sábado, diciembre 03, 2016

Cómo proteger WordPress con Latch Cloud TOTP #WordPress @elevenpaths #Latch

En ElevenPaths hemos implementado la funcionalidad de Cloud TOTP para que puedas proteger tus cuentas más utilizadas con la herramienta Latch. Como se explicó anteriormente con Gmail/Google, Microsoft Live/Outlook Online, Dropbox, Facebook y Amazon, hoy vamos a centrarnos en WordPress para ver cómo podemos integrar y proteger nuestra cuenta con Latch Cloud TOTP.

Figura 1: Cómo Proteger WordPress con Latch Cloud TOTP

Antes de comenzar con el proceso de configurar Latch Cloud TOTP en WordPress, queremos recordar que para WordPress existe un plugin oficial de Latch que te permite hacer uso de todas las funciones que ofrece Latch, como el uso de OTP, el planificador temporal de apertura y cierre,  el autolock, enterarte en tiempo real de si alguien con tu contraseña se ha conectado o ha intentado hacerlo, y tener una lista de todos los accesos e intentos de accesos en el log. Para configurar Latch en WordPress tienes un manual y aquí tienes un vídeo de cómo hacerlo en solo 10 minutos.

Figura 2: Proteger WordPress con Latch en 10 minutos


Ahora, para comenzar a usar la opción de Latch Cloud TOTP lo primero que tienes que asegurarte es de tener la última versión de Latch para Android o Latch para iPhone, incluido Latch para Apple Watch que te permitirá tener los Cloud TOTP en tu muñeca.

Figura 3: Latch para Apple Watch con Cloud TOTP & Latches

Si no tienes cuenta de Latch aún, en estos dos artículos tienes una explicación paso a paso de cómo abrir tu cuenta para gestionar tus protecciones:
- Cómo comenzar a usar Latch en tu vida digital desde hoy
- Cómo empezar a usar Latch
Preparando WordPress para autenticación TOTP

Para poder aprovechar esta capacidad tendremos que disponer de un plugin que permita el uso de TOTP como doble factor de autenticación. En nuestro caso utilizaremos el plugin de Two Factor Authentication. Para instalar este plugin iremos al apartado “plugins” de nuestra cuenta y seleccionaremos “Añadir nuevo”, usaremos el buscador para encontrar el plugin y lo instalaremos para después activarlo.

Figura 4: Plugin Two Factor Authentication

A continuación entraremos en el apartado “Two Factor Auth” de nuestro menú, donde podremos observar distintas opciones de configuración.

Figura 5: Configuración del Plugin de Two Factor Authentication

En la parte inferior tenemos los ajustes avanzados, donde nos aseguraremos de que la opción TOTP este activada.

Figura 6: Activación del plugin

Después procederemos al escaneo del código QR con la aplicación de Latch para añadir el nuevo servicio que queremos proteger.

Figura 7: Configuración de la protección TOTP en la cuenta

Una vez lo hayamos hecho nos dirigiremos a la parte superior de la ventana y activaremos la protección pulsando sobre “Enabled” y después sobre “Guardar Cambios”.

Configurando Latch Cloud TOTP

Arrancamos nuestra app de Latch con la última versión, donde disponemos de la funcionalidad Cloud TOTP. Nos vamos a añadir un nuevo servicio con Latch y veremos dos opciones como son 'Parear con Latch', que es nuestra funcionalidad clásica, y 'Proteger con Cloud TOTP'. Debemos pulsar esta última.

Figura 8: Configuración de Latch Cloud TOTP en la app

Al pulsar sobre 'Proteger con Cloud TOTP', Latch mostrará la cámara del dispositivo para que podamos escanear el código QR que Two Factor Authenticator nos presentó anteriormente. En el momento que lo hagamos o introduzcamos los datos de la semilla "seed" manualmente, Latch nos indicará que hay un nuevo servicio, tal y como se puede ver en la imagen inferior. Una vez que se nos muestra este mensaje, tendremos protegida nuestra cuenta de WordPress con Latch Cloud TOTP.

