#Latch Plugins Contest 2015 + tutorial de instalación en #WordPress

Posted on Oct 13, 2015 · 730 words · 4 minute read

Regresa el concurso de desarrollo de plugins de seguridad con Latch de elevenpaths, en esta segunda edición los organizadores no han escatimado en gastos y están ofreciendo los siguientes premios:

  • Primer lugar: USD 5,000
  • Segundo lugar: USD 2,000
  • Tercer lugar: USD 1,000

El concurso esta abierto del 8 de octubre de 2015 al 7 de enero de 2016, así que a programar 🙂

Si no saben que es Latch ahora les digo, Latch es un servicio que nos permite implementar mecanismos de autenticación de dos factores en nuestras aplicaciones de manera muy sencilla, es decir una capa de seguridad extra.

Por ejemplo en los portales bancarios es común que ademas de un usuario y contraseña se nos solicita un PIN o TOKEN que es mandado por mensaje a nuestro teléfono, eso significa que si un atacante logra obtener nuestros datos de acceso (usuario y contraseña) todavía necesita obtener acceso físico a nuestro teléfono para utilizar el servicio. Pues con Latch podemos implementar una arquitectura de seguridad de este tipo para nuestros sitios web.

zoho-two-factor-authentication1

Lo más interesante de Latch es que cuenta con una API Rest que nos permite realizar nuestras propias implementaciones, así como también varias SDK para muchisimos lenguajes de programación, les dejo las bases del concurso en el siguiente link.

Tutorial sobre cómo proteger nuestros sitios WordPress

Si se animan a probar Latch, y tienen un blog de wordpress su instalación es bastante sencilla, lo primero que tenemos que hacer ir al sitio web oficial del servicio y crear una cuenta, después en el área de desarrolladores iniciamos sesión en la plataforma.

iniciar_sesion

Latch cuenta con un panel de administracion bastante intuitivo para administrar nuestras aplicaciones, damos clic en el botón verde que dice “Añadir nueva aplicación"

nueva_app

Nos pedirá que definamos un nombre, recomiendo que sea algo descriptivo, como por ejemplo “Mi blog personal", damos clic en añadir aplicación.

nombre_nueva_app

El siguiente paso es importante, después de crear la aplicación el sistema automáticamente nos generó dos valores:

  • ID de aplicación
  • Secreto

Estos datos guárdenlos y téngalos a la mano, pues los necesitaremos más adelante.

api_secret_key

Ahora vamos a wordpress, en la sección de plugins buscamos Latch y lo instalamos, si por alguna razón no pueden instalar plugins desde el administrador entonces tienen que descargar el archivo zip, descomprimirlo y subirlo directamente a su servidor por FTP, SFTP, etc a la carpeta plugins de wordpress (sitio/wp-content/plugins)

wordpress_latch

Una vez instalado el plugin de latch en wordpress tenemos que configurarlo, en el menú del lado izquierdo vamos a Ajustes > ajustes Latch, nos aparecerá un formulario como el siguiente.

latch_configuration

Aquí vamos a poner el ID de aplicación y el Secreto que generamos y obtuvimos anteriormente, por ultimo guardamos los cambios. Ahora vamos a parear (sincronizar) el servicio (wordpress) de una cuenta de usuario en específico, puede ser cualquiera, por ejemplo un redactor, un administrador, un suscriptor, un colaborador, etc.
En el menú de la izquierda vamos a Usuarios > Tu Perfil y buscamos el campo que dice “Token de Latch"

token_latch

Ya casi tenemos todo listo, ahora tenemos que abrir la aplicación de Latch en nuestro teléfono Android o iOS, nos encontraremos con una pantalla como la siguiente y damos Tap en “Añadir nuevo servicio"

AuYBLlyLZn41M-j3KNsVXUIUOpvtrhv0Sek_hZyo5KMS

Ahora damos Tap en “Generar nuevo código" y la aplicación nos mostrara un Token que expira en 2 mins y que tendremos que colocar en el campo Token de Latch para sincronizar el usuario y el servicio deseado.

AriRRFRtjN8tzU5r1w-rhB6Kf9Qtkp1sJrTr8NblM9RT

Y listo, eso es todo, así de fácil tenemos un mecanismo de autenticación de dos factores en wordpress. En la aplicación de Latch el nuevo servicio ha sido agregado y desde ahí podemos gestionar el acceso.

Anh3sxKYUDk6DAos8KogaGncL3_Ujmj-JWm9d5O85ZCG

Para hacer algunas pruebas cerramos sesión en wordpress y regresamos a la pantalla de login.

wordpress_login

Intentaremos entrar al administrador del sitio con nuestras credenciales validas (usuario y contraseña de nuestra cuenta), aunque los datos de acceso son los correctos WordPress nos muestra un error de acceso

login_fail

Y en la app también se nos notifica de un intento de acceso no autorizado al servicio.

AvfXza1l9bvg7mLYxnwpEv2BDjNRr8jBKJgulqsgIE3E

Para poder acceder normalmente, primero en la app tenemos que desbloquear el servicio (hacemos slide para bloquear y desbloquear)

AuYBLlyLZn41M-j3KNsVXUIUOpvtrhv0Sek_hZyo5KM3S

Intentamos loguearnos de nuevo en el administrador de wordpress y ahora si nos dará acceso.

wordpress_dashboard

Si quieren aprender mas acerca del funcionamiento interno de Latch, protocolos de comunicación seguros y temas criptograficos pueden leer su documentación en el área de desarrolladores

Happy Hacking 🙂