SlideShare una empresa de Scribd logo
1 de 41
Descargar para leer sin conexión
SEGURIDAD EN WORDPRESS
BY @JORGEWEBSEC
10/29/2015www.quantika14.com 1
¿QUIÉN SOY?
• SOCIO FUNDADOR DE LA EMPRESA DE
SEGURIDAD INFORMÁTICA
@QUANTIKA14
• PENTESTER /EXPERTO EN SEGURIDAD
WEB.
• FUNDADOR DEL PROYECTO
WORDPRESSA.
• COLABORADOR EN LA RADIO DE
CANALSUR LOS MARTES A LAS 12:00
• ORGANIZADOR DEL MEETUP HACKING
SEVILLA Y PYTHON SEVILLA
10/29/2015www.quantika14.com 2
@JorgeWebsec
TAMBIÉN SOY DUEÑO DE UN MARAVILLOSO RINCÓN DE SEVILLA
INVITADOS A UNA CERVEZA LAS MEJORES PREGUNTAS…
10/29/2015www.quantika14.com 3
PROYECTO WORDPRESSA
EXPERTOS EN SEGURIDAD WP
• ANEXO PRESENTACIÓN:
HTTP://ES.SLIDESHARE.NET/QUANTIKACATORCE/P
ROYECTO-WORDPRESSA-
QUANTIKA14?QID=EF7D373A-34BF-433D-
A742-
606834817924&V=QF1&B=&FROM_SEARCH
=1
10/29/2015www.quantika14.com 4
LA SEGURIDAD INFORMÁTICA
ES EL PROCESO DE ASEGURAR UN SISTEMA REDUCIENDO
LAS VULNERABILIDADES, USANDO UNAS BUENAS
CONFIGURACIONES Y CONCIENCIANDO DE LA
PROTECCIÓN DE LOS DATOS.
10/29/2015www.quantika14.com 5
FORTIFICACIÓN
PONER BARRERAS Y DIFICULTADES PARA QUE UN
ATACANTE NO PUEDE REALIZAR UNA INTRUSIÓN EN LOS
SISTEMAS.
LA SEGURIDAD DE INFORMACIÓN ES EL FUTURO
YA PRESENTE…
10/29/2015www.quantika14.com 6
LA TECNOLOGÍA WEB
• INTRANETS DE GRANDES ALMACENES, EMPRESAS, PEQUEÑOS NEGOCIOS…
• BANCOS…
• SUPERMERCADOS Y TIENDAS ONLINE…
• EMPRESAS PÚBLICAS…
• AYUNTAMIENTOS…
• PARTIDOS POLÍTICOS…
10/29/2015www.quantika14.com 7
Y MUCHOS, MUCHOS USAN WORDPRESS
¿QUIÉNES LO USARÁN?
10/29/2015www.quantika14.com 8
PARTIDOS POLÍTICOS
• PODEMOS.INFO
• PSOEANDALUCIA.ES
• VOXESPANA.ES
• PPMADRID.ES
10/29/2015www.quantika14.com 9
PERIODICOS ONLINE
• ANDALUCIADIARIO.ES
• ELDIARIO.ES/ESCOLAR
• LAVANGUARDIA.COM
10/29/2015www.quantika14.com 10
EMPRESAS…
• EBAY
• PLAYSTATION
• FIREFOX
• OUTBRAIN
10/29/2015www.quantika14.com 11
OTROS…
• JUNTA DE ANDALUCIA
• JUSTIN BIEBER
• ELTIEMPO.ES
10/29/2015www.quantika14.com 12
10/29/2015www.quantika14.com 13
10/29/2015www.quantika14.com 14
ME TEMO QUE SI,
YUJU
¿POR QUÉ?
• MUCHOS DATOS DE TODOS ESTÁN
ALMACENADOS EN PÁGINAS WEBS CON
WORDPRESS
• UNA MALA SEGURIDAD PUEDE CONVERTIR UNA
WEB EN UNA MAQUINA DE ATAQUE CONTRA
OTRAS.(BOTS)
• ALMACENAMIENTO DE MALWARE.
• ALMACENAMIENTO DE DATOS (PORNOGRAFÍA,
FAKES, ETC)
10/29/2015www.quantika14.com 15
SI TE INTERESA LA SEGURIDAD SIGUE EN TWITTER:
@WPSECURITY_ES
• MULTIHOST CON BUENA SEGURIDAD.
• UNA INSTALACIÓN CON BUENAS PAUTAS DE
SEGURIDAD.
• USO DE PLUGINS Y THEMES NO VULNERABLES.
• ACTUALIZACIÓN CONSTANTE.
• CORTAFUEGOS Y ANTIVIRUS…
• COPIAS DE SEGURIDAD
10/29/2015www.quantika14.com 16
¿COMPARTIR HOSTING?
• DE ENTRADA NO ES BUENA IDEA.
• SI NO EXISTE UNA BUENA SEGURIDAD UN
REVERSE IP PUEDE SER MORTAL. TU WEB NO,
PERO TU VECINO????
• SEGÚN YO:
• CDMON
• COMALIS
10/29/2015www.quantika14.com 17
10/29/2015www.quantika14.com 18
UNA BUENA INSTALACIÓN ES UN COMINZO
10/29/2015www.quantika14.com 19
INSTALACIÓN
• PREFIJO DE BASE DE DATOS LARGO, ALFANUMERICO Y SIMBOLOS (SI PUEDES)
• EL USER Y PASS DEL USUARIO MYSQL NO SEA ROOT / ROOT (POR FAVOR)
10/29/2015www.quantika14.com 20
PERMISOS EN WP
