viernes, mayo 12, 2017

WordPress aún más seguro con Latch Lock After Request #WordPress #Latch

Una de las opciones que pusimos hace tiempo en Latch es la posibilidad de que el administrador del sitio forzara algo que llamamos Lock Latches after Request, lo que reduce la superficie de exposición de una apertura de Latch, permitiendo que solo este abierto durante el proceso de uso de las credenciales, y que en situaciones en las que aparece un 0day o alguien roba una credencial, siempre es importante, especialmente si quieres tener Máxima Seguridad en WordPress.

Figura1: WordPres aún más seguro con Latch Lock after Request

Para entender el proceso vamos a ir a un entorno en el que tenemos instalado un WordPress con Latch. El proceso es muy sencillo, y como explica este artículo de nuestro amigo de SpamLoco, más que recomendable si utilizas WordPress. Aquí en este vídeo se explica en 10 minutos cómo dejar tu WordPress protegido.


Figura 2: Cómo proteger WordPress con Latch en 10 minutos

Ahora vamos a darle un poco de fortificación extra. Imaginad que has instalado Latch en tu WordPress y tus usuarios lo están utilizando pero... ¿Y si se olvidan de cerrarlo? Si han sido previsores, pueden que hayan activado la opción de Latch para que te avise cuándo se produce un login y el latch estaba abierto, pero si no, entonces es como si no estuviera en uso.
Para ello, el administrador de WordPress puede ir a la aplicación de Latch que ha creado para el WordPress y seleccionar la opción de ·Lock Latches After Request· o "Bloquear Latch tras consultar". Esto hará que cada vez que se inicie sesión, para que el usuario no se tenga que acordar de volver a cerrarlo, el Latch se volverá a cerrar de forma automática. Este proceso se hace desde la aplicación Latch que cuida de tu WordPress.

Figura 4: Opción de Lock Latches after Request en el área de developers

Para que lo veas funcionar el proceso completo, hemos hecho este pequeño vídeo en el que se ve el funcionamiento normal, como activar la opción de "Bloquear Latch tras consultar" y cómo a partir de ese momento el Latch se cierra automáticamente en la cuenta del cliente que acaba de utilizarlo.


Figura 5: Demostración del funcionamiento de  Latch "Lock after request" en WordPress

Cualquier medida de seguridad extra, que además sea usable, ayudará a reducir el riesgo de exposición a un robo de identidad o a un cero day como el de reseteo de contraseñas que se ha producido hace poco. Además, recuerda que tienes un libro que escribimos sobre cómo aplicar Máxima Seguridad en WordPress y un par de artículos sobre "Cómo mejorar la seguridad por defecto de WordPress".

Figura 6: Hardening WordPres like a Hacker en Barcleon

Y si quieres saber más, yo estaré el día 24 en Barcelona explicando todas estas técnicas de protección y fortificación de WordPress.

Saludos Malignos!

11 comentarios:

  1. Genial chema! Éxitos para el meetup.

    ResponderEliminar
  2. Chema que está pasando en Telefonica? Mucho ánimo y fuerza contra esos ataques!

    ResponderEliminar
    Respuestas
    1. Esta la caga!!! A los operadores de telefonica los mandaron a sus casas.
      Rasomware?

      Eliminar
  3. Aquí brindando por tu no tan alejado despido de Telefónica.
    Te deseamos, con todo el cariño del mundo, que se te caiga algo más que el pelo.

    ResponderEliminar
  4. Saludos... cuando te vuelta el internet nos saludas :)

    ResponderEliminar
  5. Mucho ánimo Chema y para adelante, pa tras ni pa tomar impulso. Eres muy grande.

    ResponderEliminar
  6. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  7. Ánimo para todos los afectados por el ransomware. Por otro lado, por muy responsable de datos o Ciberseguridad que sea Chema, un ataque podía pasar y pasó, pero de ahí a desear despidos y demás me parece absurdo. Me consta que en Telefónica y ElevenPaths hay gente preparada de sobra para esto y más. Así que ánimo y que se consiga solucionar lo antes posible y sin que se le "caiga el pelo" a nadie. Se trabaja a diario para que no pase nada y se trabaja más duro aún cuando pasa. Según ciertas noticias, esto mismo está pasando en otros países. ÁNIMO CHEMA.

    ResponderEliminar
  8. Gracias Chema por la retroalimentación.
    Te escribo desde Costa Rica, la semana anterior paso lo mismo a un cliente nuestro. Un adjunto en una PC cliente se coló al servidor de base de datos. Se debe insistir q la mejor herramienta de seguridad sigue siendo un buen esquema de respaldos y sobre todo usuarios finales bien informados, no es asustarles, es enseñarles que un mal click nos puede traer problemas.

    Leonardo Padilla

    ResponderEliminar
  9. Excelente artículo gran profesional que siempre es transparente 100 × 100!

    ResponderEliminar