Owasp 6 Seguridad en WordPress

Ramón Salado Lucena
24 de Sep de 2016
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
1 de 28

Owasp 6 Seguridad en WordPress

24 de Sep de 2016
Descargar para leer sin conexión
Internet

Presentación de la conferencia "Seguridad en WordPress by OWASP" en meetup de OWASP Sevilla

Ramón Salado Lucena

Recomendados

TECH TALK 2021/8/24 Qlik Sense on Windowsのセキュリティ設定とアクセス制御TECH TALK 2021/8/24 Qlik Sense on Windowsのセキュリティ設定とアクセス制御
TECH TALK 2021/8/24 Qlik Sense on Windowsのセキュリティ設定とアクセス制御QlikPresalesJapan2.6K vistas53 diapositivas
Veeam ONE v11a入門編の紹介Veeam ONE v11a入門編の紹介
Veeam ONE v11a入門編の紹介株式会社クライム376 vistas8 diapositivas
AD設計の基礎から読み解くIaaS On ADAD設計の基礎から読み解くIaaS On AD
AD設計の基礎から読み解くIaaS On ADNaoki Abe8.5K vistas52 diapositivas
20191217 AWS Black Belt Online Seminar Amazon Connect Update20191217 AWS Black Belt Online Seminar Amazon Connect Update
20191217 AWS Black Belt Online Seminar Amazon Connect UpdateAmazon Web Services Japan6.9K vistas85 diapositivas
[AWS初心者向けWebinar] AWSへのアプリケーション移行の考え方と実践[AWS初心者向けWebinar] AWSへのアプリケーション移行の考え方と実践
[AWS初心者向けWebinar] AWSへのアプリケーション移行の考え方と実践Amazon Web Services Japan12.3K vistas55 diapositivas
Oracle Cloud Infrastructure セキュリティの取り組み [2021年2月版]Oracle Cloud Infrastructure セキュリティの取り組み [2021年2月版]
Oracle Cloud Infrastructure セキュリティの取り組み [2021年2月版]オラクルエンジニア通信1.1K vistas29 diapositivas

Más contenido relacionado

Presentaciones para ti

이더리움 스마트계약 보안지침 가이드 2. 솔리디티 권고안이더리움 스마트계약 보안지침 가이드 2. 솔리디티 권고안
이더리움 스마트계약 보안지침 가이드 2. 솔리디티 권고안상욱 송1.8K vistas54 diapositivas
WinFormsからWPFへWinFormsからWPFへ
WinFormsからWPFへYamamoto Reki4.5K vistas28 diapositivas
Active directory の移行 (2011年6月の資料)Active directory の移行 (2011年6月の資料)
Active directory の移行 (2011年6月の資料)wintechq10.7K vistas31 diapositivas
“見てわかる” ファイバーチャネルSAN基礎講座(第5弾)~さあ、いよいよ、運用です!~“見てわかる” ファイバーチャネルSAN基礎講座(第5弾)~さあ、いよいよ、運用です!~
“見てわかる” ファイバーチャネルSAN基礎講座(第5弾)~さあ、いよいよ、運用です!~Brocade10.9K vistas30 diapositivas
[AKIBA.AWS] VPCをネットワーク図で理解してみる[AKIBA.AWS] VPCをネットワーク図で理解してみる
[AKIBA.AWS] VPCをネットワーク図で理解してみるShuji Kikuchi13.8K vistas45 diapositivas
Qlik composeのご紹介Qlik composeのご紹介
Qlik composeのご紹介QlikPresalesJapan266 vistas12 diapositivas

Presentaciones para ti(20)

