SlideShare una empresa de Scribd logo
1 de 23
Descargar para leer sin conexión
Taller de Seguridad
básica en WordPress
#WCSevilla16 @OWASP_Sevilla
# WHOAMI
Ramón Salado
@ramon_salado
Juan José Domenech
@juanjodomenech
#WCSevilla16 @OWASP_Sevilla
# OWASP
Organización sin ánimo de lucro a nivel mundial, dedicada a
mejorar la seguridad de las aplicaciones web
Cualquiera puede participar en OWASP, todos sus proyectos
y documentación están disponibles gratuitamente
#WCSevilla16 @OWASP_Sevilla
# OWASP SEVILLA
Organizamos un evento mensual abierto a todo el que quiera participar
Proyectos: Divulgación sobre Seguridad y Traducción GUÍA DE TESTING 4
#WCSevilla16 @OWASP_Sevilla
# OWASP, PRINCIPALES PROYECTOS
#WCSevilla16 @OWASP_Sevilla
# SEGURIDAD
#WCSevilla16 @OWASP_Sevilla
Equipos seguros
Comunicaciones Seguras (wifi, vpn, …)
Contraseñas robustas (doble factor, cambios periódicos, …)
Precauciones BYOD y teletrabajo
¿Es WordPress inseguro?
¿Qué lo hace inseguro?
# SEGURIDAD WordPress
INFRAESTRUCTURA
DE RED
CONFIGURACIÓN
SERVIDOR
INSTALACIÓN
WORDPRESS
HARDENING
WORDPRESS
#WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress
Infraestructura de red
¿Compartido? ¿VPS? ¿Dedicado? ¿Con o sin soporte?
Cifrado de discos
¡SSH y SFTP siempre!
Backups
¡Últimas versiones! (Apache/NGINX, PHP, MySQL, ...)
Logs y analizadores de tráfico
#WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress
Configuración del Servidor
Utilizar directivas Allow y Deny para restringir accesos al servidor
Deshabilitar listado de directorios y módulos innecesarios
Permisos de los directorios “mínimos”
WAF: Mod_Security
Fortificar PHP y MySQL
HTTP 1.1 / 2.0 y HTTPS
#WCSevilla16 @OWASP_Sevilla
$ sudo apt-get install libapache2-mod-security
$ sudo a2enmod mod-security
$ sudo /etc/init.d/apache2 force-reload
# SEGURIDAD WordPress
Instalación de WordPress
No utilizar usuario “admin”
Fortificar contraseña
No utilizar prefijos de tablas “wp_”
Cuidado con robots.txt, readme.html
¡Personaliza todo!
Permisos
No abusar de plugins
#WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress
Hardening WordPress
Core, themes y plugins actualizados
Roles adecuados para cada uso
Cambiar id del usuario 1
Alias distinto del nombre de usuario
Ocultar wp-admin, wp-login, ...
Control de comentarios
No utilizar plugins de “dudosa procedencia”
#WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress
Hardening WordPress, con Plugins
#WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress
Hardening WordPress, con Plugins
#WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress
Hardening WordPress
Configuración ‘default’ muy completa
Incluye varios niveles preconfigurados
Verifica core, themes y plugins con WordPress
Cortafuegos para bloquear amenazas
Limita intentos de login y uso de blacklist
Visión en tiempo real de todo el tráfico
#WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress
Hardening WordPress
WAF por plugin
Gran motor de filtrado
Protección XSS, SQLi, …
Protege API XML-RPC
#WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress
Hardening WordPress
Security Check
Cambiar la ruta de /wp-admin
Verifica los permisos de las carpetas
WordPress Tweaks
#WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress
Hardening WordPress
Escaneo en busca de malware en nuestra web
Reforzar la seguridad de tu sitio Web
CloudProxy ($)
# SEGURIDAD WordPress
Hardening WordPress
Doble factor de autenticación
Bloquear acceso para inactividad
Alertas de intentos de acceso
#WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress
Hardening WordPress
Posibilidad de automatizar backups
Archivos + Base de Datos
Aloja en servicios externos (drive, dropbox, …)
Archivos zip con password
#WCSevilla16 @OWASP_Sevilla
# SEGURIDAD WordPress
Hardening WordPress, Otros
#WCSevilla16 @OWASP_Sevilla
# AUDITANDO WordPress
Wpscan. Instalación
Listar vulnerabilidades y enumeración de usuarios
Ataque fuerza bruta
Algunos ejemplos de la Guia Testing (ghdb, robots, xss, …)
#WCSevilla16 @OWASP_Sevilla
#MALWARE
#WCSevilla16 @OWASP_Sevilla
eval, base64, ...
Taller de Seguridad básica en WordPress
#WCSevilla16 @OWASP_Sevilla
GRACIAS