Iniciando sesión con Latch Cloud TOTP en Wordpress

Ahora, nos dirigimos al login de Wordpress e introducimos nuestro usuario y contraseña. Una vez validado, el sistema de login nos solicitará información sobre el código TOTP, tal y como se puede ver en la imagen siguiente. El segundo factor de autenticación está correctamente configurado en la cuenta de WordPress y podremos utilizar nuestro Latch para acceder a ese valor haciendo clic en la opción de PIN.

Figura 9: Login de WordPress protegido con TOTP

En nuestra aplicación de Latch debemos disponer de una entrada Latch Cloud TOTP que tenga el mismo nombre del servicio (en este caso localhost/wordpress) y generando tokens para la cuenta de WordPress que hayamos integrado con TOTP. Hay un botón, en dicha fila, con la palabra 'Pin' que deberemos pulsar para que nos genere un TOTP que será válido durante un breve período de tiempo (30 segundos), tal y como nos indica el pequeño reloj que aparece junto al token.

Figura 10: Latch Cloud TOTP token para la cuenta de WordPress

Una demo de esto con el proceso completo de configuración de Latch Cloud TOTP en WordPress la tienes en este vídeo


Figura 11: Cómo configurar Latch Cloud TOTP en WordPress

No dudéis en configurar los segundos factores de autenticación en todas las cuentas de los servicios que utilicéis, siempre que lo soporten. Hoy en día es un factor vital para fortalecer el uso de las identidades digitales de forma segura.

Más recursos de fortificación de WordPress

Como punto final, os dejo una lista de recursos que os pueden venir bien si estáis administrando un WordPress o queréis aprender cómo fortificarlo de verdad. Estos son libros, vídeos, papers y artículos publicados que os pueden ayudar.

[Libro] Máxima Seguridad en WordPress
[Libro] Hardening GNU/Linux
[Paper] WordPress in Paranoid Mode (Parte 1)
[Paper] WordPress in Paranoid Mode (Parte 2)
[Vídeo] Proteger WordPress con Latch
[Vídeo] Proteger WordPress con Latch Cloud TOTP
[Vídeo] MyWordPress in Paranoid Mode (conferencia Chema Alonso)
[Vídeo] MyWordPress in Paranoid Mode (ElevenPaths Talks de Pablo González)
[Vídeo] Ejemplo de uso de Latch en WordPress
[Vídeo] WordPress Demo XSS en WP-UserAgent
[BlogPost] My WordPress in Paranoid Mode
[BlogPost] Máxima Seguridad en WordPress
[BlogPost] Hackear un WordPress con Network Packet Manipulation
[BlogPost] Fortificar comunicación entre WordPress y MySQL
[BlogPost] Fortificar WordPress frente a ataques de fuerza bruta
[BlogPost] Cómo robarle las contraseñas a los administradores de WordPress
[BlogPost] Agrupar el control de varios WordPress con un solo Latch
[BlogPost] WordPress: Time-Based XSPA (Cross-Site Port Attack)
[BlogPost] Cómo debería ser un WordPress un poco más seguro
[BlogPost] WPHardening: Automatizar fortificación de WordPress
[BlogPost] Protege los borradores de los artículos de tu WordPress
[BlogPost] Registro de cuentas en WordPress públicos
[BlogPost] Riesgos en la ejecución de tareas de Cron
[BlogPost] WordPres: XSS en plugin WP-UserAgent
[BlogPost] Listar los plugins de WordPress en un pentest
[BlogPost] WordPress: SQL Injection en Scarcity Builder Plugin

Por último, como se puede ver en la lista de recursos, es posible jugar con Latch para proteger WordPress de muchas maneras como Latch en las cuentas, Latch Cloud TOTP en las cuentas, Latch como 2FA de las tablas para configurar el Modo Paranoico o Latch para controlar varios WordPress. Pero si tienes una idea para Latch, recuerda que puedes ganar 5.000 USD con el concurso de plugins de Latch de este año. Y si quieres ayuda, puedes contactar con todos nosotros en la Comunidad de ElevenPaths.

Autor: Sergio Sancho (ElevenPaths)

1 comentario:

  1. Hola, me acabo de dar cuenta que existe wordpress . com y wordpress . org
    A cual se refieren con sus artículos?
    Alguién me puede orientar en eso?
    De antemano gracias!

    ResponderEliminar