이더리움 스마트계약 보안지침 가이드 2. 솔리디티 권고안이더리움 스마트계약 보안지침 가이드 2. 솔리디티 권고안
이더리움 스마트계약 보안지침 가이드 2. 솔리디티 권고안
상욱 송1.8K vistas
WinFormsからWPFへWinFormsからWPFへ
WinFormsからWPFへ
Yamamoto Reki4.5K vistas
Active directory の移行 (2011年6月の資料)Active directory の移行 (2011年6月の資料)
Active directory の移行 (2011年6月の資料)
wintechq10.7K vistas
“見てわかる” ファイバーチャネルSAN基礎講座(第5弾)~さあ、いよいよ、運用です!~“見てわかる” ファイバーチャネルSAN基礎講座(第5弾)~さあ、いよいよ、運用です!~
“見てわかる” ファイバーチャネルSAN基礎講座(第5弾)~さあ、いよいよ、運用です!~
Brocade10.9K vistas
[AKIBA.AWS] VPCをネットワーク図で理解してみる[AKIBA.AWS] VPCをネットワーク図で理解してみる
[AKIBA.AWS] VPCをネットワーク図で理解してみる
Shuji Kikuchi13.8K vistas
Qlik composeのご紹介Qlik composeのご紹介
Qlik composeのご紹介
QlikPresalesJapan266 vistas
Amplify Consoleで かんたん!Webサイト公開Amplify Consoleで かんたん!Webサイト公開
Amplify Consoleで かんたん!Webサイト公開
Daisuke Yagi2.1K vistas
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
Yusuke Kodama782 vistas
Instalasi windows 10Instalasi windows 10
Instalasi windows 10
anafatwa212.7K vistas
.NET 7におけるBlazorの新機能.NET 7におけるBlazorの新機能
.NET 7におけるBlazorの新機能
TomomitsuKusaba413 vistas
なぜ、いまリレーショナルモデルなのかなぜ、いまリレーショナルモデルなのか
なぜ、いまリレーショナルモデルなのか
Mikiya Okuno5.2K vistas
WPF開発での陥りやすい罠WPF開発での陥りやすい罠
WPF開発での陥りやすい罠
Sho Okada26.8K vistas
Unity C#と.NET Core(MagicOnion) C# そしてKotlinによるハーモニーUnity C#と.NET Core(MagicOnion) C# そしてKotlinによるハーモニー
Unity C#と.NET Core(MagicOnion) C# そしてKotlinによるハーモニー
Yoshifumi Kawai42.8K vistas
2019.10.24 EC-CUBE関西UG 2系から4系への移行方法2019.10.24 EC-CUBE関西UG 2系から4系への移行方法
2019.10.24 EC-CUBE関西UG 2系から4系への移行方法
Chihiro Adachi1.1K vistas
Mengidentifikasi dan Mengoperasikan Komputer PersonalMengidentifikasi dan Mengoperasikan Komputer Personal
Mengidentifikasi dan Mengoperasikan Komputer Personal
modinoke4K vistas
Azure Active Directory Domain Services (Azure ADDS) キホンのキAzure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Tetsuya Yokoyama8.6K vistas
Awsをオンプレドメコンに連携させるAwsをオンプレドメコンに連携させる
Awsをオンプレドメコンに連携させる
Syuichi Murashima5.1K vistas
Cloud computingCloud computing
Cloud computing
Ram Sharma4K vistas
Cara menghubungkan client ke serverCara menghubungkan client ke server
Cara menghubungkan client ke server
Operator Warnet Vast Raha 20.8K vistas
BYOD_Policy_JP-1.0.pdfBYOD_Policy_JP-1.0.pdf
BYOD_Policy_JP-1.0.pdf
Hisaho Nakata203 vistas

Destacado

Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaRamón Salado Lucena1K vistas41 diapositivas
AnonimaTORAnonimaTOR
AnonimaTORRamón Salado Lucena1K vistas23 diapositivas
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena542 vistas23 diapositivas
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors1.2K vistas63 diapositivas
Plaquette3quarksPlaquette3quarks
Plaquette3quarksAsma BEN FREDJ747 vistas17 diapositivas
PptexamenPptexamen
PptexamenChloe Gosselin245 vistas3 diapositivas

Destacado(20)

Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers Sevilla
Ramón Salado Lucena1K vistas
AnonimaTORAnonimaTOR
AnonimaTOR
Ramón Salado Lucena1K vistas
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
Ramón Salado Lucena542 vistas
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
Internet Security Auditors1.2K vistas
Plaquette3quarksPlaquette3quarks
Plaquette3quarks
Asma BEN FREDJ747 vistas
PptexamenPptexamen
Pptexamen
Chloe Gosselin245 vistas
InformeFinalInformeFinal
InformeFinal
Anastasia Belikow371 vistas
Evolucion de la webEvolucion de la web
Evolucion de la web
alex milan178 vistas
M07 einsatz von pp einf pt2004M07 einsatz von pp einf pt2004
M07 einsatz von pp einf pt2004
matschu331 vistas
Taller SEO - AnalyticsTaller SEO - Analytics
Taller SEO - Analytics
Carlos Chacon1.1K vistas
Get narrative 2 - oral presentationGet narrative 2 - oral presentation
Get narrative 2 - oral presentation
Despreaux Leonard292 vistas
Le monde 20150702Le monde 20150702
Le monde 20150702
Laura Feliu Martinez580 vistas
Synthese sur HTMLSynthese sur HTML
Synthese sur HTML
youtisha342 vistas
Perception de compétences technologiques de futurs enseignants en début de fo...Perception de compétences technologiques de futurs enseignants en début de fo...
Perception de compétences technologiques de futurs enseignants en début de fo...
Prof_UQAM_TIC2.9K vistas
En toutes lettres - Exemple invitationEn toutes lettres - Exemple invitation
En toutes lettres - Exemple invitation
en-toutes-lettres300 vistas
Presentation christian matthys Diocèses et InternetPresentation christian matthys Diocèses et Internet
Presentation christian matthys Diocèses et Internet
ACPcef550 vistas
La chandeleur La chandeleur
La chandeleur
bibliofranciscoaguiar3.1K vistas
Guide de mise en place pour le web-to-storeGuide de mise en place pour le web-to-store
Guide de mise en place pour le web-to-store
PtiteRapporteuZ759 vistas
150515 - FFBB Infos 047150515 - FFBB Infos 047
150515 - FFBB Infos 047
ComiteBasketCalvados239 vistas
Europa tour 2015Europa tour 2015
Europa tour 2015
Bakka Karim624 vistas

Similar a Owasp 6 Seguridad en WordPress

WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressJuan José Domenech81 vistas23 diapositivas
Bypassing waf advancedBypassing waf advanced
Bypassing waf advancedlimahack839 vistas30 diapositivas
Webinar - Seguridad en WordPressWebinar - Seguridad en WordPress
Webinar - Seguridad en WordPressArsys643 vistas33 diapositivas
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux7.1K vistas23 diapositivas
10 Claves para mejorar la seguridad de tu WP10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WPIñaki Arenaza676 vistas14 diapositivas
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com309 vistas49 diapositivas

Similar a Owasp 6 Seguridad en WordPress(20)

WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
Juan José Domenech81 vistas
Bypassing waf advancedBypassing waf advanced
Bypassing waf advanced
limahack839 vistas
Webinar - Seguridad en WordPressWebinar - Seguridad en WordPress
Webinar - Seguridad en WordPress
Arsys643 vistas
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
Jose Gratereaux7.1K vistas
10 Claves para mejorar la seguridad de tu WP10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP
Iñaki Arenaza676 vistas
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
Securinf.com Seguridad Informatica - Tecnoweb2.com309 vistas
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSWHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
ESET España1.8K vistas
Implementación básica VMWare Data Protection 6Implementación básica VMWare Data Protection 6
Implementación básica VMWare Data Protection 6
RaGaZoMe1.5K vistas
Proyecto 6Proyecto 6
Proyecto 6
Jose Luis Ruiz Perez254 vistas
Proyecto WordPressA - QuantiKa14Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14
QuantiKa14850 vistas
Pfsense: securizando tu infraestructuraPfsense: securizando tu infraestructura
Pfsense: securizando tu infraestructura
Alex Casanova7.8K vistas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticas
Lucy Tomas2.8K vistas
Tarea del blogTarea del blog
Tarea del blog
nhallhely_rivera_180889205 vistas
Manejo de software de seguridad en el equipo de computo!Manejo de software de seguridad en el equipo de computo!
Manejo de software de seguridad en el equipo de computo!
gisell_diciembre2.2K vistas
Manejo de software de seguridad en el equipo de computo!Manejo de software de seguridad en el equipo de computo!
Manejo de software de seguridad en el equipo de computo!
nayeliirivera1.9K vistas
Presentación Web application firewallPresentación Web application firewall
Presentación Web application firewall
Miguel Angel López Moyano4.9K vistas
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Raúl Requero García756 vistas
Consejos de seguridad con AlfrescoConsejos de seguridad con Alfresco
Consejos de seguridad con Alfresco
Toni de la Fuente5.9K vistas
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
Tensor5.5K vistas
Wordpress como framework - DarioBF en WordCamp BarcelonaWordpress como framework - DarioBF en WordCamp Barcelona
Wordpress como framework - DarioBF en WordCamp Barcelona
Darío BF1.7K vistas

