Wo WooCommerce Intermedio

DataFirefly 2FA Fortress — Guía completa

Instalar, configurar y explotar la doble autenticación para el back-office de WordPress y las cuentas de clientes de WooCommerce: TOTP, correo, códigos de recuperación, aplicación por rol y periodo de gracia.

Actualizado Versión del módulo 1.0.0

DataFirefly 2FA Fortress añade una autenticación de dos factores completa al back-office de WordPress y a las cuentas de clientes de WooCommerce. Usted decide, rol por rol, si la 2FA está desactivada, es opcional u obligatoria, con un periodo de gracia antes del bloqueo. Hay tres métodos disponibles: aplicación de autenticación (TOTP), código por correo electrónico y códigos de recuperación de un solo uso. Esta guía cubre la instalación, los ajustes, la activación por parte del usuario y del cliente, el inicio de sesión, la administración y la resolución de problemas.

Instalación

  1. Descargue el archivo df-twofactor.zip desde su cuenta DataFirefly.
  2. Administración de WordPress → PluginsAñadir nuevoSubir plugin → envíe el ZIP y luego Activar.
  3. Al activarse, el plugin crea su tabla de registro de seguridad, genera una clave de cifrado dedicada y añade el menú DataFirefly 2FA.

Compatible con WordPress 6.0 a 7.x y PHP 8.1 a 8.3. Compatible con WooCommerce HPOS (almacenamiento de pedidos de alto rendimiento) y Cart/Checkout Blocks, multisitio y multiidioma. Sin dependencia de Composer.

Puesta en marcha en tres minutos

  1. Abra DataFirefly 2FA → Ajustes y elija el modo por rol (como mínimo Obligatoria para los administradores).
  2. Defina un periodo de gracia (7 días por defecto) para dar a todos tiempo de configurar su 2FA.
  3. Vaya a su perfil y active la aplicación TOTP: escanee el código QR, introduzca el código de 6 dígitos y descargue sus códigos de recuperación.
  4. Cierre la sesión y vuelva a iniciarla: ahora se solicita un código tras la contraseña.

Active siempre al menos un método de recuperación (códigos de recuperación o correo) antes de hacer la 2FA obligatoria: es lo que evita quedar bloqueado si se pierde el teléfono.

Ajustes generales (back-office)

Todos los ajustes están en DataFirefly 2FA → Ajustes.

Aplicación por rol

Para cada rol (administrador, editor, gestor de tienda, cliente…), elija uno de los tres modos:

  • Desactivada: la 2FA ni se ofrece ni se exige para este rol.
  • Opcional: los usuarios pueden activarla si lo desean.
  • Obligatoria: el usuario debe configurarla; superado el periodo de gracia, el acceso se bloquea hasta que esté activa.

Cuando un usuario tiene varios roles, se aplica el nivel más estricto.

Periodo de gracia

El periodo de gracia (en días) se aplica a los usuarios sujetos a 2FA obligatoria que aún no la han configurado. Durante este plazo, un aviso indica los días restantes. Con 0 días, la configuración se exige desde el primer inicio de sesión.

Métodos permitidos

Active los métodos ofrecidos a sus usuarios: aplicación TOTP, código por correo y códigos de recuperación. Se recomienda TOTP como método principal; los códigos de recuperación sirven de red de seguridad. El campo Nombre mostrado (issuer) define la etiqueta mostrada en la aplicación de autenticación (por defecto, el nombre del sitio).

Dispositivos de confianza

El ajuste Recordar el navegador (en días) permite a un usuario no volver a recibir el desafío en un dispositivo validado durante el periodo elegido. El valor 0 desactiva por completo esta función.

Protección anti fuerza bruta

Defina el número de intentos permitidos antes del bloqueo temporal y la duración de dicho bloqueo. La tolerancia TOTP compensa los relojes ligeramente desfasados: 1 acepta el código anterior y el siguiente. Aumentarla reduce la seguridad.

Código por correo

Ajuste la validez del código recibido por correo y el tiempo mínimo entre dos envíos (anti-spam). El código es de un solo uso y expira automáticamente.

Clientes y notificaciones

  • Opt-in del cliente: permite a los clientes activar la 2FA desde «Mi cuenta» en WooCommerce.
  • Nuevo dispositivo: envía un correo informativo cuando se valida un inicio de sesión desde un dispositivo nunca visto.

Activar su 2FA (administradores y equipo)

Cada usuario configura su 2FA desde su perfil (UsuariosPerfil), en la sección «Autenticación de dos factores».

Aplicación de autenticación (TOTP)

  1. Haga clic en Configurar bajo «Aplicación de autenticación».
  2. Escanee el código QR con Google Authenticator, Authy, Microsoft Authenticator, 1Password, etc. Si no puede escanearse, introduzca manualmente la clave mostrada debajo.
  3. Introduzca el código de 6 dígitos generado por la aplicación y haga clic en Confirmar y activar.

El secreto TOTP se cifra en el servidor (AES-256-GCM) antes de almacenarse. Nunca se muestra en texto plano una vez completada la configuración.

Código por correo

Haga clic en Activar bajo «Código por correo»: se envía un código de verificación a su dirección. Introdúzcalo para confirmar. Si el código ha expirado, use Reenviar un nuevo código.

Códigos de recuperación

En cuanto se activa un método, se generan diez códigos de recuperación de un solo uso y se muestran una sola vez. Use los botones Descargar (.txt) o Copiar para guardarlos en lugar seguro. Cada código funciona una sola vez; puede regenerarlos en cualquier momento (los antiguos quedan invalidados).

