Habilitar la autentificación de factor doble en Joomla!
En esta ocasión voy a tratar de explicar un tema de seguridad muy importante, que es la autentificación de factor doble en los sitios web administrados con Joomla!.
Joomla! fue el primer gran CMS en implementar la Autentificación de factor doble, debido a que más del 80% de las infracciones a los sitios web provienen de ataques a contraseñas de acceso.
Vamos ha evitarlo en nuestro sitio web Joomla!
Con la verificación en dos pasos (también llamada "autentificación de dos factores o factor doble"), tu cuenta tendrá una capa de protección adicional si te roban la contraseña. Una vez que hayas configurado la autentificación de factor doble, para iniciar sesión como administrador en tu sitio Joomla!, necesitarás dos cosas:
- Algo que sabes, como tu contraseña.
- Algo que tienes, como tu teléfono móvil o una yubikey.
Lo habitual cuando inicias sesión, es logearte con tu nombre de usuario y contraseña. El riesgo que se tiene es grande ya que tu usuario y contraseña pueden ser robados o adivinados. Por ejemplo, si tu equipo está infectado con malware o intentas obtener acceso a tu sitio desde una red de wi-fi pública, es posible que alguien pueda averiguar tu nombre de usuario y contraseña. Esto implica que puede iniciar sesión en tu sitio con tus credenciales y que tu nombre de usuario y contraseña están comprometidos, y tu sitio web está hackeado.
Para evitarlo, Joomla! viene con un sistema incorporado de Autentificación de factor doble, que asegura el inicio de sesión en tu sitio con un código secreto secundario y de un solo uso, generado aleatoriamente a partir de algo que está físicamente contigo, por ejemplo un móvil.
Joomla ofrece dos formas de habilitar la autentificación de factor doble:
Autenticador de Google ejecutándose en un dispositivo móvil
Yubikeys que están conectados a un puerto USB en tu PC
NOTA: En este artículo vamos a echar un vistazo al autenticador de Google.
INSTALACIÓN DE LA APP AUTENTICADOR DE GOOGLE
El Autenticador de Google es una aplicación para teléfonos inteligentes y computadoras de escritorio creado por Google que permite generar una contraseña de seguridad de seis dígitos que cambia cada 30 segundos. Cuando esté todo listo, para iniciar sesión en tu sitio web Joomla!, tendrás que utilizar tu nombre de usuario, tu contraseña y los seis dígitos del código de seguridad que irán rotando aleatoriamente cada treinta segundos y que te facilitará la app de Google.
La idea es proporcionar una protección extra contra intrusiones no deseadas, aunque el hacker hubiera sido capaz de conseguir tus credenciales de usuario y contraseña, tienen un máximo de 30 segundos para hackear tú sitio, algo inviable y costoso para ellos.
Descarga la aplicación para Android en la tienda (Play Store) en el siguiente enlace:
Una vez instalada presiona el botón de Comenzar y ya estás preparado para configurar tu cuenta de usuario. Lo más sencillo es escanear un código QR en el que ya está encriptado lo necesario para configurar tu cuenta
Puedes establecer esta seguridad de acceso a tus cuentas de Google, Facebook, etc. La configuración de la autenticación de factor doble con Google Authenticator es realmente fácil. Sigue las instrucciones que te proporciona Google en el siguiente link:
HABILITAR LOS PLUGINS EN JOOMLA!
Accedamos al back-end de nuestro sitio web en Joomla. Continúe e inicie sesión. Como puede ver, NO tenemos habilitada la autenticación de dos factores, porque tendríamos un campo más aquí para el código si lo tuviéramos. Sigamos adelante y pongamos remedio a esto ahora de esta forma:
- a Ve a la opción de menú .
- b En cuadro de búsqueda escribe “doble” y haz clic en la lupa. Esta acción te filtrará los plugins en los que aparezca la palabra doble y nos mostrará solo los que nos interesa habilitar: [Autentificación de factor doble - Autentificador Google] y [Autentificación de factor doble - YubiKey].
