Two-Factor Authentication (2FA)

Presentacion

El módulo Admin Two-Factor Authentication (2FA) refuerza la seguridad del back office de PrestaShop añadiendo una capa adicional de verificación mediante código temporal TOTP (Time-Based One-Time Password). Aunque la contraseña de un empleado sea comprometida, el acceso al panel de administración seguirá bloqueado sin el código generado por la aplicación de autenticación.

Compatible con PrestaShop 8.x y 9.x, este módulo está diseñado para comerciantes que desean proteger datos sensibles, pedidos, clientes y configuraciones frente a accesos no autorizados.

Puntos fuertes:

• Autenticación TOTP compatible con Google Authenticator, Authy, 1Password y Microsoft Authenticator
• Códigos de recuperación de un solo uso
• Dispositivos de confianza configurables
• Registro de auditoría completo de acciones 2FA
• Métodos de recuperación de emergencia (CLI, archivo bypass, SQL)

Funcionalidades

Autenticacion TOTP segura

El módulo implementa un sistema TOTP conforme a los estándares utilizados por las principales aplicaciones de autenticación. Durante el inicio de sesión, el empleado debe introducir un código de 6 dígitos generado por su aplicación móvil.

Las claves secretas se almacenan cifradas en la base de datos (AES-256-CBC) y los códigos de recuperación se guardan en formato hash para máxima seguridad.

Gestion avanzada de perfiles de empleados

Es posible forzar la activación de la 2FA para determinados perfiles (por ejemplo, SuperAdmin) y definir un periodo de gracia configurable. Una vez finalizado el plazo, el acceso quedará bloqueado hasta que la 2FA esté correctamente configurada.

Un panel de control específico permite visualizar el estado 2FA de todos los empleados y supervisar los eventos de seguridad.

Codigos de recuperacion y dispositivos de confianza

Cada empleado recibe 10 códigos de recuperación de un solo uso en caso de no tener acceso a su aplicación de autenticación. Los códigos pueden regenerarse en cualquier momento (los anteriores quedarán invalidados).

Los dispositivos de confianza permiten omitir la verificación 2FA en navegadores e IP reconocidas durante un periodo configurable. Cualquier cambio invalida automáticamente la confianza por motivos de seguridad.

Proteccion anti brute-force

El módulo incluye un sistema de bloqueo temporal tras un número configurable de intentos fallidos. Esto reduce el riesgo de ataques de fuerza bruta contra el back office.

Instalacion

1. Descarga el módulo desde tu cuenta WePresta
2. Accede a Módulos > Gestor de módulos en el back office
3. Haz clic en Subir un módulo y selecciona el archivo ZIP
4. Accede a la configuración para activar y personalizar la 2FA

Las tablas necesarias se crean automáticamente y se añade un acceso al 2FA Dashboard en el menú del back office.

Configuracion

Parametros generales

Desde la página de configuración puedes:

• Activar o desactivar globalmente la 2FA
• Forzar la 2FA para perfiles específicos
• Definir el periodo de gracia
• Configurar la duración de los dispositivos de confianza
• Establecer el número máximo de intentos fallidos
• Definir la duración del bloqueo temporal
• Configurar la retención de los registros de auditoría

Todas las opciones están diseñadas para adaptarse a la política de seguridad de tu empresa.

Registro de auditoria

Cada acción relacionada con la 2FA queda registrada, incluyendo:

• Inicios de sesión exitosos
• Intentos fallidos
• Uso de códigos de recuperación
• Bloqueos temporales
• Añadir o revocar dispositivos de confianza
• Activación o desactivación de la 2FA

Los registros antiguos se eliminan automáticamente según el periodo configurado.

Requisitos

• PrestaShop 8.x o 9.x
• PHP 7.4 o superior
• HTTPS (SSL) altamente recomendado
• Aplicación TOTP instalada en el smartphone de cada empleado

Recuperacion de emergencia

Si un empleado pierde acceso tanto a la aplicación de autenticación como a los códigos de recuperación, existen tres métodos:

• Desactivar la 2FA mediante comando CLI
• Crear un archivo bypass temporal
• Ejecutar una consulta SQL directa

Estos mecanismos garantizan que nunca se pierda definitivamente el acceso administrativo.

FAQ

¿Es compatible con todos los temas?

Sí. El módulo actúa a nivel de back office y es compatible con los temas estándar de PrestaShop.

¿Puedo forzar la 2FA solo para SuperAdmins?

Sí. Puedes seleccionar exactamente qué perfiles deben activar la 2FA.

¿Qué ocurre si un empleado pierde su teléfono?

Puede utilizar un código de recuperación. En caso contrario, se pueden aplicar los métodos de recuperación de emergencia.

¿Los datos de la 2FA están protegidos?

Sí. Las claves TOTP están cifradas y los códigos de recuperación se almacenan en formato hash.

¿La función de dispositivo de confianza es segura?

Sí. Está vinculada al navegador y a la dirección IP. Cualquier cambio invalida automáticamente la confianza.

¿Se puede desactivar globalmente la 2FA?

Sí. Existe un interruptor global en la configuración.

¿Afecta al rendimiento del back office?

No. El sistema está optimizado y no impacta de forma perceptible en el rendimiento.

¿Cumple con las mejores prácticas de seguridad?

Sí. Sigue el estándar TOTP e incluye cifrado, hashing, protección CSRF y bloqueo temporal.

¿Se pueden exportar los registros?

Los registros pueden consultarse desde el dashboard y se conservan según la configuración establecida.

¿La desinstalación elimina todos los datos?

Sí. Todas las configuraciones, dispositivos de confianza y registros se eliminan permanentemente.

Soporte

Para asistencia, contáctanos a través de tu cuenta WePresta o por correo electrónico en mail@wepresta.shop.

Changelog

Versión 1.0.0

• Lanzamiento inicial
• Autenticación TOTP
• Códigos de recuperación
• Dispositivos de confianza
• Panel de administración
• Registro de auditoría
• Métodos de recuperación de emergencia