#Latch Plugins Contest 2015 + tutorial de instalación en #WordPress
Regresa el concurso de desarrollo de plugins de seguridad con Latch de elevenpaths, en esta segunda edición los organizadores no han escatimado en gastos y están ofreciendo los siguientes premios:
- Primer lugar: USD 5,000
- Segundo lugar: USD 2,000
- Tercer lugar: USD 1,000
El concurso esta abierto del 8 de octubre de 2015 al 7 de enero de 2016, así que a programar 🙂
Si no saben que es Latch ahora les digo, Latch es un servicio que nos permite implementar mecanismos de autenticación de dos factores en nuestras aplicaciones de manera muy sencilla, es decir una capa de seguridad extra.
Por ejemplo en los portales bancarios es común que ademas de un usuario y contraseña se nos solicita un PIN o TOKEN que es mandado por mensaje a nuestro teléfono, eso significa que si un atacante logra obtener nuestros datos de acceso (usuario y contraseña) todavía necesita obtener acceso físico a nuestro teléfono para utilizar el servicio. Pues con Latch podemos implementar una arquitectura de seguridad de este tipo para nuestros sitios web.
Lo más interesante de Latch es que cuenta con una API Rest que nos permite realizar nuestras propias implementaciones, así como también varias SDK para muchisimos lenguajes de programación, les dejo las bases del concurso en el siguiente link.
Tutorial sobre cómo proteger nuestros sitios WordPress
Si se animan a probar Latch, y tienen un blog de wordpress su instalación es bastante sencilla, lo primero que tenemos que hacer ir al sitio web oficial del servicio y crear una cuenta, después en el área de desarrolladores iniciamos sesión en la plataforma.
Latch cuenta con un panel de administracion bastante intuitivo para administrar nuestras aplicaciones, damos clic en el botón verde que dice “Añadir nueva aplicación"
Nos pedirá que definamos un nombre, recomiendo que sea algo descriptivo, como por ejemplo “Mi blog personal", damos clic en añadir aplicación.
El siguiente paso es importante, después de crear la aplicación el sistema automáticamente nos generó dos valores:
- ID de aplicación
- Secreto
Estos datos guárdenlos y téngalos a la mano, pues los necesitaremos más adelante.
Ahora vamos a wordpress, en la sección de plugins buscamos Latch y lo instalamos, si por alguna razón no pueden instalar plugins desde el administrador entonces tienen que descargar el archivo zip, descomprimirlo y subirlo directamente a su servidor por FTP, SFTP, etc a la carpeta plugins de wordpress (sitio/wp-content/plugins)
Una vez instalado el plugin de latch en wordpress tenemos que configurarlo, en el menú del lado izquierdo vamos a Ajustes > ajustes Latch, nos aparecerá un formulario como el siguiente.
Aquí vamos a poner el ID de aplicación y el Secreto que generamos y obtuvimos anteriormente, por ultimo guardamos los cambios. Ahora vamos a parear (sincronizar) el servicio (wordpress) de una cuenta de usuario en específico, puede ser cualquiera, por ejemplo un redactor, un administrador, un suscriptor, un colaborador, etc.
En el menú de la izquierda vamos a Usuarios > Tu Perfil y buscamos el campo que dice “Token de Latch"
Ya casi tenemos todo listo, ahora tenemos que abrir la aplicación de Latch en nuestro teléfono Android o iOS, nos encontraremos con una pantalla como la siguiente y damos Tap en “Añadir nuevo servicio"
Ahora damos Tap en “Generar nuevo código" y la aplicación nos mostrara un Token que expira en 2 mins y que tendremos que colocar en el campo Token de Latch para sincronizar el usuario y el servicio deseado.
Y listo, eso es todo, así de fácil tenemos un mecanismo de autenticación de dos factores en wordpress. En la aplicación de Latch el nuevo servicio ha sido agregado y desde ahí podemos gestionar el acceso.
Para hacer algunas pruebas cerramos sesión en wordpress y regresamos a la pantalla de login.
Intentaremos entrar al administrador del sitio con nuestras credenciales validas (usuario y contraseña de nuestra cuenta), aunque los datos de acceso son los correctos WordPress nos muestra un error de acceso
Y en la app también se nos notifica de un intento de acceso no autorizado al servicio.
Para poder acceder normalmente, primero en la app tenemos que desbloquear el servicio (hacemos slide para bloquear y desbloquear)
Intentamos loguearnos de nuevo en el administrador de wordpress y ahora si nos dará acceso.
Si quieren aprender mas acerca del funcionamiento interno de Latch, protocolos de comunicación seguros y temas criptograficos pueden leer su documentación en el área de desarrolladores
Happy Hacking 🙂