Seguridad WordPress en Sevilla

SEGURIDAD EN WORDPRESSBY @JORGEWEBSEC

10/29/2015www.quantika14.com 1

¿QUIÉN SOY?

• SOCIO FUNDADOR DE LA EMPRESA DE

SEGURIDAD INFORMÁTICA

@QUANTIKA14

• PENTESTER /EXPERTO EN SEGURIDAD

• FUNDADOR DEL PROYECTO

WORDPRESSA.

• COLABORADOR EN LA RADIO DE

CANALSUR LOS MARTES A LAS 12:00

• ORGANIZADOR DEL MEETUP HACKING

SEVILLA Y PYTHON SEVILLA

@JorgeWebsec

TAMBIÉN SOY DUEÑO DE UN MARAVILLOSO RINCÓN DE SEVILLA

INVITADOS A UNA CERVEZA LAS MEJORES PREGUNTAS…

PROYECTO WORDPRESSA

EXPERTOS EN SEGURIDAD WP

• ANEXO PRESENTACIÓN:

HTTP://ES.SLIDESHARE.NET/QUANTIKACATORCE/P

ROYECTO-WORDPRESSA-

QUANTIKA14?QID=EF7D373A-34BF-433D-

606834817924&V=QF1&B=&FROM_SEARCH

LA SEGURIDAD INFORMÁTICA

ES EL PROCESO DE ASEGURAR UN SISTEMA REDUCIENDO

LAS VULNERABILIDADES, USANDO UNAS BUENAS

CONFIGURACIONES Y CONCIENCIANDO DE LA

PROTECCIÓN DE LOS DATOS.

FORTIFICACIÓN

PONER BARRERAS Y DIFICULTADES PARA QUE UN

ATACANTE NO PUEDE REALIZAR UNA INTRUSIÓN EN LOS

SISTEMAS.

LA SEGURIDAD DE INFORMACIÓN ES EL FUTURO

YA PRESENTE…

LA TECNOLOGÍA WEB

• INTRANETS DE GRANDES ALMACENES, EMPRESAS, PEQUEÑOS NEGOCIOS…

• BANCOS…

• SUPERMERCADOS Y TIENDAS ONLINE…

• EMPRESAS PÚBLICAS…

• AYUNTAMIENTOS…

• PARTIDOS POLÍTICOS…

Y MUCHOS, MUCHOS USAN WORDPRESS

¿QUIÉNES LO USARÁN?

PARTIDOS POLÍTICOS

• PODEMOS.INFO

• PSOEANDALUCIA.ES

• VOXESPANA.ES

• PPMADRID.ES

PERIODICOS ONLINE

• ANDALUCIADIARIO.ES

• ELDIARIO.ES/ESCOLAR

• LAVANGUARDIA.COM

EMPRESAS…

• EBAY

• PLAYSTATION

• FIREFOX

• OUTBRAIN

OTROS…

• JUNTA DE ANDALUCIA

• JUSTIN BIEBER

• ELTIEMPO.ES

ME TEMO QUE SI,

¿POR QUÉ?

• MUCHOS DATOS DE TODOS ESTÁN

ALMACENADOS EN PÁGINAS WEBS CON

WORDPRESS

• UNA MALA SEGURIDAD PUEDE CONVERTIR UNA

WEB EN UNA MAQUINA DE ATAQUE CONTRA

OTRAS.(BOTS)

• ALMACENAMIENTO DE MALWARE.

• ALMACENAMIENTO DE DATOS (PORNOGRAFÍA,

FAKES, ETC)

SI TE INTERESA LA SEGURIDAD SIGUE EN TWITTER:

@WPSECURITY_ES

• MULTIHOST CON BUENA SEGURIDAD.

• UNA INSTALACIÓN CON BUENAS PAUTAS DE

SEGURIDAD.

• USO DE PLUGINS Y THEMES NO VULNERABLES.

• ACTUALIZACIÓN CONSTANTE.

• CORTAFUEGOS Y ANTIVIRUS…

• COPIAS DE SEGURIDAD

¿COMPARTIR HOSTING?

• DE ENTRADA NO ES BUENA IDEA.

• SI NO EXISTE UNA BUENA SEGURIDAD UN

REVERSE IP PUEDE SER MORTAL. TU WEB NO,

PERO TU VECINO????