Activar la 2FA para los clientes (WooCommerce)

Cuando el opt-in del cliente está activado, sus clientes disponen de una pestaña Seguridad (2FA) en «Mi cuenta». Allí activan la aplicación TOTP o el código por correo, igual que en el back-office, y conservan sus propios códigos de recuperación. También puede hacer la 2FA obligatoria para el rol cliente.

Iniciar sesión con la autenticación de dos factores

Una vez activa la 2FA, el inicio de sesión ocurre en dos pasos: usuario y contraseña habituales, y luego una pantalla de verificación que solicita el código del método principal.

Cambiar de método o reenviar un código

En la pantalla de verificación, unos enlaces permiten cambiar a otro método activado (por ejemplo, de TOTP al código por correo) o usar un código de recuperación. Para el método de correo, un enlace permite reenviar un código si es necesario.

Recordar el dispositivo

Si los dispositivos de confianza están activados, una casilla «Recordar este dispositivo» evita volver a pedir un código en este navegador durante el periodo configurado. Evítela en un equipo compartido.

Configuración forzada (2FA obligatoria)

Si la 2FA es obligatoria para el rol y el periodo de gracia ha vencido, el usuario debe configurarla directamente en la pantalla de inicio de sesión: introduce su contraseña y luego activa la aplicación TOTP antes de acceder al sitio. Sus códigos de recuperación se muestran justo después.

Antes de pasar un rol a «Obligatoria» con un periodo de gracia corto, avise a los usuarios afectados y asegúrese de que haya un método de recuperación disponible. En caso de bloqueo, un administrador siempre puede restablecer la 2FA de una cuenta.

Códigos de recuperación: uso, descarga, regeneración

Los códigos de recuperación permiten iniciar sesión cuando el dispositivo principal no está disponible. En la pantalla de verificación, elija «Usar un código de recuperación» e introduzca uno de sus códigos no usados. Desde el perfil, la tarjeta «Códigos de recuperación» indica cuántos quedan y permite regenerarlos. Al generarse, los códigos pueden descargarse en un archivo .txt (con encabezado de sitio, cuenta y fecha) o copiarse al portapapeles.

Gestionar la 2FA de los usuarios (administrador)

Columna 2FA y restablecimiento

La lista de Usuarios muestra una columna 2FA que indica el estado de la doble autenticación de cada usuario (Activada, Pendiente, Bloqueada o Inactiva). El enlace Gestionar abre el panel 2FA del usuario, donde un administrador puede restablecer su configuración (por ejemplo, tras la pérdida de un dispositivo).

Registro de seguridad

El menú DataFirefly 2FA → Registro de seguridad conserva los últimos 200 eventos: inicios de sesión correctos y fallidos, activaciones y desactivaciones, uso de un código de recuperación, bloqueos anti fuerza bruta y restablecimientos por el administrador. Las entradas de más de 180 días se purgan automáticamente.

Seguridad y almacenamiento de datos

  • Los secretos TOTP se cifran con AES-256-GCM mediante una clave dedicada generada en la activación, independiente de las claves de salt de WordPress.
  • Los códigos de recuperación se cifran con hash (nunca se almacenan en claro) y se invalidan tras su uso.
  • La protección anti fuerza bruta bloquea temporalmente una cuenta tras demasiados fallos.
  • Los dispositivos de confianza se basan en un token aleatorio, almacenado con hash en el servidor.

Compatibilidad y notas técnicas

  • WordPress 6.0 a 7.x, PHP 8.1 a 8.3, multisitio.
  • WooCommerce: compatibilidad con HPOS y Cart/Checkout Blocks declarada.
  • Multiidioma: se incluye una plantilla de traducción .pot (compatible con Polylang, WPML, Loco Translate).
  • Arquitectura ampliable mediante proveedores de métodos (véase la sección para desarrolladores), preparada para añadir WebAuthn / passkeys más adelante.

Para desarrolladores (hooks y filtros)

  • df2fa_providers (filtro): añade o elimina métodos de verificación.
  • df2fa_ip_headers (filtro): personaliza las cabeceras usadas para determinar la IP del cliente.
  • df2fa_email_code_message (filtro): personaliza el mensaje del correo que contiene el código.
  • df2fa_event_logged (acción): se dispara en cada registro escrito en el registro de seguridad.
  • df2fa_login_success (acción): se dispara tras un inicio de sesión validado por 2FA.

Desinstalación

Eliminar el plugin desde la pantalla de plugins ejecuta una limpieza completa: se elimina la tabla del registro de seguridad, se borran las opciones y todos los metadatos 2FA de los usuarios, y se retiran las tareas programadas. La simple desactivación conserva los datos.

FAQ y resolución de problemas

El código QR no aparece. Fuerce la recarga de la página (caché del navegador). También puede configurar la aplicación manualmente introduciendo la clave mostrada debajo del QR. Compruebe que ningún plugin de minificación/bloqueo de JavaScript impida la carga de los scripts.

Un usuario ha perdido su teléfono. Puede usar un código de recuperación o el método de correo si está activado. En su defecto, un administrador restablece su 2FA desde la lista de usuarios.

El código recibido por correo es rechazado. Compruebe que no haya expirado y use «Reenviar un nuevo código». Revise también la configuración de envío de correos del sitio (SMTP).

Estoy bloqueado tras hacer la 2FA obligatoria. Inicie sesión con otra cuenta de administrador para restablecer la cuenta afectada, o ajuste el modo del rol en los ajustes.

¿Se admiten passkeys / WebAuthn? No en la versión 1.0.0. La arquitectura de proveedores permitirá añadirlos más adelante sin reescritura.

¿Te ha resultado útil esta página?

¿Sigues atascado? Contacta con soporte