Actualmente Joomla no ha evolucionado mucho en la gestión de accesos tanto al backend por parte de super-administradores o administradores y otros perfiles o grupos con privilegios como al frontend como usuarios registrados u otros, todo sigue basándose en lo mismo, “usuario” y “contraseña” para acceder, sin siquiera una implementación de comprobación de periodos de vigencia para las contraseñas de quienes acceden.
Como medida de refuerzo en la seguridad de un sitio web, el control de contraseñas forma parte importante de todo este proceso, a fin de cuentas, el usuario es siempre la parte más débil de la cadena y con el sobrevienen habitualmente los problemas de revelación de datos, encontrando detrás de todo esto una mala política de gestión de contraseñas, por otro lado débiles y repetitivas en muchas ocasiones.
Forzar a los usuarios de cualquier rango a cambiar sus contraseñas, tras un primer registro en nuestro sitio web y transcurrido un periodo estimado (90, 120 días, etc.) ayuda a mejorar la seguridad en los accesos no solo controlando la vigencia de los usuarios activos, sino obligando a que ellos mismos utilicen contraseñas “más robustas” y con un patrón determinado.
Esta labor podemos ponerla en practica con plugins como Password Control, disponible para Joomla 2.5.x. y Joomla 3.1.x, que además de forzar el “primer cambio” de forma inmediata despues de acceder por primera vez al sitio web, lleva al usuario al punto de tener que confeccionar una contraseña más robusta, en función de parámetros que activemos en el plugin o a utilizar el generador de contraseñas para utilizar alguna de las que se generen de forma automática. Si además este plugin lo combinamos con extensiones (addons) para navegadores como CiberProtector, conseguimos una funcionalidad extra que facilitará que podamos seguir accediendo al sitio web que integre esta funcionalidad de “control de contraseñas” sin necesidad de tener que recordarlas o anotarlas.
Ver y valorar Password Control en el Joomla! Extensions Directory.
Descargar Password Control desde la web del autor.
Descargar los archivos de idioma es-ES (Español formal internacional) traducidos por Webempresa.
{quickdown:48}
Los archivos .ini de idioma Español (es-ES), tras descomprimir el archivo .zip descargado, deben subirse a las siguientes carpetas (ambos):
/language/es-ES
El plugin control Password Control aplica los cambios de contraseña a los usuarios registrados del sitio, pudiendo ser aplicado para el primer acceso o para un cambio periódico cada /n días.
Opcionalmente los usuarios pueden ser redireccionados a la página de inicio cuando se aplica un cambio de contraseña o a una página personalizada donde facilitar información del porque de este proceso y la importancia que tiene (concienciación).
Existe la posibilidad de definir usuarios que estarán “exentos” de realizar el cambio, es decir, usuarios para los que el administrador del sitio web no desea aplicar el cambio de contraseña inicial o periódico.
La contraseña introducida por el usuario se compara con las contraseñas anteriores del usuario para asegurar que la cambie y que el usuario no está reutilizando una contraseña.
La última versión del plugin permite la especificación de los criterios que tendrá la contraseña establecida, y también incorpora un generador de contraseña opcional para crear contraseñas que cumplan los criterios especificados.
La primera característica importante es la capacidad de realizar la comprobación de contraseñas de modo que la contraseña especificada debe coincidir con los criterios definidos por el administrador del sitio, es decir, la contraseña debe contener al menos una letra minúscula, una letra mayúscula, al menos uno número y al menos un carácter especial. Todos estos son opcionales junto con longitud mínima, etc. Si una contraseña no pasa alguno de los criterios, el usuario es informado a través de un mensaje del sistema que detalla porque la contraseña no cumple con los criterios del sitio.
La segunda característica importante es la inclusión de un generador de contraseñas que cuando se invoca, muestra una ventana de diálogo emergente con una contraseña generado por el Generador de Contraseñas. El usuario puede aceptar la sugerencia, en cuyo caso los campos de contraseña se cumplimentan automáticamente con el valor, puede volver a generar otra contraseña sugerida, o cancelar la ventana del generador. La contraseña generada utiliza los criterios establecidos en el plugin para que sea aceptable y pase la comprobación de contraseñas del plugin.
El generador se puede configurar para estar presente en el Perfil de Usuario, en la edición del formulario de registro, así como en el formulario del Gestor de Usuarios, al Editar un usuario desde el backend como administrador del sitio web.
Opciones de la Configuración de Control de Contraseñas
Opciones de la Configuración de la Contraseña
Opciones del Generardor de Contraseñas
En el siguiente vídeo realizamos la instalación del plugin, configuración de parámetros y una prueba de concepto de la extensión con usuarios registrados.
Mejorar la seguridad de un sitio web por medio de extensiones que protejan el acceso al backend o que eviten ataques de fuerza bruta es muy importante, pero tener una buena política de contraseñas es aún más importante si cabe ya que por regla general el usuario es siempre el primer vector de ataque (recordemos el caso Stuxnet).
¿Te ha resultado útil este artículo?
Miembro del equipo de soporte técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Soporte técnico en CiberProtector. Teacher en Webempresa University