• 0644 PARA LOS NIVELES SUPERIORES, ESTO ES LA RAÍZ DEL SITIO Y TODOS LOS FICHEROS QUE
ESTÉN AHÍ SITUADOS.
• 0755 PARA LAS TRES CARPETAS (WP-ADMIN, WP-CONTENT, WP-INCLUDES).
• 0755 PARA LAS CARPETAS UPLOADS Y PLUGINS (EN ALGUNOS CASOS 775, DEPENDE DE
CONFIGURACIÓN DEL SERVIDOR)
• 0666 PARA TU TEMA DE WORDPRESS EN CASO DE QUE QUIERAS QUE SEA EDITABLE DESDE EL
ESCRITORIO.
10/29/2015www.quantika14.com 21
PLUGIN
FILECHECKER
10/29/2015www.quantika14.com 22
WP-CONFIG.PHP
• DEFINE(‘DISALLOW_FILE_EDIT’, TRUE); //BLOQUEA MODIFICACIONES EN ARCHIVOS A
TRAVÉS DEL EDITOR...
• DEFINE(‘DISALLOW_FILE_MODS’,TRUE); //NO PERMITE SUBIR PLUGINS Y THEMES.
• SI EL SERVIDOR ACEPTA SSL --> DEFINE(‘FORCE_SSL_ADMIN’, TRUE);
10/29/2015www.quantika14.com 23
CAMBIAR DIRECTORIO WP-CONFIG
• QUITA LA INFORMACIÓN DE LA DB Y SITÚALA EN
UN DIRECTORIO PROTEGIDO.
• <?PHP INCLUDE("/HOME/USER/WP-
CONFIG.PHP");?>
10/29/2015www.quantika14.com 24
HTACCESS
• EVITAR ACCESO AL WP-CONFIG
• DESACTIVAR TRACE DE HTTP
• EVITAR VISUALIZACIÓN Y EJECUCIÓN
DE DIRECTORIOS
• FILTRADO DE IP??
10/29/2015www.quantika14.com 25
EN CASO DE ATAQUE ZOMBIE…
DEBEMOS PROTEGERNOS
10/29/2015www.quantika14.com 26
LIMITAR ACCESO CON HTACCESS
BLOQUEAR IPS PERMITIR A X IP
10/29/2015www.quantika14.com 27
PROTEGERSE CONTRA FUERZA BRUTA
CONTRA LOS HULK ZOMBIES LO MEJOR ES…
10/29/2015www.quantika14.com 28
CONTRA UN ATAQUE DE FUERA BRUTA
• LIMITAR LAS PETICIONES DE INTENTOS A 3 POR EJEMPLO.
• BANNEAOS DE IPS
• UN BUEN CAPTCHA
• CAMBIAR LOS DIRECTORIOS DE WORDPRESS
10/29/2015www.quantika14.com 29
ITHEMES SECURITY CONTRA BRUTE FORCE
10/29/2015www.quantika14.com 30
ESCONDER LOGIN
10/29/2015www.quantika14.com 31
PLUGIN CAPTCHA ON LOGIN
10/29/2015www.quantika14.com 32
NO USES PLUGINS VULNERABLES
WORDPRESSA EN ESO ES
EL MEJOR BASE DE DATOS PROPIA
10/29/2015www.quantika14.com 33
BASE DE DATOS DE PLUGINS Y THEMES
VULNERABLES
• HTTPS://WPVULNDB.COM/
• HTTP://WORDPRESSA.QUANTIKA14.COM/REPOSITORY
• HTTP://WWW.1337DAY.COM/
• HTTPS://WWW.EXPLOIT-DB.COM/
10/29/2015www.quantika14.com 34
WORDPRESSA ES MUCHO MÁS
DOCUMENTACIÓN, FORMACIÓN, PLUGINS DE SEGURIDAD, TUTORIALES, LABORATORIOS, ETC
10/29/2015www.quantika14.com 35
WORDPRESSA CHALLENGE
UN PLUGIN PARA APRENDER A ATACAR LOS WORDPRESS…
10/29/2015www.quantika14.com 36
COMO SABER SI TENGO MALWARE FÁCILMENTE…
• - HTTPS://SITECHECK.SUCURI.NET/
• - CODEGUARD
• - PLUGINS ANTIVIRUS
10/29/2015www.quantika14.com 37
PLUGINS ANTIVIRUS
• HTTPS://WORDPRESS.ORG/PLUGINS/ANTIVIRUS/
• ITHEMES SECURITY
• HTTPS://WORDPRESS.ORG/PLUGINS/WP-ANTIVIRUS-SITE-PROTECTION/
10/29/2015www.quantika14.com 38
COPIAS DE
SEGURIDAD
LA MEJOR COPIA DE SEGURIDAD HAZLA
TU E INTENTA QUE SEA A MENUDO.
SI NO, ITHEMES SECURITY Y XCLONER
PLUGINS.
10/29/2015www.quantika14.com 39
PREGUNTAS
10/29/2015www.quantika14.com 40
Contacto:
- jorge@quantika14.com
- Twiiter: @JorgeWebsec
- Quantika14:
- info@quantika14.com
- Twiiter: @QuantiKa14
- www.quantika14.com
SEGURIDAD EN
WORDPRESS EN SEVILLA:
WORDPRESSA.QUANTIKA14.COM
GRACIAS POR VUESTRA ATENCIÓN
Y RECUERDEN QUE CADA VEZ QUE SE DICE “CIBER” UNIDO A OTRA PALABRA MUERE UN GATITO.
10/29/2015www.quantika14.com 41
Y VIVA…