• SEGÚN YO:

• CDMON

• COMALIS

UNA BUENA INSTALACIÓN ES UN COMINZO

INSTALACIÓN

• PREFIJO DE BASE DE DATOS LARGO, ALFANUMERICO Y SIMBOLOS (SI PUEDES)

• EL USER Y PASS DEL USUARIO MYSQL NO SEA ROOT / ROOT (POR FAVOR)

PERMISOS EN WP

• 0644 PARA LOS NIVELES SUPERIORES, ESTO ES LA RAÍZ DEL SITIO Y TODOS LOS FICHEROS QUE

ESTÉN AHÍ SITUADOS.

• 0755 PARA LAS TRES CARPETAS (WP-ADMIN, WP-CONTENT, WP-INCLUDES).

• 0755 PARA LAS CARPETAS UPLOADS Y PLUGINS (EN ALGUNOS CASOS 775, DEPENDE DE

CONFIGURACIÓN DEL SERVIDOR)

• 0666 PARA TU TEMA DE WORDPRESS EN CASO DE QUE QUIERAS QUE SEA EDITABLE DESDE EL

ESCRITORIO.

PLUGIN

FILECHECKER

WP-CONFIG.PHP

• DEFINE(‘DISALLOW_FILE_EDIT’, TRUE); //BLOQUEA MODIFICACIONES EN ARCHIVOS A

TRAVÉS DEL EDITOR...

• DEFINE(‘DISALLOW_FILE_MODS’,TRUE); //NO PERMITE SUBIR PLUGINS Y THEMES.

• SI EL SERVIDOR ACEPTA SSL --> DEFINE(‘FORCE_SSL_ADMIN’, TRUE);

CAMBIAR DIRECTORIO WP-CONFIG

• QUITA LA INFORMACIÓN DE LA DB Y SITÚALA EN

UN DIRECTORIO PROTEGIDO.

• <?PHP INCLUDE("/HOME/USER/WP-

CONFIG.PHP");?>

HTACCESS

• EVITAR ACCESO AL WP-CONFIG

• DESACTIVAR TRACE DE HTTP

• EVITAR VISUALIZACIÓN Y EJECUCIÓN

DE DIRECTORIOS

• FILTRADO DE IP??

EN CASO DE ATAQUE ZOMBIE…

DEBEMOS PROTEGERNOS

LIMITAR ACCESO CON HTACCESS

BLOQUEAR IPS PERMITIR A X IP

PROTEGERSE CONTRA FUERZA BRUTA

CONTRA LOS HULK ZOMBIES LO MEJOR ES…

CONTRA UN ATAQUE DE FUERA BRUTA

• LIMITAR LAS PETICIONES DE INTENTOS A 3 POR EJEMPLO.

• BANNEAOS DE IPS

• UN BUEN CAPTCHA

• CAMBIAR LOS DIRECTORIOS DE WORDPRESS

ITHEMES SECURITY CONTRA BRUTE FORCE

ESCONDER LOGIN

PLUGIN CAPTCHA ON LOGIN

NO USES PLUGINS VULNERABLES

WORDPRESSA EN ESO ES

EL MEJOR BASE DE DATOS PROPIA

BASE DE DATOS DE PLUGINS Y THEMES

VULNERABLES

• HTTPS://WPVULNDB.COM/

• HTTP://WORDPRESSA.QUANTIKA14.COM/REPOSITORY

• HTTP://WWW.1337DAY.COM/

• HTTPS://WWW.EXPLOIT-DB.COM/

WORDPRESSA ES MUCHO MÁS

DOCUMENTACIÓN, FORMACIÓN, PLUGINS DE SEGURIDAD, TUTORIALES, LABORATORIOS, ETC

WORDPRESSA CHALLENGE

UN PLUGIN PARA APRENDER A ATACAR LOS WORDPRESS…

COMO SABER SI TENGO MALWARE FÁCILMENTE…

• - HTTPS://SITECHECK.SUCURI.NET/

• - CODEGUARD

• - PLUGINS ANTIVIRUS

PLUGINS ANTIVIRUS

• HTTPS://WORDPRESS.ORG/PLUGINS/ANTIVIRUS/

• ITHEMES SECURITY

• HTTPS://WORDPRESS.ORG/PLUGINS/WP-ANTIVIRUS-SITE-PROTECTION/

COPIAS DE

SEGURIDAD

LA MEJOR COPIA DE SEGURIDAD HAZLA

TU E INTENTA QUE SEA A MENUDO.