Más contenido relacionado

La actualidad más candente

Wordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressWordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressQuantiKa14
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebSucuri
 
Owsap y web security
Owsap y web securityOwsap y web security
Owsap y web securityLuis Toscano
 
Informe amenazas a las bases de datos
Informe amenazas a las bases de datosInforme amenazas a las bases de datos
Informe amenazas a las bases de datosDanielFernandoRodrig4
 
WordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCEWordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCERaúl Martínez
 
Uso del troyano cybergate
Uso del troyano cybergateUso del troyano cybergate
Uso del troyano cybergateTensor
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasLucy Tomas
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013zekivazquez
 
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)RaGaZoMe
 
PET Night - Seguridad en la pagina
PET Night - Seguridad en la paginaPET Night - Seguridad en la pagina
PET Night - Seguridad en la paginaTania Silva
 
Mozilla firefox vs internet
Mozilla firefox vs internetMozilla firefox vs internet
Mozilla firefox vs internetXime Villalba
 
El uso correcto de MySQLi
El uso correcto de MySQLi El uso correcto de MySQLi
El uso correcto de MySQLi Arsys
 
Aspectos sobre Java y seguridad
Aspectos sobre Java y seguridadAspectos sobre Java y seguridad
Aspectos sobre Java y seguridadFabiola López
 

La actualidad más candente (20)

Wordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressWordpressa - Hardening en Wordpress
Wordpressa - Hardening en Wordpress
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
 
Owsap y web security
Owsap y web securityOwsap y web security
Owsap y web security
 
Informe amenazas a las bases de datos
Informe amenazas a las bases de datosInforme amenazas a las bases de datos
Informe amenazas a las bases de datos
 
WordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCEWordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCE
 
Reventando WordPress
Reventando WordPressReventando WordPress
Reventando WordPress
 
Uso del troyano cybergate
Uso del troyano cybergateUso del troyano cybergate
Uso del troyano cybergate
 
Tutorial WI-FI
Tutorial WI-FITutorial WI-FI
Tutorial WI-FI
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticas
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
 
Joomla*****BACKUP
Joomla*****BACKUPJoomla*****BACKUP
Joomla*****BACKUP
 
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
 
Hackear WordPress: Cómo evitarlo
Hackear WordPress: Cómo evitarloHackear WordPress: Cómo evitarlo
Hackear WordPress: Cómo evitarlo
 
Netscape
NetscapeNetscape
Netscape
 
PET Night - Seguridad en la pagina
PET Night - Seguridad en la paginaPET Night - Seguridad en la pagina
PET Night - Seguridad en la pagina
 
Mozilla firefox vs internet
Mozilla firefox vs internetMozilla firefox vs internet
Mozilla firefox vs internet
 
Blinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustosBlinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustos
 
El uso correcto de MySQLi
El uso correcto de MySQLi El uso correcto de MySQLi
El uso correcto de MySQLi
 
Aspectos sobre Java y seguridad
Aspectos sobre Java y seguridadAspectos sobre Java y seguridad
Aspectos sobre Java y seguridad
 
