SlideShare una empresa de Scribd logo

WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS

ESET España
ESET España

Desde siempre en ESET España hemos promovido la idea de que un factor fundamental en la seguridad informática es la concienciación y la educación tanto de usuarios como de ingenieros, administradores o personal técnico de nuestra empresa. Por eso desde el Departamento de Sistemas hemos elaborado este documento en el que podréis encontrar los motivos por los que debemos tener en cuenta la seguridad a la hora de trabajar con uno de los gestores de contenidos más populares del panorama actual, WordPress.

Software
1 de 7
Descargar para leer sin conexión
WHITEPAPER AUMENTANDO LA SEGURIDAD DE WORDPRESS
ESET / WHITEPAPER 2015 / WORDPRESSESET / WHITEPAPER 2015 / WORDPRESS 32 Índice Overview 4 Introducción 5 • ¿Qué es un CMS? • ¿Quién usa WordPress? • Vulnerabilidades en WordPress Medidas de seguridad básicas 6 - 7 • Mantener WordPress y plugins actualizados • Desinstalar temas y plugins que no usamos • Doble factor de autenticación • Forzar contraseñas robustas • Copia de seguridad del sitio • Antivirus en el servidor • Permisos correctos en el servidor Medidas de seguridad avanzadas 8 - 9 • Protección contra fuerza bruta • Forzar SSL en el login • Bloquear“user agents” maliciosos • Renombrar y cambiar ID del usuario“admin” • Bloquear ejecución de código en la carpeta uploads • Bloquear métodos http innecesarios Ocultando nuestro WordPress 10 - 11 • Cambiar URL del administrador • Detección y bloqueo de errores 404 consecutivos • Cambiar mensajes de error por defecto • Renombrar y cambiar ID del usuario“admin” • Eliminar cabeceras informativas de WordPress y componentes • Bloquear el acceso a archivos de WordPress Soluciones automáticas 12 • Plugins • ESET Secure Authentication • Web Application Firewalls Conclusiones 12
ESET / WHITEPAPER 2015 / WORDPRESSESET / WHITEPAPER 2015 / WORDPRESS 54 Desde siempre en ESET España hemos promovido la idea de que un factor fundamental en la seguridad informática es la concienciación y la educación tanto de usuarios como de ingenieros, administradores o personal técnico de nuestra empresa. En este documento encontrareis los motivos por los que debemos te- ner en cuenta la seguridad a la hora de trabajar con uno de los ges- tores de contenidos más populares del panorama actual, WordPress, y orientaremos tanto a los usuarios como a los administradores con algunos pasos a seguir y medidas de seguridad a tener en cuenta a la hora de implementar este tipo de sistemas. Overview ¿Qué es un CMS? Los CMS o Content Management System son programas informáticos diseñados para facilitar el manejo y la visualización de contenidos ge- neralmente utilizados para la creación de portales web, blogs, foros, etc. Los CMS más conocidos dentro del mundo de la creación de webs son WordPress, Joomla! y Drupal, y por ello vamos a dedicar este White Pa- per a hablar de un aspecto tan importante como es la seguridad en el más utilizado de ellos: WordPress. Introducción ¿Quién usa WordPress? Gracias a la versatilidad y a la comodidad que los CMS proporcionan tanto a los administradores de las webs como a los creadores de con- tenido, su uso está altamente extendido a lo largo y ancho de Internet. Los últimos estudios realizados al respecto dicen que aproximadamen- te el 55% de los CMS utilizados en Internet son WordPress y además calculan que existen más de 14 millones de sitios web creados a partir de este gestor de contenidos. Vulnerabilidades en WordPress Debido a su amplia extensión, WordPress es cada día más objetivo de ciberdelincuentes que intentan encontrar y explotar vulnerabilidades de todo tipo en estos sistemas. En la actualidad podemos encontrar vulnerabilidades publicadas tanto en el propio CMS como en los te- mas, plugins y todo tipo de piezas de software adicionales que continuamente se utilizan en la creación y configuración de sitios web. ! 55%
