SlideShare una empresa de Scribd logo

WordCamp Taller Seguridad WordPress

Juan José Domenech
Juan José Domenech

Este documento presenta un taller sobre seguridad básica en WordPress. Explica qué es OWASP y su capítulo en Sevilla, luego cubre temas como seguridad en infraestructura de red, configuración de servidor, instalación y hardening de WordPress usando plugins. También discute auditoría de WordPress y malware. El objetivo es enseñar las mejores prácticas de seguridad para proteger sitios basados en WordPress.

Tecnología
1 de 23
Taller de Seguridad básica en WordPress #WCSevilla16 @OWASP_Sevill
# WHOAMI Ramón Salado @ramon_salado Juan José Domenech @juanjodomenech #WCSevilla16 @OWASP_Sevill
# OWASP Organización sin ánimo de lucro a nivel mundial, dedicada a mejorar la seguridad de las aplicaciones web Cualquiera puede participar en OWASP, todos sus proyectos y documentación están disponibles gratuitamente #WCSevilla16 @OWASP_Sevill
# OWASP SEVILLA Organizamos un evento mensual abierto a todo el que quiera participar Proyectos: Divulgación sobre Seguridad y Traducción GUÍA DE TESTING 4 #WCSevilla16 @OWASP_Sevill
# OWASP, PRINCIPALES PROYECTOS #WCSevilla16 @OWASP_Sevill
# SEGURIDAD #WCSevilla16 @OWASP_Sevill Equipos seguros Comunicaciones Seguras (wifi, vpn, …) Contraseñas robustas (doble factor, cambios periódicos, …) Precauciones BYOD y teletrabajo ¿Es WordPress inseguro? ¿Qué lo hace inseguro?
# SEGURIDAD WordPress INFRAESTRUCTUR A DE RED CONFIGURACIÓN SERVIDOR INSTALACIÓN WORDPRESS HARDENING WORDPRESS #WCSevilla16 @OWASP_Sevill
# SEGURIDAD WordPress Infraestructura de red ¿Compartido? ¿VPS? ¿Dedicado? ¿Con o sin soporte? Cifrado de discos ¡SSH y SFTP siempre! Backups ¡Últimas versiones! (Apache/NGINX, PHP, MySQL, ...) Logs y analizadores de tráfico #WCSevilla16 @OWASP_Sevill
# SEGURIDAD WordPress Configuración del Servidor Utilizar directivas Allow y Deny para restringir accesos al servidor Deshabilitar listado de directorios y módulos innecesarios Permisos de los directorios “mínimos” WAF: Mod_Security Fortificar PHP y MySQL HTTP 1.1 / 2.0 y HTTPS #WCSevilla16 @OWASP_Sevill $ sudo apt-get install libapache2-mod-security
 $ sudo a2enmod mod-security
 $ sudo /etc/init.d/apache2 force-reload
# SEGURIDAD WordPress Instalación de WordPress No utilizar usuario “admin” Fortificar contraseña No utilizar prefijos de tablas “wp_” Cuidado con robots.txt, readme.html ¡Personaliza todo! Permisos No abusar de plugins #WCSevilla16 @OWASP_Sevill
# SEGURIDAD WordPress Hardening WordPress Core, themes y plugins actualizados Roles adecuados para cada uso Cambiar id del usuario 1 Alias distinto del nombre de usuario Ocultar wp-admin, wp-login, ... Control de comentarios No utilizar plugins de “dudosa procedencia” #WCSevilla16 @OWASP_Sevill
# SEGURIDAD WordPress Hardening WordPress, con Plugins #WCSevilla16 @OWASP_Sevill
# SEGURIDAD WordPress Hardening WordPress, con Plugins #WCSevilla16 @OWASP_Sevill
# SEGURIDAD WordPress Hardening WordPress Configuración ‘default’ muy completa Incluye varios niveles preconfigurados Verifica core, themes y plugins con WordPress Cortafuegos para bloquear amenazas Limita intentos de login y uso de blacklist Visión en tiempo real de todo el tráfico #WCSevilla16 @OWASP_Sevill
# SEGURIDAD WordPress Hardening WordPress WAF por plugin Gran motor de filtrado Protección XSS, SQLi, … Protege API XML-RPC #WCSevilla16 @OWASP_Sevill
# SEGURIDAD WordPress Hardening WordPress Security Check Cambiar la ruta de /wp-admin Verifica los permisos de las carpetas WordPress Tweaks #WCSevilla16 @OWASP_Sevill
# SEGURIDAD WordPress Hardening WordPress Escaneo en busca de malware en nuestra web Reforzar la seguridad de tu sitio Web CloudProxy ($)
# SEGURIDAD WordPress Hardening WordPress Doble factor de autenticación Bloquear acceso para inactividad Alertas de intentos de acceso #WCSevilla16 @OWASP_Sevill
# SEGURIDAD WordPress Hardening WordPress Posibilidad de automatizar backups Archivos + Base de Datos Aloja en servicios externos (drive, dropbox, …) Archivos zip con password #WCSevilla16 @OWASP_Sevill
# SEGURIDAD WordPress Hardening WordPress, Otros #WCSevilla16 @OWASP_Sevill
# AUDITANDO WordPress Wpscan. Instalación Listar vulnerabilidades y enumeración de usuarios Ataque fuerza bruta Algunos ejemplos de la Guia Testing (ghdb, robots, xss, …) #WCSevilla16 @OWASP_Sevill
#MALWARE #WCSevilla16 @OWASP_Sevill eval, base64, ...
Taller de Seguridad básica en WordPress #WCSevilla16 @OWASP_Sevill GRACIAS