Último

CT2__Español_1er_grado_SE_STVE.pdfCT2__Español_1er_grado_SE_STVE.pdf
CT2__Español_1er_grado_SE_STVE.pdfRobertUlco5 vistas40 diapositivas
M2 - Direccionamiento.pdfM2 - Direccionamiento.pdf
M2 - Direccionamiento.pdfjohtorresb4 vistas11 diapositivas
Presentacion IPv6_Uniajc.pdfPresentacion IPv6_Uniajc.pdf
Presentacion IPv6_Uniajc.pdfVictorAlbertoCuspoca3 vistas90 diapositivas
Examen_de_Admision_2017_ENAE.pdfExamen_de_Admision_2017_ENAE.pdf
Examen_de_Admision_2017_ENAE.pdfmedicinabioenergetic2 vistas15 diapositivas
VALOR DEL RESPETO (2) - Presentaciones de Google (1).pdfVALOR DEL RESPETO (2) - Presentaciones de Google (1).pdf
VALOR DEL RESPETO (2) - Presentaciones de Google (1).pdfRobertUlco4 vistas1 diapositiva
El uso de las TIC en la vida.pptxEl uso de las TIC en la vida.pptx
El uso de las TIC en la vida.pptxPerlaSalmar6 vistas5 diapositivas

Último(20)

CT2__Español_1er_grado_SE_STVE.pdfCT2__Español_1er_grado_SE_STVE.pdf
CT2__Español_1er_grado_SE_STVE.pdf
RobertUlco5 vistas
M2 - Direccionamiento.pdfM2 - Direccionamiento.pdf
M2 - Direccionamiento.pdf
johtorresb4 vistas
Presentacion IPv6_Uniajc.pdfPresentacion IPv6_Uniajc.pdf
Presentacion IPv6_Uniajc.pdf
VictorAlbertoCuspoca3 vistas
Examen_de_Admision_2017_ENAE.pdfExamen_de_Admision_2017_ENAE.pdf
Examen_de_Admision_2017_ENAE.pdf
medicinabioenergetic2 vistas
VALOR DEL RESPETO (2) - Presentaciones de Google (1).pdfVALOR DEL RESPETO (2) - Presentaciones de Google (1).pdf
VALOR DEL RESPETO (2) - Presentaciones de Google (1).pdf
RobertUlco4 vistas
El uso de las TIC en la vida.pptxEl uso de las TIC en la vida.pptx
El uso de las TIC en la vida.pptx
PerlaSalmar6 vistas
06052020_736pm_5eb3660ce4840.pptx06052020_736pm_5eb3660ce4840.pptx
06052020_736pm_5eb3660ce4840.pptx
FRANCISCACARICEOJADR12 vistas
COVID 19 2023.docxCOVID 19 2023.docx
COVID 19 2023.docx
RonmelPerez4 vistas
ROTULO.docxROTULO.docx
ROTULO.docx
LuisAlbertoSayaFlore2 vistas
Power Point 2022.pptPower Point 2022.ppt
Power Point 2022.ppt
JosBerrotern13 vistas
padre hurtado.pdfpadre hurtado.pdf
padre hurtado.pdf
MEYARAYA13 vistas
GutiérrezSánchez_Andrea_M1S3AI6.pptxGutiérrezSánchez_Andrea_M1S3AI6.pptx
GutiérrezSánchez_Andrea_M1S3AI6.pptx
AndreaGutirrez9882864 vistas
2023-31 Falla Potencial en Babit de Motor de Blower BL-004.Rev.1.pdf2023-31 Falla Potencial en Babit de Motor de Blower BL-004.Rev.1.pdf
2023-31 Falla Potencial en Babit de Motor de Blower BL-004.Rev.1.pdf
DavidLopez3924853 vistas
TECNOLOGIA FLEXIBLE.pptxTECNOLOGIA FLEXIBLE.pptx
TECNOLOGIA FLEXIBLE.pptx
juanalbeirosierracam4 vistas
EL DILEMA DE LAS REDES SOCIALES.pdfEL DILEMA DE LAS REDES SOCIALES.pdf
EL DILEMA DE LAS REDES SOCIALES.pdf
MarenyLisbethDiazSal14 vistas
ADENOPIA modificado (1).pptxADENOPIA modificado (1).pptx
ADENOPIA modificado (1).pptx
ChrystianMezaIbaez5 vistas
Paso a paso para solicitar la carpeta de maestro en Trilce UCVPaso a paso para solicitar la carpeta de maestro en Trilce UCV
Paso a paso para solicitar la carpeta de maestro en Trilce UCV
Julia Allpas Ventura3 vistas
Capítulo 13.pdfCapítulo 13.pdf
Capítulo 13.pdf
lizdelgado344 vistas
INSTRUCTIVO INFORME DE PRACTICA LABORAL (1).pdfINSTRUCTIVO INFORME DE PRACTICA LABORAL (1).pdf
INSTRUCTIVO INFORME DE PRACTICA LABORAL (1).pdf
CarolinaArriagada305 vistas
Actividad integradorae n6 [Autoguardado].pptxActividad integradorae n6 [Autoguardado].pptx
Actividad integradorae n6 [Autoguardado].pptx
MariaDelCarmenFernan385 vistas