ESET / WHITEPAPER 2015 / WORDPRESSESET / WHITEPAPER 2015 / WORDPRESS 76 Como hemos visto hasta el momento, WordPress ofrece a usuarios y administradores una gran comodidad a la hora de mantener y gestionar las páginas web, pero debido a su popu- laridad debemos tomar medidas de seguridad adicionales si queremos mantener nuestros sitios web seguros. Medidas de seguridad básicas Mantener WordPress y plugins actualizados Los desarrolladores de WordPress trabajan continuamente para mejortar la seguridad de su CMS y lo mismo ocurre con los temas y plugins. Por este motivo una medida de seguridad de vital importancia es mantener siempre nuestros sitios web bien actualizados para evitar que nos afecten antiguas vulnerabilidades en cualquier componente o en el propio CMS. Desinstalar temas y plugins que no usamos Los gestores de contenidos traen por defecto varios temas o plugins instalados, incluso los administra- dores tienden a dejar instalados plugins o temas que en algún momento usaron en el sitio. Una buena práctica es la desinstalación total de los componentes que no se usan en nuestras webs para minimizar los vectores de ataque que tendremos que proteger. Doble factor de autenticación Bien es sabido que en la actualidad el simple uso de una contraseña ya no es suficiente para certificar la seguridad de un acceso, por ello es recomendable usar doble factor de autenticación en nuestros sitios web. Existen muchos tipos de sistemas de autenticación de doble factor como por ejemplo la autenticación biométrica o los tokens físicos o virtuales, entre muchos otros. En ESET España recomendamos el uso de ESET Secure Authentication para mejorar la seguridad de WordPress en este aspecto. Forzar contraseñas robustas A pesar de utilizar doble factor de autenticación sigue siendo impor- tante que todas las contraseñas sean robustas, con lo que es una buena práctica forzar a todos los usuarios deWordPress a que así sea. Existen infinidad de plugins que facilitan esta tarea. Copia de seguridad del sitio Las copias de seguridad no son una medida de fortificación pero sí una importantísima medida de recuperación ante desastres, con lo que recomendamos encarecidamente tener siempre las copias al día. Antivirus en el servidor Muchos de los ataques a páginas web tienen como objetivo subir ficheros al servidor que pueden ser detectados y eliminados por un antivirus. Permisos correctos en el servidor Como se explica en el punto anterior, algunos ataques intentan subir archivos maliciosos o ilegítimos al servidor. Una simple y muy buena medida de seguridad es no dar permisos de escritura al servidor web (Apache, Nginx, IIS…) en las carpetas del si- tio donde no sea estrictamente necesario. 1 2 3 4 5 6 7
ESET / WHITEPAPER 2015 / WORDPRESSESET / WHITEPAPER 2015 / WORDPRESS 98 Como hemos visto hasta el momento, WordPress ofrece a usuarios y administradores una gran comodidad a la hora de mantener y gestionar las páginas web, pero debido a su popu- laridad debemos tomar medidas de seguridad adicionales si queremos mantener nuestros sitios web seguros. Medidas de seguridad avanzadas Protección contra fuerza bruta Además de las recomendaciones anteriores en relación a las contraseñas, es importante controlar y bloquear los ataques de fuerza bruta (se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso) lo antes posible en la página de login de nuestro WordPress. Para ello existen plugins que nos facilitan la tarea, o a un nivel más bajo, existen aplicaciones que se encargan de leer e interpretar los logs en busca de este tipo de ataques y tomar medidas de contención al respecto, como por ejemplo fail2ban en servidores Linux. 