Blog sobre desarrollo WordPress en Español Desarrollo WordPress en Español
Meetup WordPress Madrid

Seguridad Básica y Hacking Ético

Esta tarde he tenido la oportunidad de dar una charla en el grupo de meetup de WordPress Madrid junto con Eric Zeidan sobre Seguridad Básica en WordPress y Hacking Ético.

En esta ocasión agradecemos a SiteGround que nos haya acogido en sus oficinas, donde hemos disfrutado y (espero) aprendido algo más sobre la importancia de la seguridad en cualquier instalación de WordPress.

Hemos empezado charlando sobre la seguridad en internet en general y en WordPress en particular, viendo estudios sobre cuales son los focos de los ataques sobre el CMS más utilizado del mercado:

focos ataques seguridad

Como muestra esta infografía un 41% de ataques son relativos al hosting, un 29% por vulnerabilidades en temas, un 22% en plugins y un 8% por el uso de contraseñas débiles.

Bajo la máxima de No des pistas a un atacante malintencionado hemos visto:

  • El usuario de la base de datos sólo debe tener permisos para esa base de datos
  • Cambia el prefijo de la base de datos
  • Establece Keys y Salts de Seguridad para fortalecer tus cookies
  • Usa nombres de usuario y contraseñas seguras. Hay estudios que indican que suelen usarse con frecuencia contraseñas débiles. Puedes medir cómo es de segura tu contraseña con herramientas como esta
  • Lo primero de todo es programar un sistema de Back Up. Será tu colchón de seguridad si el día de mañana atacan tu sitio
  • «Esconde» el Author, ya que de lo contrario estaremos dando el 50% de la información a un posible atacante
  • Usa https, hoy en día hay certificados gratuitos como Let’s Encrypt.
  • Protege el acceso a wp-admin y wp-login.php mediante .htaccess y .htpasswd
  • Permisos de archivos (644) y carpetas (755)
  • Añade cabeceras de seguridad
  • Desactiva el editor de archivos de WordPress
  • Mantén siempre WordPress, Plugins y Temas actualizados

 

pablo lopez

La charla continuó con Eric hablándonos sobre el Hacking ético y los conceptos Hacker y Cracker. Hacking ético es una forma de referirse al acto de una persona usar sus conocimientos de informática y seguridad para realizar pruebas en redes y encontrar vulnerabilidades, para luego reportarlas y que se tomen medidas, sin hacer daño.

Continuó enseñándonos cómo con una herramienta como WP Scan podemos intentar obtener información sensible y entrar en una instalación de WordPress desprotegida.

Puedes descargarte la charla aquí.

Puede que también te interese

Cómo evitar la actualización de plugins concretos en WordPress
Cómo evitar la actualización de plugins concretos en WordPress
Si has hecho desarrollos a medida en WordPress seguramente te has encontrado en alguna ocasión con la siguiente situación: Te han pedido un desarrollo en…
Porqué y cómo cambiar el permalink de Autor en WordPress
Porqué y cómo cambiar el permalink de Autor en WordPress
WordPress posee una estructura de enlaces amigables optimizada para el SEO. De este modo nos permite tener enlaces del tipo www.misitio.com/quienes-somos/ en lugar de www.misitio.com/?id=7.…
Reemplazar palabras por enlaces en nuestras entradas
Reemplazar palabras por enlaces en nuestras entradas
En algunas ocasiones puede ser de utilidad crear una función para automatizar un proceso como por ejemplo sustituir palabras por enlaces dentro del contenido de…
Cómo solucionar fallo en las actualizaciones automáticas en WordPress
Cómo solucionar fallo en las actualizaciones automáticas en WordPress
Por defecto las actualizaciones menores de WordPress se ejecutan de manera automática, y en alguna ocasión pueden fallar. Es raro, pero puede darse. Lo que…