Proteger Joomla 3.5 mediante Latch

por | 7 diciembre, 2015

Proteger acceso a Joomla 3.5 mediante Latch

Buenas a todos, en los tiempos que corren ustedes ya se habrán dado cuenta de la dependencia que tenemos hoy en día de Internet y de la famosa “nube” o “cloud computing”. A cualquiera que le preguntemos seguro que tiene más de una cuenta en alguna red social, cómo por ejemplo: Facebook, Twitter, Instagram, Linkedin … etc y seguramente muchos de estos usuarios no se dan cuenta de lo peligroso que es ir publicando nuestra vida personal por Internet, porque esa es la realidad, hay gente que se levanta y lo primero que hace es poner un twitt del tipo “Buenos días al mundo” o van a algún lugar y también lo ponen, esto sería el símil a salir de tu casa e ir dando esa información a cualquier vecino de tu localidad… Si no haces algo en la vida real, en tu día a día, tampoco lo hagas en Internet. De la misma manera que proteges tu número de cuenta corriente, DNI, pasaporte … etc, debes también proteger tus contraseñas y saber en cada momento las cuentas que tienes en cada sitio. Pero aquí nos encontramos con un problema, no hay nadie que yo al menos conozca que esté utilizando a la vez, por ejemplo: Facebook, Twitter, MySpace … etc, ¿Entonces por que no controlar cuándo es necesario que esas sesiones estén abiertas o no?¿No será mejor tener un control sobre ello? Pues bien, la respuesta claramente es que sí y para ello existe una aplicación para móviles, tanto para dispositivos móviles que utilizan iOS cómo para dispositivos móviles que utilizan Android, dicha aplicación se llama “Latch” y la podeís descargar desde el PlayStore o desde el AppleStore. Este software ha sido desarrollado por la compañía ElevenPaths (Telefónica), de la cuál forma parte el reconocido hacker español Chema Alonso (podeís encontrar un enlace a su blog en este blog). He de reconocer que me ha enamorado esta herramienta, la cuál nos permite controlar los accesos a una determinada página web o aplicación y bloquear los inicios de sesión, de manera que sólo podremos acceder a dicha cuenta si somos nosotros mismos los que lo permitimos. Esto implica una capa más de seguridad, dado que aunque nos robaran el usuario y la password de una determinada aplicación, al estar bloqueado por Latch, el atacante no podría acceder a dicha cuenta y a nosotros se nos mandaría un aviso.

Pero…¿que es Latch?¿cómo funciona?

Para no extender demasiado este artículo y cómo yo opino que nadie conoce mejor lo que uno mismo crea, os dejo el enlace directo a la explicación en el blog de Chema Alonso:

¿Y tanto rollo entonces para que?

Ahora viene la parte práctica, lo que a nosotros, los amantes de las nuevas tecnologías nos gusta. Vamos a ver ahora cómo podemos implementar Latch en el CMS (Sistema Gestor de Contenido) Joomla 3.5. En este tutorial veréis cómo es super sencillo de configurar, gracias a un plugin para dicho CMS que podemos descargar desde el área para desarrolladores de Latch. Pues bien comencemos:

Paso 1

Bajarnos la App para nuestro Smartphone, o bien desde la AppleStore o bien desde GooglePlay. Con buscar “Latch” ya os saldrá.

proteger

Paso 2

Crearnos una cuenta de desarrollador en Latch,

Paso 3

Deshabilitar la autenticación en dos pasos de Joomla, por defecto esto viene deshabilitado.

Paso 4

Descargarnos el plugin para Joomla, desde la opción de SDKS (seguimos dentro del área para desarroladores). Buscáis Joomla y vereís cómo os lleva directamente al plugin.

proteger

Paso 5

Este paso es opcional para aquellos que ya tengan configurado su servidor web correctamente, yo en mi caso no lo tenía asi que explicaré brevemente los pasos que tenemos que seguir.

