Your SlideShare is downloading. ×
Play2012
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Play2012

229
views

Published on

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
229
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Seguridades en WordPressGuillermo Sornoza O.
  • 2. Primeros pasosINSTALACIÓN
  • 3. INSTALACIÓN• Mover wp-config.php a un nivel superior• Alerta: No funciona cuando se ha instalado en un subdirectorio (/public_html/miblog), o en un “add-on domain” (/public_html/miblog.com
  • 4. • Eliminar la cuenta “admin”
  • 5. • Plugins para identificar vulnerabilidades – WP Security Scan • Verificación de contraseñas, permisos de archivo, seguridad de la BD, etc – Secure WordPress • Remueve información no relevante para usuarios que no son administradores, bloquea queries que pueden ser dañinos para el sitio y elimina “pistas” que puedan ayudar a eventuales crackers.
  • 6. • WP Security Scan
  • 7. • Proteger el archivo .htaccess
  • 8. • Cambiar el prefijo de la base de datos
  • 9. • Personalizar los “Secret Keys” en el wp- config.php
  • 10. • No mostrar la versión de WordPress – En el archivo functions.php del tema, colocar: remove_action(wp_head, wp_generator);
  • 11. • Reforzar contraseñas – Hosting – MySql – FTP • En lo posible utilizar SFTP
  • 12. • Permisos de Archivo – Todos los archivos deben ser propietarios del usuario, y con permiso de escritura también. – Cualquier archivo que necesite escritura debería ser “group-owned” por la cuenta utilizada por el web server.
  • 13. – / • El directorio raíz debería ser de escritura solamente para la cuenta del usuario, excepto el .htaccess– /wp-admin/– /wp-includes/ • Permisos de escritura solamente para la cuenta del usuario– /wp-content/themes/ • Si no se desea utilizar el editor de temas, dejar permisos de escritura solamente para la cuenta de usuario.– /wp-content/plugins/ • Del mismo modo anterior.
  • 14. • wp-includes – Existen scripts que no son puestos para ser accedidos por el usuario. Se los puede bloquear en el .htaccess
  • 15. DesarrolloSEGURIDAD ALDESARROLLAR PARA WP
  • 16. • Seguridad al desarrollar para WordPress – “Desinfectar” inputs, codificar outputs • Funciones como – esc_url – esc_url_raw – wp_filter_kses – esc_attr – esc_html – esc_textarea • Si se utiliza $wpdb->insert, $wpdb->update, WP lo hará por nosotros. Si se utiliza $wpdb- >get_results, mejor utilizar $wpdb->prepare para evitar injections.
  • 17. • Utilizar wp_nounce y verificación URL – wp_nonce_field(my_nonce, my_nonce_submit);• Lo verificamos con – wp_verify_nonce($_POST[my_nonce_submit], my_nonce) );• wp_nounce_url – $nonced_url = wp_nonce_url(http://my_site.com?action=register &id=123456, register_nonce);• check_admin_referrer – if(check_admin_referer(register_nonce)){
  • 18. • Mantenerse actualizado
  • 19. guillermo@intellifusion.com