Meetup WordPress Madrid

Seguridad Básica y Hacking Ético

Esta tarde he tenido la oportunidad de dar una charla en el grupo de meetup de WordPress Madrid junto con Eric Zeidan sobre Seguridad Básica en WordPress y Hacking Ético.

En esta ocasión agradecemos a SiteGround que nos haya acogido en sus oficinas, donde hemos disfrutado y (espero) aprendido algo más sobre la importancia de la seguridad en cualquier instalación de WordPress.

Hemos empezado charlando sobre la seguridad en internet en general y en WordPress en particular, viendo estudios sobre cuales son los focos de los ataques sobre el CMS más utilizado del mercado:

focos ataques seguridad

Como muestra esta infografía un 41% de ataques son relativos al hosting, un 29% por vulnerabilidades en temas, un 22% en plugins y un 8% por el uso de contraseñas débiles.

Bajo la máxima de No des pistas a un atacante malintencionado hemos visto:

  • El usuario de la base de datos sólo debe tener permisos para esa base de datos
  • Cambia el prefijo de la base de datos
  • Establece Keys y Salts de Seguridad para fortalecer tus cookies
  • Usa nombres de usuario y contraseñas seguras. Hay estudios que indican que suelen usarse con frecuencia contraseñas débiles. Puedes medir cómo es de segura tu contraseña con herramientas como esta
  • Lo primero de todo es programar un sistema de Back Up. Será tu colchón de seguridad si el día de mañana atacan tu sitio
  • “Esconde” el Author, ya que de lo contrario estaremos dando el 50% de la información a un posible atacante
  • Usa https, hoy en día hay certificados gratuitos como Let’s Encrypt.
  • Protege el acceso a wp-admin y wp-login.php mediante .htaccess y .htpasswd
  • Permisos de archivos (644) y carpetas (755)
  • Añade cabeceras de seguridad
  • Desactiva el editor de archivos de WordPress
  • Mantén siempre WordPress, Plugins y Temas actualizados

 

pablo lopez

La charla continuó con Eric hablándonos sobre el Hacking ético y los conceptos Hacker y Cracker. Hacking ético es una forma de referirse al acto de una persona usar sus conocimientos de informática y seguridad para realizar pruebas en redes y encontrar vulnerabilidades, para luego reportarlas y que se tomen medidas, sin hacer daño.

Continuó enseñándonos cómo con una herramienta como WP Scan podemos intentar obtener información sensible y entrar en una instalación de WordPress desprotegida.

Puedes descargarte la charla aquí.


¿Me invitas a un café?
Si te ha gustado el blog o algún artículo en concreto te ha ayudado a resolver una duda o problema que tenías…¿me invitas a un café?

Puede que también te interese

He olvidado, perdido o borrado mi usuario o contraseña, o ambos
A quien no le ha ocurrido alguna vez que nos hemos olvidado o perdido nuestro usuario o contraseña, o ambos para acceder a un sitio…
Cómo agregar un campo personalizado debajo del título de una entrada
En ocasiones puede resultar útil agregar un campo personalizado adicional justo debajo del título de una entrada o página, por cuestiones de usabilidad y experiencia…
Cómo permitir a un colaborador subir archivos en WordPress
Como sabéis, existen diferentes tipos de usuarios en WordPress: Administrador, Editor, Autor, Colaborador y Suscriptor: Cada uno de estos roles tiene permitidas una serie de…
Cómo realizar un formulario de contacto personalizado en WordPress sin Plugins
Para realizar un formulario de contacto personalizado en WordPress podemos utilizar los conocidos plugins contact form 7 o gravity forms. Si no queremos recurrir al…