Latch: Pon un pestillo a tu WordPress

En esta entrada veremos:

  • ¿Qué es Latch?
  • ¿Cómo implementarlo en nuestro WordPress?
  • Configuración básica del latch

 

¿Qué es Latch?

Latch es un “pestillo digital“, creado por la empresa Eleven Paths, capitaneada por Chema Alonso (quizás el mayor experto en Seguridad Informática de España), que nos permite añadir una medida de seguridad extra a nuestro WordPress (entre otras muchas cosas). Dicho de otra manera, será un paso extra para hacer login o acceder a ciertas zonas del panel de administración.

La idea principal es la siguiente: Latch actuará de paso intermedio para acceder al panel de administración de WordPress. Al introducir nuestro usuario y contraseña, se enviará una petición a los servidores de Latch preguntando si el pestillo está cerrado o abierto. En caso de estar cerrado, denegará el acceso (aún habiendo introducido el usuario y contraseña correctos) y nos llegará una alerta al móvil informándonos de que alguien ha intentado acceder mientras el pestillo estaba cerrado y podremos actuar en consecuencia (por ejemplo, cambiando la contraseña de usuario) sin que el atacante haya conseguido acceder.

Si queréis más detalles acerca de Latch y de qué otras maneras se puede usar, os recomiendo que veáis la siguiente charla impartida por Chema Alonso en la Semana Informática 2014 del Colegio de Ingenieros de Valencia.

 

 

¿Cómo implementar Latch en WordPress?

Para integrar Latch en WordPress, seguiremos los siguientes pasos:

  1. Crear una cuenta en la web de Eleven Paths.
  2. Instalar la App oficial de Latch en tu smartphone (disponible para iOS, Android, Windows Phone y Firefox OS).
  3. Crear una aplicación Latch en el área de desarrolladores (que no os intimide el nombre, es muy muy fácil).
  4. Instalar y configurar el plugin oficial de Latch en tu WordPress.
  5. Parear el usuario de wordpress con la aplicación Latch.

1. Crear una cuenta en la Web de Latch

Lo primero que veremos al entrar en la página oficial de Latch, será algo como lo siguiente:

 

Simplemente tenemos que hacer clic en la palabra “Regístrate” que aparece en la parte inferior izquierda de la pantalla o en el menú “Regístrate como usuario” y seguir las instrucciones que se indican en el formulario de registro.

 

2. Instalar la App oficial de Latch en tu smartphone

El lugar desde el que abriremos o cerraremos los ‘latches‘ será nuestro smartphone o tablet a través de su aplicación oficial disponible en iOSAndroidWindows Phone y Firefox OS.

Una de las grandes diferencias que tiene Latch frente a otros servicios de autenticación en dos pasos como la de Google o la de Apple, es que el smartphone funciona como un canal paralelo y no como un token de autenticación en sí mismo. Es decir, si pierdes o te roban el móvil, simplemente tendrías que acceder al área de desarrolladores de la página Web de Latch, eliminar la aplicación Latch y volver a empezar el proceso.

 

3. Crear una aplicación Latch en el Área de Desarrolladores

Desde la página principal, en la parte superior derecha, tenemos la opción para acceder al Área de Desarrolladores:

Accederemos a una pantalla como la siguiente (si es la primera vez que accedéis, aparecerá el listado vacío). Para crear una nueva aplicación Latch, simplemente tenemos que hacer clic en el botón “+Añadir una nueva aplicación“:

Damos un nombre a nuestra aplicación Latch y hacemos clic en el botón “Añadir la aplicación“:

Y ya tendremos nuestra aplicación Latch creada. Ahora, debemos apuntarnos el “ID de aplicación” y el “Secreto“. El “2º factor OTP” (contraseña de un solo uso) lo dejaremos en Opcional (por defecto está deshabilitado). Más adelante explicaré por qué:

 

Y ya tenemos la aplicación Latch añadida a nuestra lista de aplicaciones:

4. Instalar y configurar el plugin oficial de Latch en tu WordPress

El plugin oficial de Latch se instala como cualquier otro plugin:

Primero, accedemos al menú “Añadir nuevo plugin” situado en el panel de la izquierda, entre “Apariencia” y “Usuarios”:

 

Opción Añadir plugin en el panel de administración de WordPress

 

Segundo, escribimos en el buscador “Latch” y pulsamos el botón “Buscar plugins“:

Opción Buscar plugin en el panel de administración de WordPress

 

Tercero, y último, buscamos el plugin “latch” creado por Eleven Paths.

