Descripción
El plugin Google Authenticator para WordPress te ofrece una identificación de dos factores usando la aplicación Google Authenticator para Android/iPhone/Blackberry.
Si eres consciente de la seguridad, es posible que ya tengas instalada la aplicación Google Authenticator en tu teléfono inteligente, usándola para la identificación de dos factores en Gmail / Dropbox / Lastpass / Amazon, etc.
El requisito de identificación de dos factores se puede activar para cada usuario. Puedes activarlo para tu cuenta de administrador, el acceso como de costumbre pero con las cuentas menos privilegiadas.
Si necesitas mantener tu blog usando una aplicación de Android/iPhone, o cualquier otro software que usa la interfaz XMLRPC, puedes activar la característica de contraseña de la aplicación en este plugin.
pero ten en cuenta que activando la característica de contraseña de la aplicación hará que tu blog sea menos seguro.
Agradecimientos
Agradecimientos a:
Oleksiy por una corrección de fallos en multisitio.
Paweł Nowacki por la traducción al polaco
Fabio Zumbi por la traducción al portugués
Guido Schalkx por la traducción al holandés.
Henrik.Schack por escribir y mantener las versiones de 0.20 a 0.48
Tobias Bäthge por su código de reescritura y traducción al alemán.
Pascal de Bruijn por su idea del «modo relajado».
Daniel Werl por sus consejos de usabilidad.
Dion Hulse por su corrección de fallos.
Aldo Latino por su traducción al italiano.
Kaijia Feng por su traducción al chino simplificado.
Alex Concha por sus consejos de seguridad.
Jerome Etienne por su plugin jquery-qrcode.
Sébastien Prunier por su traducción al español y francés.
Capturas
Instalación
- Asegúrate de que tu servidor web sea capaz de proporcionar información precisa sobre la hora para PHP/WordPress, es decir. asegúrate de que se está ejecutando NTP daemon en el servidor.
- Instalar y activar el plugin.
- Introduce una descripción en los Usuarios -> Tu pefil y página de opciones personal, en la sección Google Authenticator.
- Explorar el código QR generado con tu teléfono o introduce el secreto manualmente, recuerda de elegir el código basado en el tiempo.
También puedes escribir el secreto en un pedazo de papel y guardarlo en un lugar seguro. - Recuerda de hacer clic el botón Actualizar perfil en la parte inferior de la página antes de salir de la página de opciones personales.
- Eso es todo, tu sitio WordPress es ahora un poco más seguro.
FAQ
-
¿Puedo usar Google Authenticator para WordPress con las aplicaciones de Android / iPhone para WordPress?
-
Sí, puedes activar la característica de contraseña de la aplicación para que esto sea posible, pero observa que la interfaz XMLRPC no está protegida por la identificación de dos factores, solo una contraseña larga.
-
¿Quiero actualizar el secreto, debo escanear el nuevo código QR después de crear un nuevo secreto?
-
No, tendrás que eliminar la cuenta existente de la aplicación Google Authenticator en tu teléfono inteligente antes de escanear el nuevo código QR, es decir, a menos que también cambies la descripción.
-
¿No ha sido posible acceder con este plugin, qué ocurre?
-
Los códigos de verificación de Google Authenticator están basados en el tiempo, por lo que es crucial que el reloj de tu teléfono sea preciso y esté sincronizado con el reloj del servidor donde está alojada la instalación de WordPress.
Si tienes un teléfono Android, puedes usar una aplicación como ClockSync para configurar tu reloj si tu proveedor de telefonía no proporciona información exacta del tiempo.
Otra opción es habilitar el «modo relajado» en los ajustes para el plugin, esto permitirá códigos más válidos permitiendo un máximo de 4 min. de desfase en ambas direcciones. -
¿Tengo varios usuarios en mi instalación de WordPress, es es una configuración compatible?
-
Sí, cada usuario tiene sus propios ajustes de Google Authenticator.
-
Durante la instalación, olvidé la cuestión acerca de asegurarme si mi proveedor web es capaz de proporcionar información precisa sobre la hora, ahora no puedo acceder, por favor, ayuda.
-
Si tiene acceso SSH o FTP a tu cuenta de alojamiento web, puede eliminar manualmente el plugin de tu instalación de WordPress,
Simplemente elimina el directorio wp-content/plugins/google-authenticator y podrás volver a iniciar sesión con nombre de usuario/contraseña. -
¿No tengo un teléfono inteligente, no hay otra manera de generar estos códigos secretos?
-
Sí, hay una versión basada en web aquí : https://gauth.apps.gbraad.nl/
Proyecto Github aquí : https://github.com/gbraad/gauth -
¿Puedo crear códigos de respaldo?
-
No, pero si estás utilizando un teléfono inteligente Android, puedes reemplazar la aplicación Google Authenticator con autenticador Plus.
Es una aplicación realmente agradable que puede importar los ajustes existente, sincronizar entre dispositivos y realizar copias de seguridad y restaurar utilizando tu tarjeta de memoria SD.