Lo primero es tener corriendo PHP, Apache2 y MySQL en nuestro servidor (esto no voy a explicar cómo se hace pero un día de estos subiré un artículo explicándolo). Si nuestro servidor va bien y todo funciona correctamente lo único que tenemos que hacer es instalar PHP5-curl (una extensión para PHP5), mediante el siguiente comando (Linux):

sudo apt-get install php5-curl

 

sudo /etc/init.d/apache2 restart ————-> Reiniciamos el servicio de apache

Además es posible que necesitemos instalar estas librerías, para curarnos en salud las instalamos y así nos ahorramos quebraderos de cabeza:

sudo apt-get install curl libcurl3 libcurl3-dev

Paso 6

Configurar el fichero php.ini (/etc/php5/apache2/php.ini) y añadir la siguiente línea:

proteger

extension=curl.so

Nota: Si la encontramos comentada la podemos descomentar y listo, en mi caso concretamente no aparecía asi que lo hice manualmente.

Volvemos a reiniciar el servicio apache2 cómo hemos visto anteriormente.

Paso 7

Subir el plugin que hemos descargado a nuestro CMS Joomla desde el Gestor de Extensiones:

proteger

La instalación será automática y ya tendremos casi todo hecho, una vez hecho esto deberemos volver al área de desarroladores de Latch.

Paso 8

Crearnos una app en nuestra cuenta de desarrolladores de Latch, sólo le tenemos que dar un nombre a esta aplicación, una imagen (opcional), un correo electrónico y teléfono de contacto (ambos opcionales) y decir si queremos un segundo factor de autenticación (en nuestro caso lo dejamos deshabilitado) y el campo “Bloquear tras consultar” también lo dejamos en deshabilitado:

proteger

Paso 9

Ahora nos vamos otra vez a nuestro CMS, en este caso a “Extensiones” > “Plugins” > Buscamos “Latch”:

proteger

Ahora hacemos clic en dicho plugin y procedemos a configurarlo, lo único que tenemos que hacer es introducir el ID de la aplicación y su número secreto, simplemente basta con hacer un Copy&Paste de estos valores que nos salían al hacer la aplicación en el área de desarrolladores. No tenemos que configurar ningún parámetro más, sólo estos dos, pero aseguraros de que están bien, aunque haciendo un copia y pega pocos fallos puede haber pero bueno, más vale prevenir que curar….

proteger

¡¡¡Ni se os ocurra tocar el valor del campo HOST o no os funcionará!!!

Paso 10

Este es el último paso y es el que confirmará si todo lo hemos hecho correctamente o moriremos en el intento, esperemos que no…

Lo único que tenemos que hacer es irnos al Front-End (lo bonito, lo que ven los usuarios normales y corrientes, a esos a los que te entra ganas de tirarlos por la ventana a veces) e iniciar sesión con un usuario, en este caso yo lo he hecho con un usuario con privilegios de administrador porque quiero dar protección a este usuario en concreto. Una vez iniciemos sesión nos saldrá algo parecido a esto:

proteger

Ahora le daremos a parear cuenta.

Posteriormente nos vamos la app de Latch descargada en nuestro teléfono, le damos a “Añadir nuevo servicio” > “Genear nuevo código”, se nos generará un código aleatorio y ese código es el que tenemos que introducir en el campo de “Escribir el token de pareado” antes de que caduque el tiempo (hay que ser una tortuga escribiendo para que no te de tiempo):

proteger

Si todo lo hemos hecho bien ya tenemos esta cuenta pareada y podremos controlar los accesos bloqueando o no los inicios de sesión con dichas credenciales.

Aquí os dejo un vídeo de cómo funciona esta maravilla de herramienta:

Aparte os dejo  un enlace a otro video-tutorial dónde se pueden ver los pasos de una manera más visual:

https://www.youtube.com/watch?v=LnmnZnTkUec

About: Miguel Carretas Perulero

Miguel Carretas Perulero ha escrito 63 artículos en este blog.

Un pensamiento en “Proteger Joomla 3.5 mediante Latch

  1. Pingback: Protege Facebook con Cloud TOTP - El Blog del Administrador

Deja un comentario