1 Forzar SSL en el login Si nuestros usuarios se tienen que conectar al Dashboard desde redes públicas o inseguras, es impor- tante forzar que la conexión sea bajo https para evitar ataques de MITM (Man in the middle). 2 Bloquear “user agents” maliciosos Una buena medida de seguridad para evitar rastreos o ataques automatizados es bloquear las peti- ciones que provengan de user agents conocidamente maliciosos, como por ejemplo el user agent por defecto de herramientas como Acunetix, Nikto o similares. Como en casi todos los ejemplos que aparecen en este documento, esta medida se puede adoptar de diferentes modos, uno de ellos es a través del .htaccess con las siguientes líneas: 3 RewriteCond %{HTTP_USER_AGENT} ^USERAGENT default [NC,OR] RewriteRule ^.* - [F] Renombrar y cambiar ID del usuario “admin” Por defecto en WordPress el ID del usuario admin es el 1. Muchas vul- nerabilidades usan este dato para elevar privilegios de otros usuarios. Si cambiamos el ID del admin o incluso el nombre del usuario evitare- mos muchos problemas de este tipo. 4 Bloquear ejecución de código en la carpe- ta uploads La mayoría de plugins, temas y el propio CMS cuando suben un archi- vo al servidor, lo hacen a la carpeta“uploads”. Esto significa que en la mayoría de los casos esta carpeta tendrá permisos de escritura para el servidor web. Con lo cual la mayoría de ataques que tengan como objetivo subir un fichero con código php para ejecutarlo de forma ilegítima en nuestro servidor irán dirigidos a este directorio. Para evitar queApache ejecute código en esta carpeta en el .htaccess colocaremos la siguiente línea: 5 Bloquear métodos http innecesarios La navegación a través de un WordPress no necesita ni de lejos todas las funcionalidades que ofrece el protocolo HTTP. Los métodos Trace, Delete y Track no son utilizados y pueden ser ob- jetivo o herramienta para realizar distintos tipos de ataques. Siguiendo la filosofía de uno de los puntos anteriores, si no lo vamos a usar mejor deshabilitarlo con la siguiente línea en el .htaccess: 6 RewriteRule ^(.*)/uploads/(.*).php(.?) - [F] RewriteCond %{REQUEST_METHOD} ^(TRACE|DELETE|TRACK) [NC]
ESET / WHITEPAPER 2015 / WORDPRESSESET / WHITEPAPER 2015 / WORDPRESS 1110 Debido a la gran popularidad de este gestor de contenidos, existen centenares de vulnerabilidades ya conocidas. Por este motivo nos será muy útil ocultar todo lo posible la identidad real de nuestra web. Ocultando nuestro WordPress Cambiar URL del administrador La URL de acceso al Dashboard por defecto en WordPress es“http://mipagina.es/ wp-admin”. Si esta dirección existe ya de por sí nos da el dato de que la página está hecha con WordPress, pero, además, le da al atacante acceso directamente a la página de login de nuestra web. RewriteRule ^/loginwp/?$ /wp-login.php [QSA,L] Detección y bloqueo de errores 404 consecutivos Cuando un atacante intenta descubrir el contenido de nuestra web suele usar varias técnicas como fuzzing o spi- ders web. Casi todas tienen una característica en común, que es que incurren muchas veces en errores 404. Es decir, si desde el mismo origen tenemos muchos errores 404 consecutivos podemos considerarlo un ataque y bloquear al origen en nuestro servidor. Combinado con la medida anterior, además de ocultar el acceso al Dashboard, bloquearemos la IP de los atacan- tes que intenten encontrarlo mediante este tipo de técnicas. Cambiando esta dirección conseguimos ocultar ambas cosas y