Más contenido relacionado

La actualidad más candente

Búsqueda de personas desaparecidas a través de las tics
Búsqueda de personas desaparecidas a través de las ticsBúsqueda de personas desaparecidas a través de las tics
Búsqueda de personas desaparecidas a través de las ticsQuantiKa14
 
Casos reales usando osint
Casos reales usando osintCasos reales usando osint
Casos reales usando osintQuantiKa14
 
Diario de un perito informático: pruebas, evidencias y delitos informáticos
Diario de un perito informático: pruebas, evidencias y delitos informáticosDiario de un perito informático: pruebas, evidencias y delitos informáticos
Diario de un perito informático: pruebas, evidencias y delitos informáticosQuantiKa14
 
Ronda de Hacking - Gambrinus challenge Sh3llcon
Ronda de Hacking - Gambrinus challenge Sh3llconRonda de Hacking - Gambrinus challenge Sh3llcon
Ronda de Hacking - Gambrinus challenge Sh3llconQuantiKa14
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
All in one OSINT
All in one OSINTAll in one OSINT
All in one OSINTQuantiKa14
 
Formacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomwareFormacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomwareQuantiKa14
 
Webinar Gratuito: Consejos para Iniciar una Investigación OSINT
Webinar Gratuito: Consejos para Iniciar una Investigación OSINTWebinar Gratuito: Consejos para Iniciar una Investigación OSINT
Webinar Gratuito: Consejos para Iniciar una Investigación OSINTAlonso Caballero
 
Cómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móvilesCómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móvilesQuantiKa14
 
Cuanto cuesta una Web
Cuanto cuesta una WebCuanto cuesta una Web
Cuanto cuesta una WebHTML5 Spain
 

La actualidad más candente (13)

Búsqueda de personas desaparecidas a través de las tics
Búsqueda de personas desaparecidas a través de las ticsBúsqueda de personas desaparecidas a través de las tics
Búsqueda de personas desaparecidas a través de las tics
 
Casos reales usando osint
Casos reales usando osintCasos reales usando osint
Casos reales usando osint
 
Diario de un perito informático: pruebas, evidencias y delitos informáticos
Diario de un perito informático: pruebas, evidencias y delitos informáticosDiario de un perito informático: pruebas, evidencias y delitos informáticos
Diario de un perito informático: pruebas, evidencias y delitos informáticos
 