Paul Romero
Paul RomeroPaul Romero
Paul Romero
 

Similar a WordCamp Taller Seguridad WordPress

Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISInternet Security Auditors
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPzekivazquez
 
Webinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS WebWebinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS WebAlonso Caballero
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASPEdwardZarate2
 
Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Alonso Caballero
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupalzekivazquez
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSWHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSESET España
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
Guía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPressGuía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPresswebempresa.com
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para AprendicesTensor
 
Seguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.xSeguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.xFernando Redondo Ramírez
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones webSaul Mamani
 
Webinar Gratuito: "JavaScript para Hacking Web"
Webinar Gratuito: "JavaScript para Hacking Web"Webinar Gratuito: "JavaScript para Hacking Web"
Webinar Gratuito: "JavaScript para Hacking Web"Alonso Caballero
 
Hack like a pro with custom VPS - Najava Negra 2019
Hack like a pro with custom VPS - Najava Negra 2019Hack like a pro with custom VPS - Najava Negra 2019
Hack like a pro with custom VPS - Najava Negra 2019Alejandro Quesada
 

Similar a WordCamp Taller Seguridad WordPress (20)

Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASP
 
Webinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS WebWebinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS Web
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASP
 
Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupal
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSWHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
 
Guía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPressGuía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPress
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para Aprendices
 
Seguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.xSeguridad de las aplicaciones web con Spring Security 3.x
Seguridad de las aplicaciones web con Spring Security 3.x
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones web
 
Webinar Gratuito: "JavaScript para Hacking Web"
Webinar Gratuito: "JavaScript para Hacking Web"Webinar Gratuito: "JavaScript para Hacking Web"
Webinar Gratuito: "JavaScript para Hacking Web"
 
Hack like a pro with custom VPS - Najava Negra 2019
Hack like a pro with custom VPS - Najava Negra 2019Hack like a pro with custom VPS - Najava Negra 2019
Hack like a pro with custom VPS - Najava Negra 2019
 

Último

SINDROME NEFROTICO PEDIATRIA..............................
SINDROME NEFROTICO PEDIATRIA..............................SINDROME NEFROTICO PEDIATRIA..............................
SINDROME NEFROTICO PEDIATRIA..............................edsontareas
 
PerezGallegos_Claudia_M1S3Al6.pptx las tic en la vida cotidiana
PerezGallegos_Claudia_M1S3Al6.pptx las tic en la vida cotidianaPerezGallegos_Claudia_M1S3Al6.pptx las tic en la vida cotidiana
PerezGallegos_Claudia_M1S3Al6.pptx las tic en la vida cotidiana241544382
 
sistema político Mariangel Adjam Mapa mental
sistema político Mariangel Adjam Mapa mentalsistema político Mariangel Adjam Mapa mental
sistema político Mariangel Adjam Mapa mentalMariangelAdjam
 
LINEA DEL TIEMPO DEL INTERNET - ESTRADA R
LINEA DEL TIEMPO DEL INTERNET - ESTRADA RLINEA DEL TIEMPO DEL INTERNET - ESTRADA R
LINEA DEL TIEMPO DEL INTERNET - ESTRADA RRicardoEstrada90
 
Imagen creada en photopea con el fin de informar acerca de los navegadores web.
Imagen creada en photopea con el fin de informar acerca de los navegadores web.Imagen creada en photopea con el fin de informar acerca de los navegadores web.
Imagen creada en photopea con el fin de informar acerca de los navegadores web.UNIVERSIDAD
 
DIPTICO SOBRE Conciencia psicológica y Moral.docx
DIPTICO SOBRE Conciencia psicológica y Moral.docxDIPTICO SOBRE Conciencia psicológica y Moral.docx
DIPTICO SOBRE Conciencia psicológica y Moral.docxJEEPZONGUIAMPIERGONZ
 
