicitud de verificación y aparecerá un mensaje de error. Solo tendrás que hacer clic de nuevo en Continuar con llave de seguridad para reiniciar la verificación.


Códigos de recuperación

No queremos que pierdas el acceso a tu cuenta de WordPress.com. Tendrás que seguir accediendo a ella si pierdes o te roban el dispositivo, si te bloquean el acceso a ella por cualquier motivo o si se debe borrar por completo el contenido de tu dispositivo (eliminando Google Authenticator).

Para asegurarte de que nunca te bloqueen el acceso a tu cuenta, genera un conjunto de diez códigos de recuperación de un solo uso. Te recomendamos que los imprimas y los guardes en un lugar seguro, como tu cartera o una caja fuerte para documentos. (No los guardes en el ordenador porque todo el mundo que lo utilice tendrá acceso a ellos). 

La generación de códigos de recuperación es fundamental y es un procedimiento obligatorio. Si en algún momento tienes que usar un código de recuperación, solo tienes que acceder a tu cuenta como habitualmente y, cuando se te pida el código de acceso, introducir el de recuperación.

Cuando acabes de configurar la autorización en dos pasos, tendrás la opción de generar los códigos de recuperación:

Impresión de códigos de recuperación

Imprime los códigos: no los guardes y confirma que lo has hecho. A continuación, haz clic en Todo finalizado para cerrar esa pantalla.

Si pierdes o te roban la lista de códigos de recuperación, puedes generar un conjunto de códigos nuevo. Para que sea más seguro, al hacerlo se desactivarán los códigos generados anteriormente.

Generación de nuevos códigos de recuperación

Solo puedes generar los códigos de recuperación en el navegador de un ordenador. Por ejemplo, la versión de Safari para iOS no mostrará los códigos de recuperación. Además, si tienes el navegador configurado para que bloquee las ventanas emergentes, tendrás que desactivar esta función temporalmente, ya que no dejará que se abra la ventana con los códigos de recuperación.


Contraseñas específicas de aplicaciones

Puede que haya algunas aplicaciones que se conecten con tu cuenta de WordPress.com y que no admitan la autenticación en dos pasos en su totalidad. Las aplicaciones más comunes son aplicaciones Jabber utilizadas para suscribirse a blogs de WordPress.com. Para esas aplicaciones, puedes generar contraseñas exclusivas para cada aplicación (por ejemplo, puedes tener distintas contraseñas en tu teléfono y tableta). Luego, desactiva las contraseñas concretas y bloquea las aplicaciones en tu cuenta para evitar que otras personas accedan a tus sitios web.

Para generar contraseñas específicas de aplicaciones, vuelve a Autenticación en dos pasos y, luego, desplázate hacia abajo para ver ” Contraseñas de aplicación”:

Solicitud de contraseña de la aplicación

Pon un nombre a la aplicación (solo lo verás tú, llámala como quieras) y haz clic en “Generar contraseña”. WordPress.com creará una contraseña única de 16 caracteres que podrás copiar y pegar la próxima vez que accedas a tu cuenta en el mismo dispositivo. Como la aplicación se acuerda de la contraseña, no hace falta que te acuerdes tú.

La página Seguridad conservará una lista de todas las aplicaciones para las que has generado contraseñas. Si pierdes o te roban alguno de los dispositivos o simplemente quieres revocar el acceso para una aplicación concreta, visita esta página en cualquier momento y haz clic en “X” para desactivar la contraseña y evitar que la aplicación acceda a tu cuenta:

Eliminación de una nueva contraseña de la aplicación

Deshabilitar la autentificación en dos pasos

Aunque pienses que tu contraseña es muy segura, no te recomendamos que desactives la autenticación en dos pasos, ya que tendrás menos protección. Pero si insistes, puedes desactivar esta función accediendo a la página Autenticación en dos pasos.

La página te mostrará que la función está activada y podrás hacer clic en el botón Deshabilitar la autenticación en dos pasos. Al hacerlo, se te pedirá que introduzcas un código para confirmar que sigues teniendo acceso al dispositivo que usaste en un primer momento para configurar la autenticación en dos pasos. Si usas una aplicación de autenticación, ábrela y proporciona el código que se muestra en ella. Si usas los SMS, recibirás el código que debes usar (es distinto del que tienes que usar para acceder a la cuenta y si quieres puedes usar uno de los códigos de recuperación en este paso).

Haz clic en Deshabilitar después de introducir el código y tu cuenta dejará de estar protegida por la autenticación multifactor.

Desactivación de la autentificación en dos pasos

Nota: No se puede usar una llave de seguridad para desactivar la autenticación en dos pasos: ese procedimiento solo puede realizarse mediante un código que se recibe mediante SMS, la aplicación de autenticación o un código de recuperación.


Traslado a un nuevo dispositivo

Si tienes pensado cambiarte a un nuevo dispositivo y tienes activada la autenticación en dos pasos, te recomendamos que sigas los siguientes pasos para evitar que por error se bloquee el acceso de tu usuario a tu cuenta.

Si usas una aplicación de autenticación para generar los códigos de verificación:

  1. Imprime un conjunto de códigos de recuperación para tu cuenta de usuario siguiendo estos pasos. NO TE SALTES ESTE PASO.
  2. En el nuevo dispositivo, instala la aplicación de autenticación.
  3. Desactiva el enlace de la autenticación en dos pasos con tu antiguo dispositivo siguiendo estos pasos.
  4. Configura tu cuenta de usuario para poder enlazar el nuevo dispositivo siguiendo estos pasos.
  5. Si se te pide que introduzcas el código de verificación, usa un código de recuperación de la lista. Los códigos de recuperación son de un solo uso.
  6. Ahora ya puedes desinstalar la aplicación de autenticación del dispositivo antiguo.

Si usas la aplicación móvil de WordPress.com para gestionar tu sitio web y publicar contenido en él:

  1. Crea una contraseña específica para aplicaciones siguiendo estos pasos.
  2. Introduce la nueva contraseña de la aplicación al usarla en el nuevo dispositivo.

Si usas los SMS para recibir los códigos de autenticación, no necesitarás actualizar la configuración a menos que también cambies el número de teléfono por uno nuevo. En ese caso, te recomendamos que configures el número de recuperación nuevo siguiendo estos pasos antes de desconectar el número para SMS antiguo.


↑ Tabla de Contenido ↑

Dispositivos perdidos

Si pierdes tu dispositivo o llave de seguridad, eliminas la aplicación de autenticación por error o se te bloquea el acceso a tu cuenta de cualquier otra forma, la única manera de volver a acceder a tu cuenta es usando un código de recuperación.

Para eso, vuelve a proporcionar los detalles de acceso como lo haces habitualmente. Cuando se te pida el código de acceso, introduce el de recuperación. Recuerda: los códigos de recuperación solo son válidos para usarse una vez; úsalos con cuidado.