10 Claves para mejorar la seguridad de tu WP

161 visualizaciones

Publicado el

10 Claves para mejorar la seguridad de tu WP

Slideck usado en el taller del mismo nombre, impartido en el WPDay Euskadi 2016, en el Polo de Innovación Garaia. Organizado por Spri, con la colaboración de Garaia Enpresa Digitala.

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
161
En SlideShare
0
De insertados
0
Número de insertados
4
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

10 Claves para mejorar la seguridad de tu WP

  1. 1. 10 Claves para mejorar la seguridad de tu WP Iñaki Arenaza Mondragon Unibertsitatea iarenaza@mondragon.edu @iarenaza
  2. 2. ¿Cómo de seguro es WP? Fuente: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress
  3. 3. ¿Cómo de seguro es WP? Fuente: http://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337
  4. 4. 10. Renombra la cuenta de administrador y las tablas de WP • No uses: admin, Admin, administrator, Administrator, administrador, Administrador. • No uses el prefijo wp_ para las tablas: Fuente: http://aulacm.com/seguridad-y-proteger-wordpress/
  5. 5. 9. Utiliza contraseñas fuertes • No sólo en WP: también en la base de datos, el acceso al servidor, etc. • Los gestores de contraseñas son tus amigos. • Utiliza autenticación de dos pasos o de doble factor (2FA) • ¡Cámbialas regularmente!
  6. 6. 8. Plugins de seguridad para WP • Limit Login Attempts • Better WordPress Security • Two-Factor Authentication (Google Authenticator), Duo Two-Factor Authentication • Wordfence Security, Sucuri Security, NinjaFirewall WAF • Y montones más...
  7. 7. 7. Copias de seguridad • Copias de todo lo necesario: código WP, base de datos, ficheros de WP, servidor web, sistema operativo, etc. • ¡Automatiza! • Hacerlas es sólo la mitad del camino. • Una copia de seguridad que no se puede (o no se sabe) restaurar, no sirve para nada. • ¡Restaura tus copias periódicamente!
  8. 8. 6. Securiza tu servidor web • Configuración adecuada (usuario, permisos, etc.) • Aprovecha las opciones de seguridad de los ficheros .htacces (o equivalentes en tu servidor web) • ¡Protege tus ficheros .htaccess! • ModSecurity: www.modsecurity.org • Firewall que trabaje con ModSecurity. • Plugins como NginxCp sobre Apache: www.nginxcp.com
  9. 9. 5. Securiza tu servidor • Sistema operativo actualizado. • Configuración adecuada. • Sistemas Linux: AppArmor, SELinux • Sistemas Windows: Aplica las plantillas de seguridad.
  10. 10. 4. Mantente actualizado • Mantén WP actualizado: core, themes, plugins. • Instala siempre desde las fuentes originales: no aceptes regalos envenenados. • Pero también tu servidor web, la base de datos, el sistema operativo, etc.
  11. 11. 3. Protege el acceso a la zona de administración • Limita el acceso al directorio /wp-admin • Se puede hacer por: – direcciones IP de origen – solicitando usuario y contraseña – ¡o ambas cosas! • Se suele hacer en la configuración del servidor web (cPanel, fichero .htacces, etc.)
  12. 12. 2. Estate al día • https://wordpress.org/news/category/security/ • https://wpvulndb.com/ • Plugin Vulnerabilities https://wordpress.org/ plugins/plugin-vulnerabilities/ • No Longer in Directory https://wordpress.org/ plugins/no-longer-in-directory/ • http://www.cvedetails.com/vendor/2337/Word press.html
  13. 13. 1. Externaliza tu seguridad • Si no puedes o no quieres hacer todo lo anterior: externalízalo :-) • Además de lo anterior puedes queres: – Curación de temas y plugins a usar – Monitorización de intentos de intrusión – Informes de estado – etc.
  14. 14. Eskerrik asko Muchas gracias

×