Ronda de Hacking - Gambrinus challenge Sh3llcon
Ronda de Hacking - Gambrinus challenge Sh3llconRonda de Hacking - Gambrinus challenge Sh3llcon
Ronda de Hacking - Gambrinus challenge Sh3llcon
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
All in one OSINT
All in one OSINTAll in one OSINT
All in one OSINT
 
Formacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomwareFormacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomware
 
Webinar Gratuito: Consejos para Iniciar una Investigación OSINT
Webinar Gratuito: Consejos para Iniciar una Investigación OSINTWebinar Gratuito: Consejos para Iniciar una Investigación OSINT
Webinar Gratuito: Consejos para Iniciar una Investigación OSINT
 
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
Blogger
BloggerBlogger
Blogger
 
Cómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móvilesCómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móviles
 
Cuanto cuesta una Web
Cuanto cuesta una WebCuanto cuesta una Web
Cuanto cuesta una Web
 

Similar a Seguridad WordPress en Sevilla

Webinar Codemotion 2020 - Piratas del Cloud
Webinar Codemotion 2020 - Piratas del CloudWebinar Codemotion 2020 - Piratas del Cloud
Webinar Codemotion 2020 - Piratas del CloudFrancisco Javier Barrena
 
Estrategias y herramientas digitales para profesionales
Estrategias y herramientas digitales para profesionalesEstrategias y herramientas digitales para profesionales
Estrategias y herramientas digitales para profesionalesEsteban Romero Frías
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebSucuri
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?Francisco Javier Barrena
 
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasIntroducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasS2 Grupo · Security Art Work
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressJuan José Domenech
 
20190427 arquitectura de microservicios con contenedores
20190427 arquitectura de microservicios con contenedores20190427 arquitectura de microservicios con contenedores
20190427 arquitectura de microservicios con contenedoresRicardo González
 
Conferencia claves negocios exitosos-lima peru-version1
Conferencia claves negocios exitosos-lima peru-version1Conferencia claves negocios exitosos-lima peru-version1
Conferencia claves negocios exitosos-lima peru-version1Luis Carlos Chaquea Blanco
 
SEO Negativo. Cómo detectarlo y pasos para defenderte
SEO Negativo. Cómo detectarlo y pasos para defenderteSEO Negativo. Cómo detectarlo y pasos para defenderte
SEO Negativo. Cómo detectarlo y pasos para defenderteSemrush
 
Svt cloud security services - Catalogo de Servicios
Svt cloud security services - Catalogo de ServiciosSvt cloud security services - Catalogo de Servicios
Svt cloud security services - Catalogo de ServiciosJosep Bardallo
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Webinar Aceleración.com - Estrategias Omnicanal y Trascendiendo el Multicanal
Webinar Aceleración.com - Estrategias Omnicanal y Trascendiendo el MulticanalWebinar Aceleración.com - Estrategias Omnicanal y Trascendiendo el Multicanal
Webinar Aceleración.com - Estrategias Omnicanal y Trascendiendo el MulticanalAndrés Julián Gómez Montes
 
Guía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPressGuía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPresswebempresa.com
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Alonso Caballero
 
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu Negocio
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu NegocioSeguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu Negocio
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu NegocioSucuri
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaRamón Salado Lucena
 

Similar a Seguridad WordPress en Sevilla (20)

Owasp 6 Seguridad en WordPress
Owasp 6  Seguridad en WordPressOwasp 6  Seguridad en WordPress
Owasp 6 Seguridad en WordPress
 
Webinar Codemotion 2020 - Piratas del Cloud
Webinar Codemotion 2020 - Piratas del CloudWebinar Codemotion 2020 - Piratas del Cloud
Webinar Codemotion 2020 - Piratas del Cloud
 
Estrategias y herramientas digitales para profesionales
Estrategias y herramientas digitales para profesionalesEstrategias y herramientas digitales para profesionales
Estrategias y herramientas digitales para profesionales
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?
Ciberseguridad en el Cloud - ¿Y es que eso no puede hacerlo otro?
 
