Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

WordCamp Taller Seguridad WordPress

368 views

Published on

WordCamp Taller Seguridad WordPress 30/09/2016 por @ramon_salado y @juanjodomenech

Published in: Internet
  • Be the first to comment

  • Be the first to like this

WordCamp Taller Seguridad WordPress

  1. 1. Taller de Seguridad básica en WordPress #WCSevilla16 @OWASP_Sevilla
  2. 2. # WHOAMI Ramón Salado @ramon_salado Juan José Domenech @juanjodomenech #WCSevilla16 @OWASP_Sevilla
  3. 3. # OWASP Organización sin ánimo de lucro a nivel mundial, dedicada a mejorar la seguridad de las aplicaciones web Cualquiera puede participar en OWASP, todos sus proyectos y documentación están disponibles gratuitamente #WCSevilla16 @OWASP_Sevilla
  4. 4. # OWASP SEVILLA Organizamos un evento mensual abierto a todo el que quiera participar Proyectos: Divulgación sobre Seguridad y Traducción GUÍA DE TESTING 4 #WCSevilla16 @OWASP_Sevilla
  5. 5. # OWASP, PRINCIPALES PROYECTOS #WCSevilla16 @OWASP_Sevilla
  6. 6. # SEGURIDAD #WCSevilla16 @OWASP_Sevilla Equipos seguros Comunicaciones Seguras (wifi, vpn, …) Contraseñas robustas (doble factor, cambios periódicos, …) Precauciones BYOD y teletrabajo ¿Es WordPress inseguro? ¿Qué lo hace inseguro?
  7. 7. # SEGURIDAD WordPress INFRAESTRUCTURA DE RED CONFIGURACIÓN SERVIDOR INSTALACIÓN WORDPRESS HARDENING WORDPRESS #WCSevilla16 @OWASP_Sevilla
  8. 8. # SEGURIDAD WordPress Infraestructura de red ¿Compartido? ¿VPS? ¿Dedicado? ¿Con o sin soporte? Cifrado de discos ¡SSH y SFTP siempre! Backups ¡Últimas versiones! (Apache/NGINX, PHP, MySQL, ...) Logs y analizadores de tráfico #WCSevilla16 @OWASP_Sevilla
  9. 9. # SEGURIDAD WordPress Configuración del Servidor Utilizar directivas Allow y Deny para restringir accesos al servidor Deshabilitar listado de directorios y módulos innecesarios Permisos de los directorios “mínimos” WAF: Mod_Security Fortificar PHP y MySQL HTTP 1.1 / 2.0 y HTTPS #WCSevilla16 @OWASP_Sevilla $ sudo apt-get install libapache2-mod-security $ sudo a2enmod mod-security $ sudo /etc/init.d/apache2 force-reload
  10. 10. # SEGURIDAD WordPress Instalación de WordPress No utilizar usuario “admin” Fortificar contraseña No utilizar prefijos de tablas “wp_” Cuidado con robots.txt, readme.html ¡Personaliza todo! Permisos No abusar de plugins #WCSevilla16 @OWASP_Sevilla
  11. 11. # SEGURIDAD WordPress Hardening WordPress Core, themes y plugins actualizados Roles adecuados para cada uso Cambiar id del usuario 1 Alias distinto del nombre de usuario Ocultar wp-admin, wp-login, ... Control de comentarios No utilizar plugins de “dudosa procedencia” #WCSevilla16 @OWASP_Sevilla
  12. 12. # SEGURIDAD WordPress Hardening WordPress, con Plugins #WCSevilla16 @OWASP_Sevilla
  13. 13. # SEGURIDAD WordPress Hardening WordPress, con Plugins #WCSevilla16 @OWASP_Sevilla
  14. 14. # SEGURIDAD WordPress Hardening WordPress Configuración ‘default’ muy completa Incluye varios niveles preconfigurados Verifica core, themes y plugins con WordPress Cortafuegos para bloquear amenazas Limita intentos de login y uso de blacklist Visión en tiempo real de todo el tráfico #WCSevilla16 @OWASP_Sevilla
  15. 15. # SEGURIDAD WordPress Hardening WordPress WAF por plugin Gran motor de filtrado Protección XSS, SQLi, … Protege API XML-RPC #WCSevilla16 @OWASP_Sevilla
  16. 16. # SEGURIDAD WordPress Hardening WordPress Security Check Cambiar la ruta de /wp-admin Verifica los permisos de las carpetas WordPress Tweaks #WCSevilla16 @OWASP_Sevilla
  17. 17. # SEGURIDAD WordPress Hardening WordPress Escaneo en busca de malware en nuestra web Reforzar la seguridad de tu sitio Web CloudProxy ($)
  18. 18. # SEGURIDAD WordPress Hardening WordPress Doble factor de autenticación Bloquear acceso para inactividad Alertas de intentos de acceso #WCSevilla16 @OWASP_Sevilla
  19. 19. # SEGURIDAD WordPress Hardening WordPress Posibilidad de automatizar backups Archivos + Base de Datos Aloja en servicios externos (drive, dropbox, …) Archivos zip con password #WCSevilla16 @OWASP_Sevilla
  20. 20. # SEGURIDAD WordPress Hardening WordPress, Otros #WCSevilla16 @OWASP_Sevilla
  21. 21. # AUDITANDO WordPress Wpscan. Instalación Listar vulnerabilidades y enumeración de usuarios Ataque fuerza bruta Algunos ejemplos de la Guia Testing (ghdb, robots, xss, …) #WCSevilla16 @OWASP_Sevilla
  22. 22. #MALWARE #WCSevilla16 @OWASP_Sevilla eval, base64, ...
  23. 23. Taller de Seguridad básica en WordPress #WCSevilla16 @OWASP_Sevilla GRACIAS

×