Owasp 6 Seguridad en WordPress

  1. SEGURIDAD WORDPRESS BY OWASP #OWASPsevilla6@OWASP_Sevilla
  2. #whoami Administración General del Estado Docente Master Social Media Universidad de Sevilla CoLeader OWASP Sevilla CiberCooperante de INCIBE 10 años de experiencia en Sistemas y Seguridad 5 años en Desarrollo y Seguridad en WordPress Ramón Salado @ramon_salado #OWASPsevilla6@OWASP_Sevilla
  3. #OWASPsevilla6@OWASP_Sevilla
  4. SEGURIDAD WORDPRESS BY OWASP • INTRODUCCIÓN A LA SEGURIDAD • ALOJAMIENTO • INSTALACIÓN Y PRIMEROS PASOS • SEGURIDAD DE DIRECTORIOS Y ARCHIVOS • HARDENING SERVIDOR • HARDENING CON PLUGINS • COPIAS DE SEGURIDAD • AUDITORÍA #OWASPsevilla6@OWASP_Sevilla
  5. INTRODUCCIÓN • EQUIPOS SEGUROS • COMUNICACIONES SEGURAS (wifi, vpn, …) • CONTRASEÑAS ROBUSTAS (distintas, doble factor, cambios periódicos, …) • VERIFICAR PERMISOS DE APPS y API´S • BYOD Y TELETRABAJO • ¿ES WP INSEGURO? • ¿QUÉ LO HACE INSEGURO? #OWASPsevilla6@OWASP_Sevilla
  6. ALOJAMIENTO • REPUTACIÓN DEL PROVEEDOR • TIPO DE ALOJAMIENTO (windows o linux, compartido, vps, …) • ESPACIO Y TRANSFERENCIA • SOPORTE • ELEMENTOS TÉCNICOS (cpanel, phpmyadmin, …) • SEGURIDAD #OWASPsevilla6@OWASP_Sevilla
  7. INSTALACIÓN Y PRIMEROS PASOS • CORE, THEMES Y PLUGINS ACTUALIZADOS • NO USER “ADMIN” • UTILIZAR ALIAS DE USUARIO • CONTRASEÑAS FORTIFICADAS • ROLES ADECUADOS • PREFIJOS WP EN BB.DD • WP-ADMIN OCULTO • VERSIONES README • CONTROL DE COMENTARIOS • DESACTIVAR EDICIÓN EN BACK-END • EVITAR COMPLEMENTOS DE “DUDOSA PROCEDENCIA” #OWASPsevilla6@OWASP_Sevilla
  8. ACTUALIZACIONES Un WordPress actualizado con plugins y themes actualizados protege nuestra web de posibles ataque por vulnerabilidades del code o de los complementos utilizados. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  9. NO DEFAULT -Reducir exposición: Limitar el uso de perfiles con altos privilegios sólo a la propia administración del sitio. (Si sólo quieres publicar una entrada, puedes hacerlo con un usuario básico, no es necesario hacerlo desde ADMINISTRADOR) -Claves robustas y cambio periódico de éstas. (Panel de control, FTP, BD) -No instalar plugins ni themes “piratas”. TODOS incluyen malware y a la larga pueden causarte un gran perjuicio. -No abusar de plugins. Hacen más lenta la carga de la web y también más insegura. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  10. NO DEFAULT Prefijos wp_ Usuario INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  11. NO DEFAULT id user =1 -> /?author=1 Utilización de Alias INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  12. VERSIÓN README Evitamos ofrecer información, dificultando cualquier ataque. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  13. COMENTARIOS La moderación de comentarios reduce mucho el riesgo de sufrir inyecciones de código a través de los comentarios. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  14. SEGURIDAD DE DIRECTORIOS Y ARCHIVOS ● RESTRICCIÓN DE ACCESO .htaccess (allow y deny) ● ACCESO A FICHEROS CON sFTP, VPN O TÚNELES SSH ● REVISAR PERMISOS DE CARPETAS Y FICHEROS ● INDEX.PHP VACÍO EN DIRECTORIOS CLAVE #OWASPsevilla6@OWASP_Sevilla #limitar el acceso por IP Order allow, deny Allow from XXX.XXX.XXX.XXX Deny from all