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasIntroducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
20190427 arquitectura de microservicios con contenedores
20190427 arquitectura de microservicios con contenedores20190427 arquitectura de microservicios con contenedores
20190427 arquitectura de microservicios con contenedores
 
Cambio del trabajo colaborativo con aplicaciones online (Social Business)
Cambio del trabajo colaborativo con aplicaciones online (Social Business)Cambio del trabajo colaborativo con aplicaciones online (Social Business)
Cambio del trabajo colaborativo con aplicaciones online (Social Business)
 
Conferencia claves negocios exitosos-lima peru-version1
Conferencia claves negocios exitosos-lima peru-version1Conferencia claves negocios exitosos-lima peru-version1
Conferencia claves negocios exitosos-lima peru-version1
 
SEO Negativo. Cómo detectarlo y pasos para defenderte
SEO Negativo. Cómo detectarlo y pasos para defenderteSEO Negativo. Cómo detectarlo y pasos para defenderte
SEO Negativo. Cómo detectarlo y pasos para defenderte
 
Svt cloud security services - Catalogo de Servicios
Svt cloud security services - Catalogo de ServiciosSvt cloud security services - Catalogo de Servicios
Svt cloud security services - Catalogo de Servicios
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
 
Webinar Aceleración.com - Estrategias Omnicanal y Trascendiendo el Multicanal
Webinar Aceleración.com - Estrategias Omnicanal y Trascendiendo el MulticanalWebinar Aceleración.com - Estrategias Omnicanal y Trascendiendo el Multicanal
Webinar Aceleración.com - Estrategias Omnicanal y Trascendiendo el Multicanal
 
Guía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPressGuía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPress
 
10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP 10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
 
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu Negocio
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu NegocioSeguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu Negocio
Seguridad para Agencias de Desarrollo Web: Protege tus Clientes y tu Negocio
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers Sevilla
 

Más de QuantiKa14

PEGASUS MI ARMA
PEGASUS MI ARMAPEGASUS MI ARMA
PEGASUS MI ARMAQuantiKa14
 
Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020QuantiKa14
 
Ciberacoso, casos reales
Ciberacoso, casos realesCiberacoso, casos reales
Ciberacoso, casos realesQuantiKa14
 
Tacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataQuantiKa14
 
Prueba digital y casos reales de peritaje informático
Prueba digital y casos reales de peritaje informáticoPrueba digital y casos reales de peritaje informático
Prueba digital y casos reales de peritaje informáticoQuantiKa14
 
Ciberacoso por Jorge Coronado
Ciberacoso por Jorge CoronadoCiberacoso por Jorge Coronado
Ciberacoso por Jorge CoronadoQuantiKa14
 
Casos reales usando OSINT
Casos reales usando OSINTCasos reales usando OSINT
Casos reales usando OSINTQuantiKa14
 
Forense informático a WordPress y Whatsapp usando aplicaciones open source
Forense informático a WordPress y Whatsapp usando aplicaciones open sourceForense informático a WordPress y Whatsapp usando aplicaciones open source
Forense informático a WordPress y Whatsapp usando aplicaciones open sourceQuantiKa14
 
Forense en WordPress
Forense en WordPressForense en WordPress
Forense en WordPressQuantiKa14
 
Ciberseguridad para padres y madres
Ciberseguridad para padres y madresCiberseguridad para padres y madres
Ciberseguridad para padres y madresQuantiKa14
 
Ciberseguridad para institutos
Ciberseguridad para institutosCiberseguridad para institutos
Ciberseguridad para institutosQuantiKa14
 
Gestión de proyectos con Trello sin tener que ser software
Gestión de proyectos con Trello sin tener que ser softwareGestión de proyectos con Trello sin tener que ser software
Gestión de proyectos con Trello sin tener que ser softwareQuantiKa14
 
La guía para prevenir el ransomware en empresas
La guía para prevenir el ransomware en empresasLa guía para prevenir el ransomware en empresas
La guía para prevenir el ransomware en empresasQuantiKa14
 
Cuando la imagen está en peligro: herramientas legales y recursos más allá de...
Cuando la imagen está en peligro: herramientas legales y recursos más allá de...Cuando la imagen está en peligro: herramientas legales y recursos más allá de...
Cuando la imagen está en peligro: herramientas legales y recursos más allá de...QuantiKa14
 
¿Qué es la ciberdelincuencia de género?
¿Qué es la ciberdelincuencia de género?¿Qué es la ciberdelincuencia de género?
¿Qué es la ciberdelincuencia de género?QuantiKa14
 
Perito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género IPerito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género IQuantiKa14
 
Cómo crear tu propio Shodan con Python
Cómo crear tu propio Shodan con PythonCómo crear tu propio Shodan con Python
Cómo crear tu propio Shodan con PythonQuantiKa14
 
Ataque masivo a WordPress con ILLOWP
Ataque masivo a WordPress con ILLOWPAtaque masivo a WordPress con ILLOWP
Ataque masivo a WordPress con ILLOWPQuantiKa14
 

Más de QuantiKa14 (19)

PEGASUS MI ARMA
PEGASUS MI ARMAPEGASUS MI ARMA
PEGASUS MI ARMA
 
Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020
 
Ciberacoso, casos reales
Ciberacoso, casos realesCiberacoso, casos reales
Ciberacoso, casos reales
 
Tacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big data
 
Prueba digital y casos reales de peritaje informático
Prueba digital y casos reales de peritaje informáticoPrueba digital y casos reales de peritaje informático
Prueba digital y casos reales de peritaje informático
 
Ciberacoso por Jorge Coronado
Ciberacoso por Jorge CoronadoCiberacoso por Jorge Coronado
Ciberacoso por Jorge Coronado
 
Casos reales usando OSINT
Casos reales usando OSINTCasos reales usando OSINT
Casos reales usando OSINT
 
Forense informático a WordPress y Whatsapp usando aplicaciones open source
Forense informático a WordPress y Whatsapp usando aplicaciones open sourceForense informático a WordPress y Whatsapp usando aplicaciones open source
Forense informático a WordPress y Whatsapp usando aplicaciones open source
 
Ciberacoso
CiberacosoCiberacoso
Ciberacoso
 
Forense en WordPress
Forense en WordPressForense en WordPress
Forense en WordPress
 
Ciberseguridad para padres y madres
Ciberseguridad para padres y madresCiberseguridad para padres y madres
Ciberseguridad para padres y madres
 
Ciberseguridad para institutos
Ciberseguridad para institutosCiberseguridad para institutos
Ciberseguridad para institutos
 
Gestión de proyectos con Trello sin tener que ser software
Gestión de proyectos con Trello sin tener que ser softwareGestión de proyectos con Trello sin tener que ser software
Gestión de proyectos con Trello sin tener que ser software
 
La guía para prevenir el ransomware en empresas
La guía para prevenir el ransomware en empresasLa guía para prevenir el ransomware en empresas
La guía para prevenir el ransomware en empresas
 
Cuando la imagen está en peligro: herramientas legales y recursos más allá de...
Cuando la imagen está en peligro: herramientas legales y recursos más allá de...Cuando la imagen está en peligro: herramientas legales y recursos más allá de...
Cuando la imagen está en peligro: herramientas legales y recursos más allá de...
 
¿Qué es la ciberdelincuencia de género?
¿Qué es la ciberdelincuencia de género?¿Qué es la ciberdelincuencia de género?
¿Qué es la ciberdelincuencia de género?
 
Perito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género IPerito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género I
 
Cómo crear tu propio Shodan con Python
Cómo crear tu propio Shodan con PythonCómo crear tu propio Shodan con Python
Cómo crear tu propio Shodan con Python
 
Ataque masivo a WordPress con ILLOWP
Ataque masivo a WordPress con ILLOWPAtaque masivo a WordPress con ILLOWP
Ataque masivo a WordPress con ILLOWP
 

