Una de las opciones que pusimos hace tiempo en Latch es la posibilidad de que el administrador del sitio forzara algo que llamamos Lock Latches after Request, lo que reduce la superficie de exposición de una apertura de Latch, permitiendo que solo este abierto durante el proceso de uso de las credenciales, y que en situaciones en las que aparece un 0day o alguien roba una credencial, siempre es importante, especialmente si quieres tener Máxima Seguridad en WordPress.
Para entender el proceso vamos a ir a un entorno en el que tenemos instalado un WordPress con Latch. El proceso es muy sencillo, y como explica este artículo de nuestro amigo de SpamLoco, más que recomendable si utilizas WordPress. Aquí en este vídeo se explica en 10 minutos cómo dejar tu WordPress protegido.
Figura 2: Cómo proteger WordPress con Latch en 10 minutos
Ahora vamos a darle un poco de fortificación extra. Imaginad que has instalado Latch en tu WordPress y tus usuarios lo están utilizando pero... ¿Y si se olvidan de cerrarlo? Si han sido previsores, pueden que hayan activado la opción de Latch para que te avise cuándo se produce un login y el latch estaba abierto, pero si no, entonces es como si no estuviera en uso.
Para ello, el administrador de WordPress puede ir a la aplicación de Latch que ha creado para el WordPress y seleccionar la opción de ·Lock Latches After Request· o "Bloquear Latch tras consultar". Esto hará que cada vez que se inicie sesión, para que el usuario no se tenga que acordar de volver a cerrarlo, el Latch se volverá a cerrar de forma automática. Este proceso se hace desde la aplicación Latch que cuida de tu WordPress.
Figura 4: Opción de Lock Latches after Request en el área de developers |
Para que lo veas funcionar el proceso completo, hemos hecho este pequeño vídeo en el que se ve el funcionamiento normal, como activar la opción de "Bloquear Latch tras consultar" y cómo a partir de ese momento el Latch se cierra automáticamente en la cuenta del cliente que acaba de utilizarlo.
Figura 5: Demostración del funcionamiento de Latch "Lock after request" en WordPress
Figura 6: Hardening WordPres like a Hacker en Barcleon |
Y si quieres saber más, yo estaré el día 24 en Barcelona explicando todas estas técnicas de protección y fortificación de WordPress.
Saludos Malignos!
Genial chema! Éxitos para el meetup.
ResponderEliminarChema que está pasando en Telefonica? Mucho ánimo y fuerza contra esos ataques!
ResponderEliminarEsta la caga!!! A los operadores de telefonica los mandaron a sus casas.
EliminarRasomware?
Aquí brindando por tu no tan alejado despido de Telefónica.
ResponderEliminarTe deseamos, con todo el cariño del mundo, que se te caiga algo más que el pelo.
Que eres el más tonto de tu familia?
EliminarSaludos... cuando te vuelta el internet nos saludas :)
ResponderEliminarMucho ánimo Chema y para adelante, pa tras ni pa tomar impulso. Eres muy grande.
ResponderEliminarEste comentario ha sido eliminado por el autor.
ResponderEliminarÁnimo para todos los afectados por el ransomware. Por otro lado, por muy responsable de datos o Ciberseguridad que sea Chema, un ataque podía pasar y pasó, pero de ahí a desear despidos y demás me parece absurdo. Me consta que en Telefónica y ElevenPaths hay gente preparada de sobra para esto y más. Así que ánimo y que se consiga solucionar lo antes posible y sin que se le "caiga el pelo" a nadie. Se trabaja a diario para que no pase nada y se trabaja más duro aún cuando pasa. Según ciertas noticias, esto mismo está pasando en otros países. ÁNIMO CHEMA.
ResponderEliminarGracias Chema por la retroalimentación.
ResponderEliminarTe escribo desde Costa Rica, la semana anterior paso lo mismo a un cliente nuestro. Un adjunto en una PC cliente se coló al servidor de base de datos. Se debe insistir q la mejor herramienta de seguridad sigue siendo un buen esquema de respaldos y sobre todo usuarios finales bien informados, no es asustarles, es enseñarles que un mal click nos puede traer problemas.
Leonardo Padilla
Excelente artículo gran profesional que siempre es transparente 100 × 100!
ResponderEliminar