  15. HARDENING SERVIDOR #OWASPsevilla6@OWASP_Sevilla ● APACHE, PHP Y MYSQL ACTUALIZADOS ● DESACTIVAR MÓDULOS INNECESARIOS ● OCULTAR VERSIONES ● WAF (mod_security) ● SSL
  16. HARDENING SERVIDOR #OWASPsevilla6@OWASP_Sevilla
  17. HARDENING WORDPRESS #OWASPsevilla6@OWASP_Sevilla
  18. Es necesario que protejamos de ataques de fuerza bruta el acceso al panel de control, podemos hacerlo configurando las reglas del firewall que incluye Wordfence. Además nos ofrece un log, donde podemos ver todos los sucesos relativos a seguridad de nuestra web y alarmas. WORDFENCE • Configuración ‘default’ muy completa • Incluye varios niveles preconfigurados • Verifica core, themes y plugins con WP • Cortafuegos para bloquear amenazas • Limita intentos de login y uso de blacklist • Visión en tiempo real de todo el tráfico HARDENING CON PLUGINS #OWASPsevilla6@OWASP_Sevilla
  19. ITHEMES SECURITY • Security Check • Cambiar la ruta de /wp-admin • Verifica los permisos de las carpetas • WordPress Tweaks HARDENING CON PLUGINS #OWASPsevilla6@OWASP_Sevilla
  20. • Nos permite deshabilitar las cuentas en periodos de inactividad. • Sistema de doble factor de autenticación • Sistema español diseñado por Eleven Paths LATCH HARDENING CON PLUGINS #OWASPsevilla6@OWASP_Sevilla
  21. SPLOGGERS: usuarios que se registran en blogs con el fin de publicar publicidad en estos #OWASPsevilla6@OWASP_Sevilla HARDENING CON PLUGINS
  22. CloudFlare Prevención DOS / DDOS #OWASPsevilla6@OWASP_Sevilla HARDENING CON PLUGINS
  23. SSL factor de posicionamiento en Google #OWASPsevilla6@OWASP_Sevilla HARDENING CON PLUGINS
  24. COPIAS DE SEGURIDAD Plugins de Backups Es una parte esencial, nos permite programarlos y almacenarlos en la nube o en otro alojamiento. Si ocurre cualquier problema, basta con restaurar una copia anterior. Permite cifrado y automatización. #OWASPsevilla6@OWASP_Sevilla
  25. CONTROL DE INDEXACIÓN DEL CONTENIDO # PoC http://localhost/wp-admin/admin-ajax.php?action=revolution-slider_show_image&img=../wp-config.php # DORK "Index of" /wp-content/plugins/revolution-slider/ Plugin Slider Revolution v < 4.1.4 @OWASP_Sevilla AUDITORÍA #OWASPsevilla6
  26. wpscan, nikto, … #OWASPsevilla6@OWASP_Sevilla AUDITORÍA
  27. WordPress Scanner, Nipper, … #OWASPsevilla6@OWASP_Sevilla AUDITORÍA
  28. Análisis de Malware Wordpress https://sitecheck.sucuri.net/ #OWASPsevilla6@OWASP_Sevilla AUDITORÍA