Presentacion De Imagenes Digitales Y Navegadores De Internet.
Presentacion De Imagenes Digitales Y Navegadores De Internet.Presentacion De Imagenes Digitales Y Navegadores De Internet.
Presentacion De Imagenes Digitales Y Navegadores De Internet.Universidad De Sonora
 
ciberseguridad y seguridad informatica- alex jaren.pptx
ciberseguridad y seguridad informatica- alex jaren.pptxciberseguridad y seguridad informatica- alex jaren.pptx
ciberseguridad y seguridad informatica- alex jaren.pptxdiazalexci00
 
Plantilla-seguridad-informatica ára.pptx
Plantilla-seguridad-informatica ára.pptxPlantilla-seguridad-informatica ára.pptx
Plantilla-seguridad-informatica ára.pptxALEXMAURICIOVASQUEZS
 
Distribucion fisica internacional .pptx
Distribucion fisica internacional  .pptxDistribucion fisica internacional  .pptx
Distribucion fisica internacional .pptxRicardoCastellanosDr
 
Trabajo de investigación escolar sobre el teatro
Trabajo de investigación escolar sobre el teatroTrabajo de investigación escolar sobre el teatro
Trabajo de investigación escolar sobre el teatromateohenrryg
 
COMO PUBLICAR UNA PRESENTACION GRAFICA EN INTERNET .pptx
COMO PUBLICAR UNA PRESENTACION GRAFICA EN INTERNET .pptxCOMO PUBLICAR UNA PRESENTACION GRAFICA EN INTERNET .pptx
COMO PUBLICAR UNA PRESENTACION GRAFICA EN INTERNET .pptxPaolaRamirez127635
 
Navegadores de Internet en la actualidad.
Navegadores de Internet en la actualidad.Navegadores de Internet en la actualidad.
Navegadores de Internet en la actualidad.Pablo Rivas
 
MartinezGuzman_Paulina_M1S3AI6.pptxEL uso de las tic en la vida cotidiana
MartinezGuzman_Paulina_M1S3AI6.pptxEL uso de las tic en la vida cotidianaMartinezGuzman_Paulina_M1S3AI6.pptxEL uso de las tic en la vida cotidiana
MartinezGuzman_Paulina_M1S3AI6.pptxEL uso de las tic en la vida cotidiana241536124
 
Informe breve sobre el teatro en general.
Informe breve sobre el teatro en general.Informe breve sobre el teatro en general.
Informe breve sobre el teatro en general.mateohenrryg
 

Último (16)

SINDROME NEFROTICO PEDIATRIA..............................
SINDROME NEFROTICO PEDIATRIA..............................SINDROME NEFROTICO PEDIATRIA..............................
SINDROME NEFROTICO PEDIATRIA..............................
 
PerezGallegos_Claudia_M1S3Al6.pptx las tic en la vida cotidiana
PerezGallegos_Claudia_M1S3Al6.pptx las tic en la vida cotidianaPerezGallegos_Claudia_M1S3Al6.pptx las tic en la vida cotidiana
PerezGallegos_Claudia_M1S3Al6.pptx las tic en la vida cotidiana
 
sistema político Mariangel Adjam Mapa mental
sistema político Mariangel Adjam Mapa mentalsistema político Mariangel Adjam Mapa mental
sistema político Mariangel Adjam Mapa mental
 
LINEA DEL TIEMPO DEL INTERNET - ESTRADA R
LINEA DEL TIEMPO DEL INTERNET - ESTRADA RLINEA DEL TIEMPO DEL INTERNET - ESTRADA R
LINEA DEL TIEMPO DEL INTERNET - ESTRADA R
 
Imagen creada en photopea con el fin de informar acerca de los navegadores web.
Imagen creada en photopea con el fin de informar acerca de los navegadores web.Imagen creada en photopea con el fin de informar acerca de los navegadores web.
Imagen creada en photopea con el fin de informar acerca de los navegadores web.
 