combinándolo con el punto siguiente podemos detectar y bloquear atacantes de forma permanente. Como siempre esta medida se puede adoptar de diferentes formas, pero la más sencilla es a través del .htaccess redireccionando las peticiones de la URL de login a otra de nuestra elección. En el siguiente ejemplo dejamos“http://mipagina.es/loginwp” como URL de acceso al Dashboard: ! Cambiar mensajes de error por defecto Como casi todos los sistemas, WordPress también tiene sus propios mensajes de error. Un atacante con experiencia podría identificarlos y tirar por tierra toda nuestra estrategia de ocultación. Se recomienda cambiar o eliminar todos los mensajes de error por defecto del CMS. Eliminar cabeceras informativas de WordPress y componentes Todos los componentes de WordPress, al igual que el propio CMS, tienen archivos o partes de archivos, generalmente cabeceras, donde identifican al componente y la versión utilizada. Es recomendable siempre que sea posible eliminar este tipo de información o en todo caso falsearla para dificultar la labor de los atacantes y repeler ataques automatizados. Bloquear el acceso a archivos de WordPress Todos los componentes de WordPress, al Todos los CMS contienen archivos dirigidos a una labor especí- fica como por ejemplo la instalación, la actualización o el típico“readme” que no son en absoluto necesa- rios para el correcto funcionamiento de la web una vez puesta en producción. Es altamente recomendable ocultar este tipo de archivos para que no sea posible acceder a ellos desde el navegador, ya que pueden dar información valiosa a los atacantes. NOTA: se pueden eliminar, pero cuando actualicemos el CMS o los componentes volverán a crearse. Para bloquear el acceso a estos ficheros pondremos las siguientes líneas en el .htaccess sustituyendo “readme.html” por todos los ficheros que queremos ocultar. Los más comunes son: readme.html, readme.txt, install.php, wp-config.php <files readme.html> Order allow,deny Deny from all </files>
ESET / WHITEPAPER 2015 / WORDPRESS 12 Todas las medidas se pueden aplicar de forma manual pero existen muchos métodos que nos facilitan la labor, como pueden ser aplicaciones específicas para el servidor o plugins para el propio CMS. Plugins Existen muchos plugins de seguridad para WordPress que nos automatizan prácticamente todas las medidas de seguridad descritas anteriormente,como pueden ser iThemes Security oWordfence Security o BackUpWordPress. ESET Secure Authentication ESET Secure Authentication proporciona más seguridad en el acceso remoto a la red y la información de la em- presa, de forma totalmente sencilla. Incorpora un programa para móviles que ofrece una contraseña de doble factor y un solo uso (2FA OTP). Las OTPs que utiliza se generan aleatoriamente, por lo que no se pueden predecir o reutilizar. Web Application Firewalls Los WAF funcionan de forma parecida a los firewalls tradicionales. Se colocan en medio del flujo de datos e inter- ceptan, examinan y actúan sobre el tráfico dependiendo de unas condiciones. De forma gratuita podemos instalar el módulo Mod_Security a Apache ,que actúa como tal. Soluciones automáticas Conclusiones Los sistemas como los CMS son muy útiles, ya que nos facilitan muchísimo la vida tanto a administradores como a desarrolladores y a usuarios a la hora de crear y mantener sitios web, pero debido a su popularidad debemos hacer especial hincapié en su seguridad. A pesar de implementar mucha seguridad por defecto gracias al trabajo de los desarrolladores de este tipo de sistemas, debemos aplicar medidas extra de fortificación para asegurarnos de que nuestros sitios web no se van a ver comprometidos. @eset_es fb.com/Eset.Espana