SI NO, ITHEMES SECURITY Y XCLONER

PLUGINS.

PREGUNTAS

Contacto:

- jorge@quantika14.com

- Twiiter: @JorgeWebsec

- Quantika14:

- info@quantika14.com

- Twiiter: @QuantiKa14

- www.quantika14.com

SEGURIDAD EN

WORDPRESS EN SEVILLA:

WORDPRESSA.QUANTIKA14.COM

GRACIAS POR VUESTRA ATENCIÓN

Y RECUERDEN QUE CADA VEZ QUE SE DICE “CIBER” UNIDO A OTRA PALABRA MUERE UN GATITO.

Y VIVA…

Seguridad WordPress en Sevilla

Software

¿En serio me pueden hackear WordPress con ¡Google!? · hackear WordPress con... ¡Google!? WordCamp Irún 2018 Máxima seguridad para tu WordPress. Tomás Sierra Departamento de

SEGURIDAD Y PLANES DE EMERGENCIA EN PRESAS. SEVILLA … · 2017-12-29 · SEGURIDAD Y PLANES DE EMERGENCIA EN PRESAS. SEVILLA 2017 HACIENDO FRENTE A LA OBSOLESCENCIA Efectos de la

Joomla y WordPress: juntos y revueltos - WordCamp Sevilla 2012

20 claves de Seguridad WordPress

Seguridad en WordPress, fundamentos y mejores prácticas

3º ENCUENTRO DE EXPERTOS EN SEGURIDAD Y SALUD LABORAL SEVILLA 10 DE NOVIEMBRE 2011

Planes de Seguridad del Saneamiento y crisis sanitaria · 2020-06-23 · EMPRESA METROPOLITANA DE ABASTECIMIENTO Y SANEAMIENTO DE AGUAS DE SEVILLA S.A. Planes de Seguridad del Saneamiento

SEGURIDAD Y PLANES DE EMERGENCIA EN PRESAS. SEVILLA … · SEGURIDAD Y PLANES DE EMERGENCIA EN PRESAS. SEVILLA 2017 HACIENDO FRENTE A LA OBSOLESCENCIA Unidad de lectura portátil

Owasp 6 Seguridad en WordPress

Seguridad WordPress Meetup Majadahonda

¿Existe el plugin de seguridad perfecto para WordPress?

Seguridad en WordPress · 2017. 11. 17. · USO WORDPRESS WordPress es, de lejos, el CMS más usado a nivel mundial. El 53%* de las webs mundiales están programadas sobre WordPress

Introducción al desarrollo en WordPressindex-of.co.uk/Various/seminario wordpress panda edition download.… · Seguridad en Wordpress Plugins esenciales Apariencia: themes y custom

Cursos PRESENCIALES en SEVILLA - Gonzalo Rosendo › wp-content › uploads › 2019 › 08 › … · • El dominio, alojamiento, FTP y otros. • Introducción a Wordpress. •

Mañana jueves, 4 de abril - Ayuntamiento de Sevilla · 2018-02-23 · El Ayuntamiento de Sevilla ha diseñado un plan de movilidad, seguridad y servicios públicos municipales con

Seguridad en WordPress WPHardening€¦ · de toda la web +49.800 Plugins +18.000 ... Plugins de Seguridad 10. Creación de archivos Index 11. ... Ing. Daniel Maldonado @elcodigok

WordCamp Taller Seguridad WordPress

Anuario Estadístico de la Ciudad de Sevilla, 2014...Afiliados extranjeros a la seguridad social en la provincia de Sevilla a 31/12/2014. Anuario Estadístico 2015.Índice.indd 9 03/02/2016

Copias de Seguridad manuales - WordPress Barcelona€¦ · No contratar un hosting que no tenga copia de seguridad automática accesible. Aún teniendo copia de seguridad automática

GUÍA PRÁCTICA - disenopaginasweb.cldisenopaginasweb.cl/.../2017/02/ebook-tutorial-seguridad-wordpress.… · sufrir un hackeo WordPress. En Webempresa llevamos 19 años trabajando