Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Seguridad en WordPress

124 views

Published on

Presentación sobre la seguridad en WordPress que se realizó en la primera meetup en Canarias. Celebrada el pasado 2 de junio. En ella se trató sobre conceptos básicos y buenos hábitos. Y cómo mejorar algunos aspectos WordPress en materia de seguridad

Published in: Software
  • Be the first to comment

  • Be the first to like this

Seguridad en WordPress

  1. 1. SEGURIDAD EN WORDPRESS FRANCISCO JAVIER MATEO ARIZA
  2. 2. NO EXISTE EL SISTEMA DE SEGURIDAD PERFECTO Cada medida de seguridad que pongamos en nuestra plataforma reduce a la mitad su vulnerabilidad. 50%
  3. 3. ENTORNO servidor aplicaciones Lugar donde se ejecutan nuestras aplicaciones. Frameworks que se ejecutan en nuestro servidor. La mayoría de las vulnerabilidades se deben a un mal uso de las aplicaciones
  4. 4. APLICACIONES ACCESO Los diferentes tipos de acceso, el software con el que desarrollamos o la herramientas de terceros. Son las principales fuentes para que nuestro sitio sea atacado. ■ Panel del hosting. ■ Servidor (FTP, SFTP, SSH). ■ Website. ■ Ordenador. ■ Social Media (Formularios). SOFTWARE ■ Navegador. ■ Framework. ■ Servidores. THIRD PARTIES ■ Publicidad. ■ Plugins. ■ Servicios.
  5. 5. EJEMPLOS DE FALLOS DE SEGURIDAD EN WORDPRESS VULNERABILIDAD XSS PERSISTENTE EN WORDPRESS 4.2 Con poner un sencillo comentario lo suficientemente largo en javascript se podía acceder al blog y ejecutar código en el servidor y en la web. Los atacantes podían cambiar los privilegios del administrador y hacerse con el control de la página. Inmediatamente el equipo de WordPress lanzó un actualización urgente para corregir este fallo.
  6. 6. EJEMPLOS DE FALLOS DE SEGURIDAD EN WORDPRESS 2’6 TERABYTES 11’5 MILLONES DE DOCUMENTOS LA MAYOR FILTRACIÓN DE LA HISTORIA USAR UNA VERSIÓN DEL REVOLUTION SLIDER OBSOLETA El bufete de abogados Mossak Fonseca tenía sus servicios webs en WordPress y Drupal. Por no actualizar Revolution Slider los atacantes pudieron acceder a la shell del servidor y ejecutar todo tipo de comandos. Por no actualizar Drupal accedieron a información sensible de sus clientes. El fallo de Revolution Slider había sido corregido hace dos años.
  7. 7. BUENOS HÁBITOS LIMITAR LOS ACCESOSACTUALIZAR EL SOFTWARE FUENTES SEGURAS MANTENIMIENTO CONTENCIÓN
  8. 8. MEJORANDO LA SEGURIDAD EN WORDPRESS PERMISOS 755 directorios 644 archivos CALIDAD DEL SERVIDOR DISCRECIÓN ● Eliminar el usuario admin por defecto. ● Usar un prefijo diferente al wp_ . ● Esconder la versión de WordPress. function remove_src_version ( $src ) { global $wp_version; $version_str = '?ver='.$wp_version; $version_str_offset = strlen( $src ) - strlen( $version_str ); if( substr( $src, $version_str_offset ) == $version_str ) return substr( $src, 0, $version_str_offset ); else return $src; } add_filter( 'script_loader_src', 'remove_src_version' ); add_filter( 'style_loader_src', 'remove_src_version' ); functions.php de nuestro tema SEGURIDAD DE LA CONTRASEÑA ● Cambiar las claves del wp_config.php. ● Contraseñas robustas. ● Limitar el número de logins.
  9. 9. MEJORANDO LA SEGURIDAD EN WORDPRESS PROTEGER PARTES SENSIBLES Cada servidor tiene una configuración (CPanel...). Proteger wp-login y wp-admin con contraseña. Mejorar la seguridad con el fichero .htaccess Monitorizar los cambios en los ficheros Tener un firewall
  10. 10. FUENTES Y ENLACES DE INTERÉS DOCUMENTACIÓN ● Hardening WordPress ● Cybmeta ● AyudaWP ● TutorialMonsters SEGURIDAD ● Wordfence ● klikki ● Redszone ● WordPress Releases RECURSOS ● Flaticon ● Freepik

×