Recomendados

Estudio sobre el uso de WordPress en 2016
Estudio sobre el uso de WordPress en 2016Estudio sobre el uso de WordPress en 2016
Estudio sobre el uso de WordPress en 2016
Webempresa.com
 
Webinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS WebWebinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS Web
Alonso Caballero
 
Guía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPressGuía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPress
webempresa.com
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Sucuri
 
WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]
QuantiKa14
 
Seguridad en WordPress
Seguridad en WordPressSeguridad en WordPress
Seguridad en WordPress
Francisco Javier Mateo Ariza
 
Wordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressWordpressa - Hardening en Wordpress
Wordpressa - Hardening en Wordpress
QuantiKa14
 
Curso basicoseguridadweb slideshare6
Curso basicoseguridadweb slideshare6Curso basicoseguridadweb slideshare6
Curso basicoseguridadweb slideshare6
tantascosasquenose
 

Recomendados

Estudio sobre el uso de WordPress en 2016
Estudio sobre el uso de WordPress en 2016Estudio sobre el uso de WordPress en 2016
Estudio sobre el uso de WordPress en 2016
Webempresa.com
 
Webinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS WebWebinar Gratuito: Vulnerabilidades en CMS Web
Webinar Gratuito: Vulnerabilidades en CMS Web
Alonso Caballero
 
Guía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPressGuía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPress
webempresa.com
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Sucuri
 
WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]WordPressA Security Plugin [HighSecCon III]
WordPressA Security Plugin [HighSecCon III]
QuantiKa14
 
Seguridad en WordPress
Seguridad en WordPressSeguridad en WordPress
Seguridad en WordPress
Francisco Javier Mateo Ariza
 
Wordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressWordpressa - Hardening en Wordpress
Wordpressa - Hardening en Wordpress
QuantiKa14
 
Curso basicoseguridadweb slideshare6
Curso basicoseguridadweb slideshare6Curso basicoseguridadweb slideshare6
Curso basicoseguridadweb slideshare6
tantascosasquenose
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
7th_Sign
 
Análisis de Vulnerabilidad en Paginas web
Análisis de Vulnerabilidad en Paginas webAnálisis de Vulnerabilidad en Paginas web
Análisis de Vulnerabilidad en Paginas web
alexmmanco
 
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
RaGaZoMe
 
Manual de instalcion my sql
Manual de instalcion my sqlManual de instalcion my sql
Manual de instalcion my sql
hugofermaga
 
workpress
workpressworkpress
workpress
dianavillafardez
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Raúl Requero García
 
So windows
So windowsSo windows
So windows
Bryan Loaiza T
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
guest80e1be
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
Carlos Fernandez
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP
7th_Sign
 
Wordpresss
WordpresssWordpresss
Wordpresss
Camila Jimenez
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"
Alonso Caballero
 
Wordpress
WordpressWordpress
Wordpress
Te Amo Gabriel
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
Thekarinac
 
06practica servidorseguro
06practica servidorseguro06practica servidorseguro
06practica servidorseguro
Miguel Angel Lopez Torralba
 
1.servidor apache y servidor iis
1.servidor apache y servidor iis1.servidor apache y servidor iis
1.servidor apache y servidor iis
jjsan86
 
Instalacion moodle
Instalacion moodleInstalacion moodle
Instalacion moodle
Oscar Mendez Aguirre
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
Ramón Salado Lucena
 
Proyecto H3m Unisiga2 Proceso Instalacion 5 De 5
Proyecto H3m Unisiga2 Proceso Instalacion 5 De 5Proyecto H3m Unisiga2 Proceso Instalacion 5 De 5
Proyecto H3m Unisiga2 Proceso Instalacion 5 De 5
Franklin Calle Zapata
 
Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"
Alonso Caballero
 
Webinar - Seguridad en WordPress
Webinar - Seguridad en WordPressWebinar - Seguridad en WordPress
Webinar - Seguridad en WordPress
Arsys
 
Cms
CmsCms
Cms
maritza yupanqui
 

Más contenido relacionado

La actualidad más candente

Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
Carlos Fernandez
 
1.servidor apache y servidor iis
1.servidor apache y servidor iis1.servidor apache y servidor iis
1.servidor apache y servidor iis
jjsan86
 

La actualidad más candente (19)

[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Análisis de Vulnerabilidad en Paginas web
Análisis de Vulnerabilidad en Paginas webAnálisis de Vulnerabilidad en Paginas web
Análisis de Vulnerabilidad en Paginas web
 
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
 
Manual de instalcion my sql
Manual de instalcion my sqlManual de instalcion my sql
Manual de instalcion my sql
 
workpress
workpressworkpress
workpress
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
 