DIPTICO SOBRE Conciencia psicológica y Moral.docx
DIPTICO SOBRE Conciencia psicológica y Moral.docxDIPTICO SOBRE Conciencia psicológica y Moral.docx
DIPTICO SOBRE Conciencia psicológica y Moral.docx
 
Dominios_De_Internet.pdf
Dominios_De_Internet.pdfDominios_De_Internet.pdf
Dominios_De_Internet.pdf
 
Presentacion De Imagenes Digitales Y Navegadores De Internet.
Presentacion De Imagenes Digitales Y Navegadores De Internet.Presentacion De Imagenes Digitales Y Navegadores De Internet.
Presentacion De Imagenes Digitales Y Navegadores De Internet.
 
ciberseguridad y seguridad informatica- alex jaren.pptx
ciberseguridad y seguridad informatica- alex jaren.pptxciberseguridad y seguridad informatica- alex jaren.pptx
ciberseguridad y seguridad informatica- alex jaren.pptx
 
Plantilla-seguridad-informatica ára.pptx
Plantilla-seguridad-informatica ára.pptxPlantilla-seguridad-informatica ára.pptx
Plantilla-seguridad-informatica ára.pptx
 
Distribucion fisica internacional .pptx
Distribucion fisica internacional  .pptxDistribucion fisica internacional  .pptx
Distribucion fisica internacional .pptx
 
Trabajo de investigación escolar sobre el teatro
Trabajo de investigación escolar sobre el teatroTrabajo de investigación escolar sobre el teatro
Trabajo de investigación escolar sobre el teatro
 
COMO PUBLICAR UNA PRESENTACION GRAFICA EN INTERNET .pptx
COMO PUBLICAR UNA PRESENTACION GRAFICA EN INTERNET .pptxCOMO PUBLICAR UNA PRESENTACION GRAFICA EN INTERNET .pptx
COMO PUBLICAR UNA PRESENTACION GRAFICA EN INTERNET .pptx
 
Navegadores de Internet en la actualidad.
Navegadores de Internet en la actualidad.Navegadores de Internet en la actualidad.
Navegadores de Internet en la actualidad.
 
MartinezGuzman_Paulina_M1S3AI6.pptxEL uso de las tic en la vida cotidiana
MartinezGuzman_Paulina_M1S3AI6.pptxEL uso de las tic en la vida cotidianaMartinezGuzman_Paulina_M1S3AI6.pptxEL uso de las tic en la vida cotidiana
MartinezGuzman_Paulina_M1S3AI6.pptxEL uso de las tic en la vida cotidiana
 
Informe breve sobre el teatro en general.
Informe breve sobre el teatro en general.Informe breve sobre el teatro en general.
Informe breve sobre el teatro en general.
 

