Habilitar la autentificación de factor doble en Joomla!

Habilitar la autentificación de factor doble en Joomla!

En esta ocasión voy a tratar de explicar un tema de seguridad muy importante, que es la autentificación de factor doble en los sitios web administrados con Joomla!.

Joomla! fue el primer gran CMS en implementar la Autentificación de factor doble, debido a que más del 80% de las infracciones a los sitios web provienen de ataques a contraseñas de acceso.

Vamos ha evitarlo en nuestro sitio web Joomla!

Con la verificación en dos pasos (también llamada "autentificación de dos factores o factor doble"), tu cuenta tendrá una capa de protección adicional si te roban la contraseña. Una vez que hayas configurado la autentificación de factor doble, para iniciar sesión como administrador en tu sitio Joomla!, necesitarás dos cosas:

  • Algo que sabes, como tu contraseña.
  • Algo que tienes, como tu teléfono móvil o una yubikey.

Acceso zona administración JoomlaLo habitual cuando inicias sesión, es logearte con tu nombre de usuario y contraseña. El riesgo que se tiene es grande ya que tu usuario y contraseña pueden ser robados o adivinados. Por ejemplo, si tu equipo está infectado con malware o intentas obtener acceso a tu sitio desde una red de wi-fi pública, es posible que alguien pueda averiguar tu nombre de usuario y contraseña. Esto implica que puede iniciar sesión en tu sitio con tus credenciales y que tu nombre de usuario y contraseña están comprometidos, y tu sitio web está hackeado.

Para evitarlo, Joomla! viene con un sistema incorporado de Autentificación de factor doble, que asegura el inicio de sesión en tu sitio con un código secreto secundario y de un solo uso, generado aleatoriamente a partir de algo que está físicamente contigo, por ejemplo un móvil.

Joomla ofrece dos formas de habilitar la autentificación de factor doble:

Autenticador de Google ejecutándose en un dispositivo móvil

movil authenticator google

Yubikeys que están conectados a un puerto USB en tu PC

Yubikey

NOTA: En este artículo vamos a echar un vistazo al autenticador de Google.

INSTALACIÓN DE LA APP AUTENTICADOR DE GOOGLE

El Autenticador de Google es una aplicación para teléfonos inteligentes y computadoras de escritorio creado por Google que permite generar una contraseña de seguridad de seis dígitos que cambia cada 30 segundos. Cuando esté todo listo, para iniciar sesión en tu sitio web Joomla!, tendrás que utilizar tu nombre de usuario, tu contraseña y los seis dígitos del código de seguridad que irán rotando aleatoriamente cada treinta segundos y que te facilitará la app de Google.

La idea es proporcionar una protección extra contra intrusiones no deseadas, aunque el hacker hubiera sido capaz de conseguir tus credenciales de usuario y contraseña, tienen un máximo de 30 segundos para hackear tú sitio, algo inviable y costoso para ellos.

Descarga la aplicación para Android en la tienda (Play Store) en el siguiente enlace:

 

INSTALA LA APP

INSTALA LA APP

Instala el Autenticador de Google para mayor seguridad en tus cuentas
ESCANEA EL QR

ESCANEA EL QR

Concede el permiso al Autenticador para usar la camara
CÓDIGO ÚNICO

CÓDIGO ÚNICO

Tu usuario, contraseña y el código de esta app para acceder a tu cuenta
CONFIGURA TU CUENTA

CONFIGURA TU CUENTA

Escanea el QR para configurar tu cuenta y obtener tus códigos únicos

 

Una vez instalada presiona el botón de Comenzar y ya estás preparado para configurar tu cuenta de usuario. Lo más sencillo es escanear un código QR en el que ya está encriptado lo necesario para configurar tu cuenta

Puedes establecer esta seguridad de acceso a tus cuentas de Google, Facebook, etc. La configuración de la autenticación de factor doble con Google Authenticator es realmente fácil. Sigue las instrucciones que te proporciona Google en el siguiente link:

HABILITAR LOS PLUGINS EN JOOMLA!