So windows
So windowsSo windows
So windows
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Wordpresss
WordpresssWordpresss
Wordpresss
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"
 
Wordpress
WordpressWordpress
Wordpress
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
06practica servidorseguro
06practica servidorseguro06practica servidorseguro
06practica servidorseguro
 
1.servidor apache y servidor iis
1.servidor apache y servidor iis1.servidor apache y servidor iis
1.servidor apache y servidor iis
 
Instalacion moodle
Instalacion moodleInstalacion moodle
Instalacion moodle
 
Owasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPressOwasp 6 Seguridad en WordPress
Owasp 6 Seguridad en WordPress
 
Proyecto H3m Unisiga2 Proceso Instalacion 5 De 5
Proyecto H3m Unisiga2 Proceso Instalacion 5 De 5Proyecto H3m Unisiga2 Proceso Instalacion 5 De 5
Proyecto H3m Unisiga2 Proceso Instalacion 5 De 5
 

Similar a WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS

Presentación wordpress.pdf
Presentación wordpress.pdfPresentación wordpress.pdf
Presentación wordpress.pdf
GonzaloGV
 
Wordpress Overview
Wordpress OverviewWordpress Overview
Wordpress Overview
andres_0403
 

Similar a WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS (20)

Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"
 
Webinar - Seguridad en WordPress
Webinar - Seguridad en WordPressWebinar - Seguridad en WordPress
Webinar - Seguridad en WordPress
 
Cms
CmsCms
Cms
 
Informe sobre WordPress 2015: Seguridad, Velocidad y SEO
Informe sobre WordPress 2015: Seguridad, Velocidad y SEOInforme sobre WordPress 2015: Seguridad, Velocidad y SEO
Informe sobre WordPress 2015: Seguridad, Velocidad y SEO
 
Estudio sobre-el-uso-de-wordpress-2016
Estudio sobre-el-uso-de-wordpress-2016Estudio sobre-el-uso-de-wordpress-2016
Estudio sobre-el-uso-de-wordpress-2016
 
C1_Conceptos básicos de sitios web y su funcionamiento.pdf
C1_Conceptos básicos de sitios web y su funcionamiento.pdfC1_Conceptos básicos de sitios web y su funcionamiento.pdf
C1_Conceptos básicos de sitios web y su funcionamiento.pdf
 
WordPress pilay.pdf
WordPress pilay.pdfWordPress pilay.pdf
WordPress pilay.pdf
 
3. wordpress.org
3. wordpress.org3. wordpress.org
3. wordpress.org
 
Presentación wordpress.pdf
Presentación wordpress.pdfPresentación wordpress.pdf
Presentación wordpress.pdf
 
10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP
 
cw15 conoce wordpress
cw15 conoce wordpresscw15 conoce wordpress
cw15 conoce wordpress
 
Las claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPressLas claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPress
 
Wordpress
WordpressWordpress
Wordpress
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Plataformas del comercio electronico
Plataformas del comercio electronicoPlataformas del comercio electronico
Plataformas del comercio electronico
 
Investigación y comparativa cms
Investigación y comparativa cmsInvestigación y comparativa cms
Investigación y comparativa cms
 
Wordpress Overview
Wordpress OverviewWordpress Overview
Wordpress Overview
 
Monta WordPress en tu empresa
Monta WordPress en tu empresaMonta WordPress en tu empresa
Monta WordPress en tu empresa
 
Wordpress
WordpressWordpress
Wordpress
 
Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.
 

