Blog sobre desarrollo WordPress en Español Desarrollo WordPress en Español
Meetup WordPress Madrid

Seguridad Básica y Hacking Ético

Esta tarde he tenido la oportunidad de dar una charla en el grupo de meetup de WordPress Madrid junto con Eric Zeidan sobre Seguridad Básica en WordPress y Hacking Ético.

En esta ocasión agradecemos a SiteGround que nos haya acogido en sus oficinas, donde hemos disfrutado y (espero) aprendido algo más sobre la importancia de la seguridad en cualquier instalación de WordPress.

Hemos empezado charlando sobre la seguridad en internet en general y en WordPress en particular, viendo estudios sobre cuales son los focos de los ataques sobre el CMS más utilizado del mercado:

focos ataques seguridad

Como muestra esta infografía un 41% de ataques son relativos al hosting, un 29% por vulnerabilidades en temas, un 22% en plugins y un 8% por el uso de contraseñas débiles.

Bajo la máxima de No des pistas a un atacante malintencionado hemos visto:

  • El usuario de la base de datos sólo debe tener permisos para esa base de datos
  • Cambia el prefijo de la base de datos
  • Establece Keys y Salts de Seguridad para fortalecer tus cookies
  • Usa nombres de usuario y contraseñas seguras. Hay estudios que indican que suelen usarse con frecuencia contraseñas débiles. Puedes medir cómo es de segura tu contraseña con herramientas como esta
  • Lo primero de todo es programar un sistema de Back Up. Será tu colchón de seguridad si el día de mañana atacan tu sitio
  • «Esconde» el Author, ya que de lo contrario estaremos dando el 50% de la información a un posible atacante
  • Usa https, hoy en día hay certificados gratuitos como Let’s Encrypt.
  • Protege el acceso a wp-admin y wp-login.php mediante .htaccess y .htpasswd
  • Permisos de archivos (644) y carpetas (755)
  • Añade cabeceras de seguridad
  • Desactiva el editor de archivos de WordPress
  • Mantén siempre WordPress, Plugins y Temas actualizados

 

pablo lopez

La charla continuó con Eric hablándonos sobre el Hacking ético y los conceptos Hacker y Cracker. Hacking ético es una forma de referirse al acto de una persona usar sus conocimientos de informática y seguridad para realizar pruebas en redes y encontrar vulnerabilidades, para luego reportarlas y que se tomen medidas, sin hacer daño.

Continuó enseñándonos cómo con una herramienta como WP Scan podemos intentar obtener información sensible y entrar en una instalación de WordPress desprotegida.

Puedes descargarte la charla aquí.

Puede que también te interese

Cómo corregir los errores de datos estructurados de Google Search Console en WordPress
Cómo corregir los errores de datos estructurados de Google Search Console en WordPress
El otro día vi que tenía una serie de errores en el apartado Aspecto de la búsqueda => Datos estructurados de la Google Search Console:…
Mejora la puntuación de Google PageSpeed Insights: Reducir el tiempo de respuesta del servidor
Mejora la puntuación de Google PageSpeed Insights: Reducir el tiempo de respuesta del servidor
1. Optimizar imágenes 2. Minificar CSS y JS 3. Especificar caché de navegador 4. Habilita la compresión 5. Reducir el tiempo de respuesta del servidor…
Extendiendo los campos personalizados o custom fields en WordPress
Extendiendo los campos personalizados o custom fields en WordPress
En una entrada anterior vimos cómo añadir campos personalizados o custom fields al back-end de WordPress de forma elegante, haciendo uso de meta_boxes para ordenar…
Los 10 mandamientos del WPO en WordPress
Los 10 mandamientos del WPO en WordPress
En la primera edición de la WordCamp Madrid he tenido la oportunidad de estrenarme como ponente en casa con la charla titulada Los 10 mandamientos…