Accedamos al back-end de nuestro sitio web en Joomla. Continúe e inicie sesión. Como puede ver, NO tenemos habilitada la autenticación de dos factores, porque tendríamos un campo más aquí para el código si lo tuviéramos. Sigamos adelante y pongamos remedio a esto ahora de esta forma:

  • a Ve a la opción de menú Extensiones / Plugins.
  • b En cuadro de búsqueda escribe “doble” y haz clic en la lupa. Esta acción te filtrará los plugins en los que aparezca la palabra doble y nos mostrará solo los que nos interesa habilitar: [Autentificación de factor doble - Autentificador Google] y [Autentificación de factor doble - YubiKey].Filtrar plugins de autentificación
  • c Habilita uno ó ambos plugins según tu preferencia. Para este tutorial voy a utilizar el Autenticador de Google.
  • d Edita los plugins. Ambos tienen una configuración que les permite restringir si desea que la autentificación esté en la zona del sitio, en la zona de administración o en ambas zonas. Dejaremos en nuestro caso para ambas zonas.Edita los plugins para ambas zonas

Ya hemos habilitado el plugin, y por lo tanto en la ventana o módulo de acceso a la zona de administración, a partir de ahora, aparecerá un tercer campo, en el que deberemos ingresar el código secreto que nos facilitará el authenticador de Google.

Comprueba que la zona horaria de tu sitio sea la correcta para que no haya problemas de sincronización con el móvil. Mira en Sistema/Configuración Global/Servidor.

CONFIGURAR EL MÉTODO DE AUTENTIFICACIÓN

Una vez que hayamos habilitado este complemento, procedemos a configurar el método de autentificación para él o los usuarios elegidos de la siguiente manera:

  • 1 Ir a Usuarios / Gestionar.
  • 2 Abrir el usuario para el cual queremos proporcionar la autentificación doble.
  • 3 Haz clic en la pestaña que se llama "AUTENTICACIÓN POR FACTOR DOBLE".
  • 4 Selecciona AUTENTIFICADOR GOOGLE del menú desplegable “Método de autentificación
  • 5 Con la app “Authenticador de Google” abierta en nuestro teléfono haga clic en “Escanear un código QR”. Da permiso para utilizar la cámara si aún no lo has hecho y escanea el QR suministrado en la configuración de la cuenta de usuario y deje que trabaje la aplicación.
  • 6 Para activar la autentificación doble, necesitas insertar en el cuatro de texto llamado CÓDIGO DE SEGURIDAD el número secreto de seis dígitos que te está proporcionando la aplicación del móvil.

NOTA: Los códigos de seguridad solo duran 30 segundos, por lo que si temes que no te va ha dar tiempo, es posible que desees darle los segundos a la aplicación para que se actualice y genere otro código, de modo que tengas suficiente tiempo para escribir los seis dígitos en el cuadro de texto.

  • 7 Desplázate arriba de la página y haz clic en el botón de Guardar.

Ahora que ya has guardado tu usuario, desplázate hacia la parte inferior de la página. Verás que hay algo que es muy importante: “CONTRASEÑAS DE EMERGENCIA DE UN SOLO USO”. Estas son muy útiles en caso de que pierdas el móvil que tenías el Autenticador de Google, o no tengas acceso a tu Autenticador de Google por algún otro motivo.

Para esos casos de emergencia, deberás usar uno de estos códigos, por lo que le sugiero INSISTENTEMENTE que copies y pegues estas contraseñas en otro lugar de tu PC. Incluso te aconsejaría la posibilidad de imprimirlos. Tenga en cuenta que cada código solo es válido para UN solo uso, así que cópielos todos, no sea que te suceda más de una vez.

Guarda las CONTRASEÑAS DE EMERGENCIA DE UN SOLO USO en un lugar seguro, por si las necesitas.

  • 8 Guarda y cierra tu usuario.
  • 9 Cierra tu sesión en el sitio.
Editar perfil de usuario para configurar la autentificación doble

Acceso a zona de administración Joomla con autentificación dobleAhora verás que tenemos tres campos para iniciar sesión en nuestro sitio Joomla!:

  • NOMBRE DE USUARIO
  • CONTRASEÑA
  • CÓDIGO SECRETO

Ya sabes los dos primeros. Encontrarás el código secreto de tu cuenta en el Autenticador de Google. Traslada ese código para completar el proceso de inicio de tu sesión.

Haz el siguiente ejercicio de imaginación y suponte que no tienes ese código. Regresa e intenta iniciar sesión usando solo tu nombre de usuario y tu contraseña. SE TE VA NEGAR EL ACCESO, obviamente, como debe ser.

Ya tienes configurado tu autentificación de factor doble para acceder a tu cuenta de Joomla! con seguridad.

Ha sido fácil verdad. Agradezco que me hayas visitado y no olvides COMPARTIR Y COMENTAR. También puedes seguirme en twitter @eduardovlsc. Hasta pronto.

 

 

Deja tu comentario

Estás comentando como invitado.
  • Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.


Construido por Eduardo Velasco 2021 ®
Icon made by Freepik from www.flaticon.com is licensed by CC 3.0 BY