Recomendados

WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
Ramón Salado Lucena
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers Sevilla
Ramón Salado Lucena
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Ramón Salado Lucena
 
Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting
José Conti Calveras
 
WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]
QuantiKa14
 
Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14
QuantiKa14
 
Owsap y web security
Owsap y web securityOwsap y web security
Owsap y web security
Luis Toscano
 
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.org
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.orgWordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.org
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.org
Raúl Martínez
 

Recomendados

WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
Ramón Salado Lucena
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers Sevilla
Ramón Salado Lucena
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Ramón Salado Lucena
 
Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting
José Conti Calveras
 
WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]
QuantiKa14
 
Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14
QuantiKa14
 
Owsap y web security
Owsap y web securityOwsap y web security
Owsap y web security
Luis Toscano
 
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.org
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.orgWordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.org
WordCamp Sevilla 2016 - Creación de un plugin con subida a WordPress.org
Raúl Martínez
 
Wordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressWordpressa - Hardening en Wordpress
Wordpressa - Hardening en Wordpress
QuantiKa14
 
Informe amenazas a las bases de datos
Informe amenazas a las bases de datosInforme amenazas a las bases de datos
Informe amenazas a las bases de datos
DanielFernandoRodrig4
 
La web privada power point
La web privada power pointLa web privada power point
La web privada power point
Effy20
 
Avast
AvastAvast
Avast
Alejandro Arreola
 
Review OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúReview OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP Perú
John Vargas
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Paul Romero
Paul RomeroPaul Romero
Paul Romero
PaulRomero37
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Aspectos sobre Java y seguridad
Aspectos sobre Java y seguridadAspectos sobre Java y seguridad
Aspectos sobre Java y seguridad
Fabiola López
 
Tutorial WI-FI
Tutorial WI-FITutorial WI-FI
Tutorial WI-FI
Alexsander Arbieto
 
Hackear WordPress: Cómo evitarlo
Hackear WordPress: Cómo evitarloHackear WordPress: Cómo evitarlo
Hackear WordPress: Cómo evitarlo
Desarrollo de Medios y Sistemas - DMSTI
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
zekivazquez
 
WordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCEWordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCE
Raúl Martínez
 
Uso del troyano cybergate
Uso del troyano cybergateUso del troyano cybergate
Uso del troyano cybergate
Tensor
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
zekivazquez
 
Joomla*****BACKUP
Joomla*****BACKUPJoomla*****BACKUP
Joomla*****BACKUP
KAROLAY LOPEZ YLASACA
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Sucuri
 