Seguridad WordPress en Sevilla

  • 1. SEGURIDAD EN WORDPRESS BY @JORGEWEBSEC 10/29/2015www.quantika14.com 1
  • 2. ¿QUIÉN SOY? • SOCIO FUNDADOR DE LA EMPRESA DE SEGURIDAD INFORMÁTICA @QUANTIKA14 • PENTESTER /EXPERTO EN SEGURIDAD WEB. • FUNDADOR DEL PROYECTO WORDPRESSA. • COLABORADOR EN LA RADIO DE CANALSUR LOS MARTES A LAS 12:00 • ORGANIZADOR DEL MEETUP HACKING SEVILLA Y PYTHON SEVILLA 10/29/2015www.quantika14.com 2 @JorgeWebsec
  • 3. TAMBIÉN SOY DUEÑO DE UN MARAVILLOSO RINCÓN DE SEVILLA INVITADOS A UNA CERVEZA LAS MEJORES PREGUNTAS… 10/29/2015www.quantika14.com 3
  • 4. PROYECTO WORDPRESSA EXPERTOS EN SEGURIDAD WP • ANEXO PRESENTACIÓN: HTTP://ES.SLIDESHARE.NET/QUANTIKACATORCE/P ROYECTO-WORDPRESSA- QUANTIKA14?QID=EF7D373A-34BF-433D- A742- 606834817924&V=QF1&B=&FROM_SEARCH =1 10/29/2015www.quantika14.com 4
  • 5. LA SEGURIDAD INFORMÁTICA ES EL PROCESO DE ASEGURAR UN SISTEMA REDUCIENDO LAS VULNERABILIDADES, USANDO UNAS BUENAS CONFIGURACIONES Y CONCIENCIANDO DE LA PROTECCIÓN DE LOS DATOS. 10/29/2015www.quantika14.com 5 FORTIFICACIÓN PONER BARRERAS Y DIFICULTADES PARA QUE UN ATACANTE NO PUEDE REALIZAR UNA INTRUSIÓN EN LOS SISTEMAS.
  • 6. LA SEGURIDAD DE INFORMACIÓN ES EL FUTURO YA PRESENTE… 10/29/2015www.quantika14.com 6
  • 7. LA TECNOLOGÍA WEB • INTRANETS DE GRANDES ALMACENES, EMPRESAS, PEQUEÑOS NEGOCIOS… • BANCOS… • SUPERMERCADOS Y TIENDAS ONLINE… • EMPRESAS PÚBLICAS… • AYUNTAMIENTOS… • PARTIDOS POLÍTICOS… 10/29/2015www.quantika14.com 7
  • 8. Y MUCHOS, MUCHOS USAN WORDPRESS ¿QUIÉNES LO USARÁN? 10/29/2015www.quantika14.com 8
  • 9. PARTIDOS POLÍTICOS • PODEMOS.INFO • PSOEANDALUCIA.ES • VOXESPANA.ES • PPMADRID.ES 10/29/2015www.quantika14.com 9
  • 10. PERIODICOS ONLINE • ANDALUCIADIARIO.ES • ELDIARIO.ES/ESCOLAR • LAVANGUARDIA.COM 10/29/2015www.quantika14.com 10
  • 11. EMPRESAS… • EBAY • PLAYSTATION • FIREFOX • OUTBRAIN 10/29/2015www.quantika14.com 11
  • 12. OTROS… • JUNTA DE ANDALUCIA • JUSTIN BIEBER • ELTIEMPO.ES 10/29/2015www.quantika14.com 12
  • 15. ¿POR QUÉ? • MUCHOS DATOS DE TODOS ESTÁN ALMACENADOS EN PÁGINAS WEBS CON WORDPRESS • UNA MALA SEGURIDAD PUEDE CONVERTIR UNA WEB EN UNA MAQUINA DE ATAQUE CONTRA OTRAS.(BOTS) • ALMACENAMIENTO DE MALWARE. • ALMACENAMIENTO DE DATOS (PORNOGRAFÍA, FAKES, ETC) 10/29/2015www.quantika14.com 15
  • 16. SI TE INTERESA LA SEGURIDAD SIGUE EN TWITTER: @WPSECURITY_ES • MULTIHOST CON BUENA SEGURIDAD. • UNA INSTALACIÓN CON BUENAS PAUTAS DE SEGURIDAD. • USO DE PLUGINS Y THEMES NO VULNERABLES. • ACTUALIZACIÓN CONSTANTE. • CORTAFUEGOS Y ANTIVIRUS… • COPIAS DE SEGURIDAD 10/29/2015www.quantika14.com 16
  • 17. ¿COMPARTIR HOSTING? • DE ENTRADA NO ES BUENA IDEA. • SI NO EXISTE UNA BUENA SEGURIDAD UN REVERSE IP PUEDE SER MORTAL. TU WEB NO, PERO TU VECINO???? • SEGÚN YO: • CDMON • COMALIS 10/29/2015www.quantika14.com 17
  • 19. UNA BUENA INSTALACIÓN ES UN COMINZO 10/29/2015www.quantika14.com 19
  • 20. INSTALACIÓN • PREFIJO DE BASE DE DATOS LARGO, ALFANUMERICO Y SIMBOLOS (SI PUEDES) • EL USER Y PASS DEL USUARIO MYSQL NO SEA ROOT / ROOT (POR FAVOR) 10/29/2015www.quantika14.com 20