 

Opción Instalar plugin en el panel de administración de WordPress

 

Ya tenemos el plugin instalado, por lo que solo nos falta configurarlo. Para ello, vamos a Ajustes->Latch settings:

Opción Configurar Latch en el panel de administración de WordPress

Y nos aparecerá algo como esto:

Menú Configurar Latch en el panel de administración de WordPress

Simplemente, tendremos que introducir el Application ID y el Secreto (los cuales apuntamos en el paso anterior) en los campos correspondientes. El campo API URL lo dejamos vacío. Y ya está, ya tenemos el plugin configurado. Ya solo nos queda parear el usuario (o usuarios).

 

5. Parear el usuario de WordPress con Latch

Este punto solo habrá que hacerlo una vez por cada usuario que queramos parear. Para ello, necesitamos tener a mano el smartphone en el que instalamos la App oficial de Latch y desde el cual controlaremos el estado (abierto o cerrado) del latch.

Por un lado, accedemos al perfil de nuestro usuario en WordPress  en Opción Tu perfil en el panel de administración de WordPress y, por otro, a la App desde el smartphone Logotipo de la App de Latch. El proceso es el siguiente:

 

Pasos para realizar el proceso de pareado de un usuario de WordPress con Latch

 

Conviene aclarar que el campo “Latch token” que aparece en el perfil de usuario de WordPress, solo se verá si accedemos al perfil del usuario con el que hayamos hecho login. Aunque tengamos permisos de administrador, este campo no aparecerá si accedemos a los perfiles de otros usuarios.

El código de pareado caducará al minuto de haber sido creado. Si, pasado ese tiempo, no lo hemos introducido y guardado los cambios en el usuario de WordPress, tendremos que generar otro.

 

Listado de Latches actualizado en la App de Latch

 

¡Y ya tenemos pareado el usuario!

 

Configuración básica del latch

Si pulsamos en el nombre o en la imagen del latch que queramos configurar, nos saldrá lo siguiente:

Opciones de configuración del latch

  • Autobloqueo: El latch se bloqueará automáticamente transcurrido un tiempo que, por defecto, está fijado en 5 minutos, aunque se puede modificar.
  • Programar bloqueo: En esta opción podemos elegir en qué horas del día (o de la noche) debe bloquearse automáticamente el latch.
  • Contraseña de un uso: Esta es mi favorita. ¿Os acordáis del 2º factor OTP? Pues es esto: al introducir nuestro usuario y contraseña en WordPress, si el latch está desbloqueado, se generará una contraseña de un solo uso en tiempo real, la cual nos solicitará WordPress. Teniendo esta opción activada, aunque se nos olvide cerrar el latch e intentaran acceder no podrían al necesitar la 2ª contraseña de un solo uso. Y como una imagen vale más que mil palabras…

Proceso de login en WordPress con contraseña de un solo uso en Latch

 

 

 

¡TERMINAMOS! 😀

 

 

[easy-tweet tweet=”Latch: Pon un pestillo a tu #WordPress” user=”AlbertoEstevesC” hashtags=”#SeguridadInformatica” url=”http://bit.ly/LatchWordpress”]

 

Espero que os haya servido esta entrada y os animo a seguir investigando acerca de Latch, ya que tiene muchísimas más utilidades aparte de securizar el login de nuestro WordPress.

 

Human knowledge belongs to the world 

Fuentes:

Especializado en el diseño y ejecución de Estrategias Digitales enfocadas en conseguir la conversión y aumentar el ROI, ofrezco servicios de consultoría, creación y gestión avanzada de campañas PPC en Buscadores (Google AdWords, Bing Ads, etc.) y Redes Sociales (Facebook Ads, Twitter Ads, Instagram Ads, LinkedIn Ads, etc.), Analítica Web Avanzada y Diseño Web con criterios de CRO (Conversion Rate Optimization).

Más entradas

Ver todas
No Comments

Deja tu comentario