No es una aplicación gratuita, pero vale la pena el dinero. -
¿Alguna incompatibilidad conocida?
-
Sí, el código de detección de ataque y repetición de Man-in-the-middle no es compatible con el modo de configuración y prueba en el «plugin Stop spammer registration», por favor recuerda de desactivar la casilla de verificación «Verificar las credenciales en todos los intentos de acceso» antes de instalar mi plugin.
Reseñas
Colaboradores y desarrolladores
«Google Authenticator» es un software de código abierto. Las siguientes personas han colaborado con este plugin.
Colaboradores«Google Authenticator» está traducido en 15 idiomas. Gracias a los traductores por sus contribuciones.
Traduce «Google Authenticator» a tu idioma.
¿Interesado en el desarrollo?
Revisa el código , echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.
Registro de cambios
0.54
- Corregido un fallo en multisitio.
0.53
- Añadida una traducción al polaco
0.52
- Añadir una traducción holandesa
- Añadir una traducción portuguesa
0.51
- Corrección de una regresión que rompió las contraseñas de las aplicaciones.
0.50
- Nuevo mantenedor ivankk
- Se incluye condicionalmente la clase base32.
0.49
- El flujo de registro es más optimizado para usuarios, la pantalla de configuración para administradores.
- Es compatible con multisitio para activar 2fa por perfil en un sitio y/o en una red.
- Se ha añadido el filtro google_authenticator_needs_setup para determinar si el usuario necesita activar 2fa.
- Se ha añadido un proceso de acceso de dos partes que puede solicitar el código 2fa en una segunda pantalla de acceso.
- Se ha corregido un fallo de seguridad que check_otp continuaba incluso si la identificación ya había devuelto un error.
0.48
- Corrección de seguridad y compatibilidad con WordPress 4.5
0.47
- Se ha reemplazado Google chart API con jquery-qrcode
- Los códigos QR ahora contienen un encabezado que dice WordPress (Solicitud de característica por Flemming Mahler)
- Se ha actualizado el archivo .pot y la traducción danesa.
- El plugin ahora registra los intentos de acceso reconocidos como ataques Man-in-the-middle.
0.46
- Se ha añadido protección contra el ataque del Man-in-the-middle.
- Mostrar advertencia antes de mostrar el código QR.
- FAQ actualizadas.
0.45
- Los espacios en el campo de descripción ahora deberían funcionar en iPhones.
- Algunas llamadas de funciones obsoletas reemplazadas.
- El código de campo de entrada es ahora más fácil de usar para los usuarios .jp.
- Se ha mejorado la entrada del campo de descripción.
- La función hash de la contraseña de la aplicación cambió a una que no tiene tablas de arco iris disponibles.
- Se han eliminado los avisos de PHP durante el acceso de la contraseña de la aplicación.
0.44
- Instalación / sección de FAQ actualizada.
- Se ha añadido la traducción del chino simplificado por Kaijia.
- Se ha eliminado Tabindex en la página de acceso, que ya no se necesita, fue utilizado por las instalaciones anteriores de WordPress.
- Campo de entrada renombrado a «googleotp».
- La descripción por defecto cambió a «WordPressBlog» para evitar problemas para los usuarios de iPhone.
- Es compatible con el plugin de Ryan Hellyer http://geek.ryanhellyer.net/products/deactivate-google-authenticator/
- Debes introducir todos los 6 dígitos del código.
0.43
- Ahora es posible que un administrador oculte la configuración de Google Authenticator por usuario. (Solicitud de característica por: Skate-O)
0.42
- Se ha desactivado autocompletar en el campo de entrada de código. (Solicitud de característica por: hiphopsmurf)
0.41
- Se ha añadido la traducción italiana por Aldo Latino.
0.40
- Corrección de fallo, corrección de errores tipográficos y avisos de PHP eliminados. Gracias a Dion Hulse por su parche.
0.39
- Corrección de fallo, la descripción no se guardó en la base de datos de WordPress al actualizar el perfil. Gracias a xxdesmus por darse cuenta de esto.
0.38
- Corrección de usabilidad, el campo de entrada para códigos se ha cambiado de contraseña a tipo de texto.
0.37
- El plugin ahora es compatible con el «modo relajado» cuando se identifica. Si se selecciona, los códigos de 4 minutos antes y 4 minutos después funcionarán. 30 segundos antes y después sigue siendo los ajustes por defecto.
0.36
- Corrección de fallo, ahora una contraseña de la aplicación solo se puede utilizar para los accesos de solicitud de XMLRPC/APP.
0.35
- Se ha añadido compatibilidad para la aplicación inicial de WordPress (XMLRPC).
0.30
- Limpieza de código
- Se ha cambiado la generación de la clave secreta, para que ya no exista el requisito de SHA256 en el servidor.
- Traducción alemana
0.20
- Version inicial