- c Habilita uno ó ambos plugins según tu preferencia. Para este tutorial voy a utilizar el Autenticador de Google.
- d Edita los plugins. Ambos tienen una configuración que les permite restringir si desea que la autentificación esté en la zona del sitio, en la zona de administración o en ambas zonas. Dejaremos en nuestro caso para ambas zonas.
Ya hemos habilitado el plugin, y por lo tanto en la ventana o módulo de acceso a la zona de administración, a partir de ahora, aparecerá un tercer campo, en el que deberemos ingresar el código secreto que nos facilitará el authenticador de Google.
Comprueba que la zona horaria de tu sitio sea la correcta para que no haya problemas de sincronización con el móvil. Mira en .
CONFIGURAR EL MÉTODO DE AUTENTIFICACIÓN
Una vez que hayamos habilitado este complemento, procedemos a configurar el método de autentificación para él o los usuarios elegidos de la siguiente manera:
- 1 Ir a .
- 2 Abrir el usuario para el cual queremos proporcionar la autentificación doble.
- 3 Haz clic en la pestaña que se llama "AUTENTICACIÓN POR FACTOR DOBLE".
- 4 Selecciona del menú desplegable “Método de autentificación”
- 5 Con la app “Authenticador de Google” abierta en nuestro teléfono haga clic en “”. Da permiso para utilizar la cámara si aún no lo has hecho y escanea el QR suministrado en la configuración de la cuenta de usuario y deje que trabaje la aplicación.
- 6 Para activar la autentificación doble, necesitas insertar en el cuatro de texto llamado CÓDIGO DE SEGURIDAD el número secreto de seis dígitos que te está proporcionando la aplicación del móvil.
NOTA: Los códigos de seguridad solo duran 30 segundos, por lo que si temes que no te va ha dar tiempo, es posible que desees darle los segundos a la aplicación para que se actualice y genere otro código, de modo que tengas suficiente tiempo para escribir los seis dígitos en el cuadro de texto.
- 7 Desplázate arriba de la página y haz clic en el botón de Guardar.
Ahora que ya has guardado tu usuario, desplázate hacia la parte inferior de la página. Verás que hay algo que es muy importante: “CONTRASEÑAS DE EMERGENCIA DE UN SOLO USO”. Estas son muy útiles en caso de que pierdas el móvil que tenías el Autenticador de Google, o no tengas acceso a tu Autenticador de Google por algún otro motivo.
Para esos casos de emergencia, deberás usar uno de estos códigos, por lo que le sugiero INSISTENTEMENTE que copies y pegues estas contraseñas en otro lugar de tu PC. Incluso te aconsejaría la posibilidad de imprimirlos. Tenga en cuenta que cada código solo es válido para UN solo uso, así que cópielos todos, no sea que te suceda más de una vez.
Guarda las CONTRASEÑAS DE EMERGENCIA DE UN SOLO USO en un lugar seguro, por si las necesitas.
- 8 Guarda y cierra tu usuario.
- 9 Cierra tu sesión en el sitio.
Ahora verás que tenemos tres campos para iniciar sesión en nuestro sitio Joomla!:
- NOMBRE DE USUARIO
- CONTRASEÑA
- CÓDIGO SECRETO
Ya sabes los dos primeros. Encontrarás el código secreto de tu cuenta en el Autenticador de Google. Traslada ese código para completar el proceso de inicio de tu sesión.
Haz el siguiente ejercicio de imaginación y suponte que no tienes ese código. Regresa e intenta iniciar sesión usando solo tu nombre de usuario y tu contraseña. SE TE VA NEGAR EL ACCESO, obviamente, como debe ser.
Ya tienes configurado tu autentificación de factor doble para acceder a tu cuenta de Joomla! con seguridad.
Ha sido fácil verdad. Agradezco que me hayas visitado y no olvides COMPARTIR Y COMENTAR. También puedes seguirme en twitter @eduardovlsc. Hasta pronto.