Netscape
NetscapeNetscape
Netscape
Drakkon133
 
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Internet Security Auditors
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
Tensor
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticas
Lucy Tomas
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASP
zekivazquez
 

Más contenido relacionado

La actualidad más candente

Review OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúReview OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP Perú
John Vargas
 
Hackear WordPress: Cómo evitarlo
Hackear WordPress: Cómo evitarloHackear WordPress: Cómo evitarlo
Hackear WordPress: Cómo evitarlo
Desarrollo de Medios y Sistemas - DMSTI
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Sucuri
 

La actualidad más candente (18)

Wordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressWordpressa - Hardening en Wordpress
Wordpressa - Hardening en Wordpress
 
Informe amenazas a las bases de datos
Informe amenazas a las bases de datosInforme amenazas a las bases de datos
Informe amenazas a las bases de datos
 
La web privada power point
La web privada power pointLa web privada power point
La web privada power point
 
Avast
AvastAvast
Avast
 
Review OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP PerúReview OWASP 2014 - OWASP Perú
Review OWASP 2014 - OWASP Perú
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Paul Romero
Paul RomeroPaul Romero
Paul Romero
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
 
Aspectos sobre Java y seguridad
Aspectos sobre Java y seguridadAspectos sobre Java y seguridad
Aspectos sobre Java y seguridad
 
Tutorial WI-FI
Tutorial WI-FITutorial WI-FI
Tutorial WI-FI
 
Hackear WordPress: Cómo evitarlo
Hackear WordPress: Cómo evitarloHackear WordPress: Cómo evitarlo
Hackear WordPress: Cómo evitarlo
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
 
WordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCEWordCamp Barcelona 2016 - Plugins para TinyMCE
WordCamp Barcelona 2016 - Plugins para TinyMCE
 
Uso del troyano cybergate
Uso del troyano cybergateUso del troyano cybergate
Uso del troyano cybergate
 
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
Desarrollo Seguro en Drupal - DrupalCamp Spain 2013
 
Joomla*****BACKUP
Joomla*****BACKUPJoomla*****BACKUP
Joomla*****BACKUP
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
 
Netscape
NetscapeNetscape
Netscape
 

Similar a WordCamp Taller Seguridad WordPress

Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting
 
Owasp top 10_2007_spanish
Owasp top 10_2007_spanishOwasp top 10_2007_spanish
Owasp top 10_2007_spanish
Tommy Clive
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
Miguel de la Cruz
 

Similar a WordCamp Taller Seguridad WordPress (20)

Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRISSeguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
Seguridad en las relaciones de confianza. VI Foro de Seguridad de RedIRIS
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticas
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASP
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
 
Webinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS WebWebinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS Web
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASP
 
Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"
 
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSWHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para Aprendices
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones web
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
 
Owasp top 10_2007_spanish
Owasp top 10_2007_spanishOwasp top 10_2007_spanish
Owasp top 10_2007_spanish
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
 
Guía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPressGuía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPress
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupal
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (10)

Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

WordCamp Taller Seguridad WordPress

  • 1. Taller de Seguridad básica en WordPress #WCSevilla16 @OWASP_Sevill
  • 2. # WHOAMI Ramón Salado @ramon_salado Juan José Domenech @juanjodomenech #WCSevilla16 @OWASP_Sevill
  • 3. # OWASP Organización sin ánimo de lucro a nivel mundial, dedicada a mejorar la seguridad de las aplicaciones web Cualquiera puede participar en OWASP, todos sus proyectos y documentación están disponibles gratuitamente #WCSevilla16 @OWASP_Sevill
  • 4. # OWASP SEVILLA Organizamos un evento mensual abierto a todo el que quiera participar Proyectos: Divulgación sobre Seguridad y Traducción GUÍA DE TESTING 4 #WCSevilla16 @OWASP_Sevill
  • 5. # OWASP, PRINCIPALES PROYECTOS #WCSevilla16 @OWASP_Sevill
  • 6. # SEGURIDAD #WCSevilla16 @OWASP_Sevill Equipos seguros Comunicaciones Seguras (wifi, vpn, …) Contraseñas robustas (doble factor, cambios periódicos, …) Precauciones BYOD y teletrabajo ¿Es WordPress inseguro? ¿Qué lo hace inseguro?
  • 7. # SEGURIDAD WordPress INFRAESTRUCTUR A DE RED CONFIGURACIÓN SERVIDOR INSTALACIÓN WORDPRESS HARDENING WORDPRESS #WCSevilla16 @OWASP_Sevill
  • 8. # SEGURIDAD WordPress Infraestructura de red ¿Compartido? ¿VPS? ¿Dedicado? ¿Con o sin soporte? Cifrado de discos ¡SSH y SFTP siempre! Backups ¡Últimas versiones! (Apache/NGINX, PHP, MySQL, ...) Logs y analizadores de tráfico #WCSevilla16 @OWASP_Sevill
  • 9. # SEGURIDAD WordPress Configuración del Servidor Utilizar directivas Allow y Deny para restringir accesos al servidor Deshabilitar listado de directorios y módulos innecesarios Permisos de los directorios “mínimos” WAF: Mod_Security Fortificar PHP y MySQL HTTP 1.1 / 2.0 y HTTPS #WCSevilla16 @OWASP_Sevill $ sudo apt-get install libapache2-mod-security
 $ sudo a2enmod mod-security
 $ sudo /etc/init.d/apache2 force-reload
  • 10. # SEGURIDAD WordPress Instalación de WordPress No utilizar usuario “admin” Fortificar contraseña No utilizar prefijos de tablas “wp_” Cuidado con robots.txt, readme.html ¡Personaliza todo! Permisos No abusar de plugins #WCSevilla16 @OWASP_Sevill
  • 11. # SEGURIDAD WordPress Hardening WordPress Core, themes y plugins actualizados Roles adecuados para cada uso Cambiar id del usuario 1 Alias distinto del nombre de usuario Ocultar wp-admin, wp-login, ... Control de comentarios No utilizar plugins de “dudosa procedencia” #WCSevilla16 @OWASP_Sevill
  • 12. # SEGURIDAD WordPress Hardening WordPress, con Plugins #WCSevilla16 @OWASP_Sevill
  • 13. # SEGURIDAD WordPress Hardening WordPress, con Plugins #WCSevilla16 @OWASP_Sevill
  • 14. # SEGURIDAD WordPress Hardening WordPress Configuración ‘default’ muy completa Incluye varios niveles preconfigurados Verifica core, themes y plugins con WordPress Cortafuegos para bloquear amenazas Limita intentos de login y uso de blacklist Visión en tiempo real de todo el tráfico #WCSevilla16 @OWASP_Sevill
  • 15. # SEGURIDAD WordPress Hardening WordPress WAF por plugin Gran motor de filtrado Protección XSS, SQLi, … Protege API XML-RPC #WCSevilla16 @OWASP_Sevill
  • 16. # SEGURIDAD WordPress Hardening WordPress Security Check Cambiar la ruta de /wp-admin Verifica los permisos de las carpetas WordPress Tweaks #WCSevilla16 @OWASP_Sevill
  • 17. # SEGURIDAD WordPress Hardening WordPress Escaneo en busca de malware en nuestra web Reforzar la seguridad de tu sitio Web CloudProxy ($)
  • 18. # SEGURIDAD WordPress Hardening WordPress Doble factor de autenticación Bloquear acceso para inactividad Alertas de intentos de acceso #WCSevilla16 @OWASP_Sevill
  • 19. # SEGURIDAD WordPress Hardening WordPress Posibilidad de automatizar backups Archivos + Base de Datos Aloja en servicios externos (drive, dropbox, …) Archivos zip con password #WCSevilla16 @OWASP_Sevill
  • 20. # SEGURIDAD WordPress Hardening WordPress, Otros #WCSevilla16 @OWASP_Sevill
  • 21. # AUDITANDO WordPress Wpscan. Instalación Listar vulnerabilidades y enumeración de usuarios Ataque fuerza bruta Algunos ejemplos de la Guia Testing (ghdb, robots, xss, …) #WCSevilla16 @OWASP_Sevill
  • 23. Taller de Seguridad básica en WordPress #WCSevilla16 @OWASP_Sevill GRACIAS