WordCamp Taller Seguridad WordPress

  • 1. Taller de Seguridad básica en WordPress #WCSevilla16 @OWASP_Sevilla
  • 2. # WHOAMI Ramón Salado @ramon_salado Juan José Domenech @juanjodomenech #WCSevilla16 @OWASP_Sevilla
  • 3. # OWASP Organización sin ánimo de lucro a nivel mundial, dedicada a mejorar la seguridad de las aplicaciones web Cualquiera puede participar en OWASP, todos sus proyectos y documentación están disponibles gratuitamente #WCSevilla16 @OWASP_Sevilla
  • 4. # OWASP SEVILLA Organizamos un evento mensual abierto a todo el que quiera participar Proyectos: Divulgación sobre Seguridad y Traducción GUÍA DE TESTING 4 #WCSevilla16 @OWASP_Sevilla
  • 5. # OWASP, PRINCIPALES PROYECTOS #WCSevilla16 @OWASP_Sevilla
  • 6. # SEGURIDAD #WCSevilla16 @OWASP_Sevilla Equipos seguros Comunicaciones Seguras (wifi, vpn, …) Contraseñas robustas (doble factor, cambios periódicos, …) Precauciones BYOD y teletrabajo ¿Es WordPress inseguro? ¿Qué lo hace inseguro?
  • 7. # SEGURIDAD WordPress INFRAESTRUCTURA DE RED CONFIGURACIÓN SERVIDOR INSTALACIÓN WORDPRESS HARDENING WORDPRESS #WCSevilla16 @OWASP_Sevilla
  • 8. # SEGURIDAD WordPress Infraestructura de red ¿Compartido? ¿VPS? ¿Dedicado? ¿Con o sin soporte? Cifrado de discos ¡SSH y SFTP siempre! Backups ¡Últimas versiones! (Apache/NGINX, PHP, MySQL, ...) Logs y analizadores de tráfico #WCSevilla16 @OWASP_Sevilla
  • 9. # SEGURIDAD WordPress Configuración del Servidor Utilizar directivas Allow y Deny para restringir accesos al servidor Deshabilitar listado de directorios y módulos innecesarios Permisos de los directorios “mínimos” WAF: Mod_Security Fortificar PHP y MySQL HTTP 1.1 / 2.0 y HTTPS #WCSevilla16 @OWASP_Sevilla $ sudo apt-get install libapache2-mod-security $ sudo a2enmod mod-security $ sudo /etc/init.d/apache2 force-reload
  • 10. # SEGURIDAD WordPress Instalación de WordPress No utilizar usuario “admin” Fortificar contraseña No utilizar prefijos de tablas “wp_” Cuidado con robots.txt, readme.html ¡Personaliza todo! Permisos No abusar de plugins #WCSevilla16 @OWASP_Sevilla
  • 11. # SEGURIDAD WordPress Hardening WordPress Core, themes y plugins actualizados Roles adecuados para cada uso Cambiar id del usuario 1 Alias distinto del nombre de usuario Ocultar wp-admin, wp-login, ... Control de comentarios No utilizar plugins de “dudosa procedencia” #WCSevilla16 @OWASP_Sevilla
  • 12. # SEGURIDAD WordPress Hardening WordPress, con Plugins #WCSevilla16 @OWASP_Sevilla
  • 13. # SEGURIDAD WordPress Hardening WordPress, con Plugins #WCSevilla16 @OWASP_Sevilla
  • 14. # SEGURIDAD WordPress Hardening WordPress Configuración ‘default’ muy completa Incluye varios niveles preconfigurados Verifica core, themes y plugins con WordPress Cortafuegos para bloquear amenazas Limita intentos de login y uso de blacklist Visión en tiempo real de todo el tráfico #WCSevilla16 @OWASP_Sevilla
  • 15. # SEGURIDAD WordPress Hardening WordPress WAF por plugin Gran motor de filtrado Protección XSS, SQLi, … Protege API XML-RPC #WCSevilla16 @OWASP_Sevilla
  • 16. # SEGURIDAD WordPress Hardening WordPress Security Check Cambiar la ruta de /wp-admin Verifica los permisos de las carpetas WordPress Tweaks #WCSevilla16 @OWASP_Sevilla
  • 17. # SEGURIDAD WordPress Hardening WordPress Escaneo en busca de malware en nuestra web Reforzar la seguridad de tu sitio Web CloudProxy ($)
  • 18. # SEGURIDAD WordPress Hardening WordPress Doble factor de autenticación Bloquear acceso para inactividad Alertas de intentos de acceso #WCSevilla16 @OWASP_Sevilla
  • 19. # SEGURIDAD WordPress Hardening WordPress Posibilidad de automatizar backups Archivos + Base de Datos Aloja en servicios externos (drive, dropbox, …) Archivos zip con password #WCSevilla16 @OWASP_Sevilla
  • 20. # SEGURIDAD WordPress Hardening WordPress, Otros #WCSevilla16 @OWASP_Sevilla
  • 21. # AUDITANDO WordPress Wpscan. Instalación Listar vulnerabilidades y enumeración de usuarios Ataque fuerza bruta Algunos ejemplos de la Guia Testing (ghdb, robots, xss, …) #WCSevilla16 @OWASP_Sevilla
  • 23. Taller de Seguridad básica en WordPress #WCSevilla16 @OWASP_Sevilla GRACIAS