La semana pasada se dio a conocer una vulnerabilidad de WordPress que bajo ciertas condiciones permitiría tomar el control del sitio al resetear remotamente la contraseña. Los detalles se encuentran muy bien explicados en este artículo de hackplayers.com.
Probando esta vulnerabilidad en un sitio de pruebas me pareció una buena oportunidad para hablar de Latch y su plugin compatible con WordPress que permite agregar una capa extra de seguridad en el login. De esta forma una vez que la herramienta se configura, aunque te roben o cambien la contraseña nadie podría acceder al blog.
Latch ya tiene varios años entre nosotros, es una estupenda herramienta elaborada por la gente de ElevenPaths (la empresa liderada por @chemaalonso) que permite agregar un segundo factor de autenticación en una gran variedad de servicios online desde el correo electrónico hasta cuentas bancarias.
En WordPress su configuración es muy sencilla, no toma más de 5 minutos. Básicamente hay que crearse una cuenta de Latch, instalar el plugin en WordPress y configurarlo. No voy a explicar como realizar la instalación paso a paso ya que se encuentra perfectamente explicado en este documento [pdf].
Una vez que Latch se encuentra en funcionamiento, el login de los usuarios pasará a tener un segundo factor de autenticación, es decir que aunque se ingrese de forma correcta el usuario y la contraseña no se podrá acceder al WordPress hasta que se habilite el acceso desde la App de Latch:
Sólo se puede acceder al blog una vez que se desbloquea desde la aplicación móvil.
Algo muy interesante es que si alguien intenta acceder con la contraseña real y el sitio se encuentra bloqueado por Latch, se envía una alerta indicando que se ha intentado acceder al servicio. Además la aplicación cuenta con un registro o log con fecha y hora de toda la actividad detectada.
Vale la pena utilizarlo no sólo por la vulnerabilidad que comentaba al principio, sino también porque una contraseña de WordPress se puede comprometer de varias formas. Por ejemplo con ataques de fuerza bruta, pero también puede suceder que un atacante se encuentre sniffeando nuestra red y capture la contraseña en texto plano al viajar bajo HTTP, esta clase de ataques se pueden realizar en un hotel, un restaurante, un aeropuerto e incluso en nuestra propia casa si el vecino se sabe la contraseña de la wifi.
Por último comentar que también existen plugins que limitan los intentos de login como Limit Login Attempts y otros que también envían alertas cada vez que se realiza un login como Wordfence y Sucuri Security.
Por más información sobre Latch en WordPress, recomiendo la lectura de este artículo donde se explican los cambios que realiza en la base de datos.