Una de las opciones que pusimos hace tiempo en Latch es la posibilidad de que el administrador del sitio forzara algo que llamamos Lock Latches after Request, lo que reduce la superficie de exposición de una apertura de Latch, permitiendo que solo este abierto durante el proceso de uso de las credenciales, y que en situaciones en las que aparece un 0day o alguien roba una credencial, siempre es importante, especialmente si quieres tener Máxima Seguridad en WordPress.

Para entender el proceso vamos a ir a un entorno en el que tenemos instalado un WordPress con Latch. El proceso es muy sencillo, y como explica este artículo de nuestro amigo de SpamLoco, más que recomendable si utilizas WordPress. Aquí en este vídeo se explica en 10 minutos cómo dejar tu WordPress protegido.

Ahora vamos a darle un poco de fortificación extra. Imaginad que has instalado Latch en tu WordPress y tus usuarios lo están utilizando pero... ¿Y si se olvidan de cerrarlo? Si han sido previsores, pueden que hayan activado la opción de Latch para que te avise cuándo se produce un login y el latch estaba abierto, pero si no, entonces es como si no estuviera en uso.

Figura 3: Aviso de inicio de sesión cuando Latch estaba abierto

Para ello, el administrador de WordPress puede ir a la aplicación de Latch que ha creado para el WordPress y seleccionar la opción de ·Lock Latches After Request· o "Bloquear Latch tras consultar". Esto hará que cada vez que se inicie sesión, para que el usuario no se tenga que acordar de volver a cerrarlo, el Latch se volverá a cerrar de forma automática. Este proceso se hace desde la aplicación Latch que cuida de tu WordPress.

Figura 4: Opción de Lock Latches after Request en el área de developers

Para que lo veas funcionar el proceso completo, hemos hecho este pequeño vídeo en el que se ve el funcionamiento normal, como activar la opción de "Bloquear Latch tras consultar" y cómo a partir de ese momento el Latch se cierra automáticamente en la cuenta del cliente que acaba de utilizarlo.

Cualquier medida de seguridad extra, que además sea usable, ayudará a reducir el riesgo de exposición a un robo de identidad o a un cero day como el de reseteo de contraseñas que se ha producido hace poco. Además, recuerda que tienes un libro que escribimos sobre cómo aplicar Máxima Seguridad en WordPress y un par de artículos sobre "Cómo mejorar la seguridad por defecto de WordPress".

Figura 6: Hardening WordPres like a Hacker en Barcleon

Y si quieres saber más, yo estaré el día 24 en Barcelona explicando todas estas técnicas de protección y fortificación de WordPress.

Saludos Malignos!