Blog sobre desarrollo WordPress en Español Desarrollo WordPress en Español
Meetup WordPress Madrid

Seguridad Básica y Hacking Ético

Esta tarde he tenido la oportunidad de dar una charla en el grupo de meetup de WordPress Madrid junto con Eric Zeidan sobre Seguridad Básica en WordPress y Hacking Ético.

En esta ocasión agradecemos a SiteGround que nos haya acogido en sus oficinas, donde hemos disfrutado y (espero) aprendido algo más sobre la importancia de la seguridad en cualquier instalación de WordPress.

Hemos empezado charlando sobre la seguridad en internet en general y en WordPress en particular, viendo estudios sobre cuales son los focos de los ataques sobre el CMS más utilizado del mercado:

focos ataques seguridad

Como muestra esta infografía un 41% de ataques son relativos al hosting, un 29% por vulnerabilidades en temas, un 22% en plugins y un 8% por el uso de contraseñas débiles.

Bajo la máxima de No des pistas a un atacante malintencionado hemos visto:

  • El usuario de la base de datos sólo debe tener permisos para esa base de datos
  • Cambia el prefijo de la base de datos
  • Establece Keys y Salts de Seguridad para fortalecer tus cookies
  • Usa nombres de usuario y contraseñas seguras. Hay estudios que indican que suelen usarse con frecuencia contraseñas débiles. Puedes medir cómo es de segura tu contraseña con herramientas como esta
  • Lo primero de todo es programar un sistema de Back Up. Será tu colchón de seguridad si el día de mañana atacan tu sitio
  • «Esconde» el Author, ya que de lo contrario estaremos dando el 50% de la información a un posible atacante
  • Usa https, hoy en día hay certificados gratuitos como Let’s Encrypt.
  • Protege el acceso a wp-admin y wp-login.php mediante .htaccess y .htpasswd
  • Permisos de archivos (644) y carpetas (755)
  • Añade cabeceras de seguridad
  • Desactiva el editor de archivos de WordPress
  • Mantén siempre WordPress, Plugins y Temas actualizados

 

pablo lopez

La charla continuó con Eric hablándonos sobre el Hacking ético y los conceptos Hacker y Cracker. Hacking ético es una forma de referirse al acto de una persona usar sus conocimientos de informática y seguridad para realizar pruebas en redes y encontrar vulnerabilidades, para luego reportarlas y que se tomen medidas, sin hacer daño.

Continuó enseñándonos cómo con una herramienta como WP Scan podemos intentar obtener información sensible y entrar en una instalación de WordPress desprotegida.

Puedes descargarte la charla aquí.

Puede que también te interese

Cómo crear imágenes destacadas con tamaños personalizados en WordPress
Cómo crear imágenes destacadas con tamaños personalizados en WordPress
Con ésta cuestión nos podemos encontrar muy a menudo sobre todo si estamos desarrollando temas a medida. En nuestro diseño vendrán definidas unas imágenes con…
Cómo realizar una migración de WordPress correctamente
Cómo realizar una migración de WordPress correctamente
En este artículo vamos a ver paso a paso como realizar correctamente una migración de WordPress, tanto de hosting como de dominio de forma manual.…
Seguridad WordPress: backups
Seguridad WordPress: backups
Tener un backup es imprescindible en cualquier desarrollo web. Es el plan B para cuando algo falla. Si todo funciona correctamente nunca recurriremos a él,…
Optimizando el código y las consultas a base de datos para mejorar el rendimiento
Optimizando el código y las consultas a base de datos para mejorar el rendimiento
Optimizar el código y las consultas a base de datos es algo fundamental para cualquier desarrollo web, sobretodo si estás desarrollando un proyecto para sitios…