  • 21. PERMISOS EN WP • 0644 PARA LOS NIVELES SUPERIORES, ESTO ES LA RAÍZ DEL SITIO Y TODOS LOS FICHEROS QUE ESTÉN AHÍ SITUADOS. • 0755 PARA LAS TRES CARPETAS (WP-ADMIN, WP-CONTENT, WP-INCLUDES). • 0755 PARA LAS CARPETAS UPLOADS Y PLUGINS (EN ALGUNOS CASOS 775, DEPENDE DE CONFIGURACIÓN DEL SERVIDOR) • 0666 PARA TU TEMA DE WORDPRESS EN CASO DE QUE QUIERAS QUE SEA EDITABLE DESDE EL ESCRITORIO. 10/29/2015www.quantika14.com 21
  • 23. WP-CONFIG.PHP • DEFINE(‘DISALLOW_FILE_EDIT’, TRUE); //BLOQUEA MODIFICACIONES EN ARCHIVOS A TRAVÉS DEL EDITOR... • DEFINE(‘DISALLOW_FILE_MODS’,TRUE); //NO PERMITE SUBIR PLUGINS Y THEMES. • SI EL SERVIDOR ACEPTA SSL --> DEFINE(‘FORCE_SSL_ADMIN’, TRUE); 10/29/2015www.quantika14.com 23
  • 24. CAMBIAR DIRECTORIO WP-CONFIG • QUITA LA INFORMACIÓN DE LA DB Y SITÚALA EN UN DIRECTORIO PROTEGIDO. • <?PHP INCLUDE("/HOME/USER/WP- CONFIG.PHP");?> 10/29/2015www.quantika14.com 24
  • 25. HTACCESS • EVITAR ACCESO AL WP-CONFIG • DESACTIVAR TRACE DE HTTP • EVITAR VISUALIZACIÓN Y EJECUCIÓN DE DIRECTORIOS • FILTRADO DE IP?? 10/29/2015www.quantika14.com 25
  • 26. EN CASO DE ATAQUE ZOMBIE… DEBEMOS PROTEGERNOS 10/29/2015www.quantika14.com 26
  • 27. LIMITAR ACCESO CON HTACCESS BLOQUEAR IPS PERMITIR A X IP 10/29/2015www.quantika14.com 27
  • 28. PROTEGERSE CONTRA FUERZA BRUTA CONTRA LOS HULK ZOMBIES LO MEJOR ES… 10/29/2015www.quantika14.com 28
  • 29. CONTRA UN ATAQUE DE FUERA BRUTA • LIMITAR LAS PETICIONES DE INTENTOS A 3 POR EJEMPLO. • BANNEAOS DE IPS • UN BUEN CAPTCHA • CAMBIAR LOS DIRECTORIOS DE WORDPRESS 10/29/2015www.quantika14.com 29
  • 30. ITHEMES SECURITY CONTRA BRUTE FORCE 10/29/2015www.quantika14.com 30
  • 32. PLUGIN CAPTCHA ON LOGIN 10/29/2015www.quantika14.com 32
  • 33. NO USES PLUGINS VULNERABLES WORDPRESSA EN ESO ES EL MEJOR BASE DE DATOS PROPIA 10/29/2015www.quantika14.com 33
  • 34. BASE DE DATOS DE PLUGINS Y THEMES VULNERABLES • HTTPS://WPVULNDB.COM/ • HTTP://WORDPRESSA.QUANTIKA14.COM/REPOSITORY • HTTP://WWW.1337DAY.COM/ • HTTPS://WWW.EXPLOIT-DB.COM/ 10/29/2015www.quantika14.com 34
  • 35. WORDPRESSA ES MUCHO MÁS DOCUMENTACIÓN, FORMACIÓN, PLUGINS DE SEGURIDAD, TUTORIALES, LABORATORIOS, ETC 10/29/2015www.quantika14.com 35
  • 36. WORDPRESSA CHALLENGE UN PLUGIN PARA APRENDER A ATACAR LOS WORDPRESS… 10/29/2015www.quantika14.com 36
  • 37. COMO SABER SI TENGO MALWARE FÁCILMENTE… • - HTTPS://SITECHECK.SUCURI.NET/ • - CODEGUARD • - PLUGINS ANTIVIRUS 10/29/2015www.quantika14.com 37
  • 38. PLUGINS ANTIVIRUS • HTTPS://WORDPRESS.ORG/PLUGINS/ANTIVIRUS/ • ITHEMES SECURITY • HTTPS://WORDPRESS.ORG/PLUGINS/WP-ANTIVIRUS-SITE-PROTECTION/ 10/29/2015www.quantika14.com 38
  • 39. COPIAS DE SEGURIDAD LA MEJOR COPIA DE SEGURIDAD HAZLA TU E INTENTA QUE SEA A MENUDO. SI NO, ITHEMES SECURITY Y XCLONER PLUGINS. 10/29/2015www.quantika14.com 39
  • 40. PREGUNTAS 10/29/2015www.quantika14.com 40 Contacto: - jorge@quantika14.com - Twiiter: @JorgeWebsec - Quantika14: - info@quantika14.com - Twiiter: @QuantiKa14 - www.quantika14.com SEGURIDAD EN WORDPRESS EN SEVILLA: WORDPRESSA.QUANTIKA14.COM
  • 41. GRACIAS POR VUESTRA ATENCIÓN Y RECUERDEN QUE CADA VEZ QUE SE DICE “CIBER” UNIDO A OTRA PALABRA MUERE UN GATITO. 10/29/2015www.quantika14.com 41 Y VIVA…