Más de ESET España

Guia de seguridad digital del trabajador
Guia de seguridad digital del trabajadorGuia de seguridad digital del trabajador
Guia de seguridad digital del trabajador
ESET España
 
Informe Cuatrimestral de Seguridad Informática 2014. ESET España
Informe Cuatrimestral de Seguridad Informática 2014. ESET España Informe Cuatrimestral de Seguridad Informática 2014. ESET España
Informe Cuatrimestral de Seguridad Informática 2014. ESET España
ESET España
 

Más de ESET España (10)

Los consejos de mamá aplicados a la seguridad
Los consejos de mamá aplicados a la seguridadLos consejos de mamá aplicados a la seguridad
Los consejos de mamá aplicados a la seguridad
 
¿Alguien está intentando colarse en tu privacidad?
¿Alguien está intentando colarse en tu privacidad?¿Alguien está intentando colarse en tu privacidad?
¿Alguien está intentando colarse en tu privacidad?
 
Ransomware: Historia de una molesta amenaza
Ransomware: Historia de una molesta amenazaRansomware: Historia de una molesta amenaza
Ransomware: Historia de una molesta amenaza
 
Fraude en el mercado online de segunda mano
Fraude en el mercado online de segunda manoFraude en el mercado online de segunda mano
Fraude en el mercado online de segunda mano
 
Guía básica de seguridad para pymes
Guía básica de seguridad para pymesGuía básica de seguridad para pymes
Guía básica de seguridad para pymes
 
Guia de seguridad digital del trabajador
Guia de seguridad digital del trabajadorGuia de seguridad digital del trabajador
Guia de seguridad digital del trabajador
 
Whitepaper - Control de dispositivos extraíbles
Whitepaper - Control de dispositivos extraíblesWhitepaper - Control de dispositivos extraíbles
Whitepaper - Control de dispositivos extraíbles
 
Infografía: ESET protegiendo tu empresa a cualquier nivel
Infografía: ESET protegiendo tu empresa a cualquier nivelInfografía: ESET protegiendo tu empresa a cualquier nivel
Infografía: ESET protegiendo tu empresa a cualquier nivel
 
Informe Anual de Seguridad de ESET España. Amenazas 2014
Informe Anual de Seguridad de ESET España. Amenazas 2014Informe Anual de Seguridad de ESET España. Amenazas 2014
Informe Anual de Seguridad de ESET España. Amenazas 2014
 
Informe Cuatrimestral de Seguridad Informática 2014. ESET España
Informe Cuatrimestral de Seguridad Informática 2014. ESET España Informe Cuatrimestral de Seguridad Informática 2014. ESET España
Informe Cuatrimestral de Seguridad Informática 2014. ESET España
 

Último

Caso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La SalleCaso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La Salle
Ecaresoft Inc.
 

Último (11)

trabajo integrador final sofi y vane.docx
trabajo integrador final sofi y vane.docxtrabajo integrador final sofi y vane.docx
trabajo integrador final sofi y vane.docx
 
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORDFICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
 
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
 
PitchCollabART uniendo talentos, creando maravillas digitales
PitchCollabART uniendo talentos, creando maravillas digitalesPitchCollabART uniendo talentos, creando maravillas digitales
PitchCollabART uniendo talentos, creando maravillas digitales
 
Los desafíos de calidad de software que nos trae la IA y los LLMs
Los desafíos de calidad de software que nos trae la IA y los LLMsLos desafíos de calidad de software que nos trae la IA y los LLMs
Los desafíos de calidad de software que nos trae la IA y los LLMs
 
infografia del sena para analisis y desarrollo de software
infografia del sena para analisis y desarrollo de softwareinfografia del sena para analisis y desarrollo de software
infografia del sena para analisis y desarrollo de software
 
MODULO BASICO DE WORD - I CICLO.DOC.DOC.
MODULO BASICO DE WORD - I CICLO.DOC.DOC.MODULO BASICO DE WORD - I CICLO.DOC.DOC.
MODULO BASICO DE WORD - I CICLO.DOC.DOC.
 
Maquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdfMaquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdf
 
Caso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La SalleCaso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La Salle
 
Escaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equipoEscaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equipo
 
PSICOLOGÍA si quieres aprender los temas principales para el examen de admisión
PSICOLOGÍA si quieres aprender los temas principales para el examen de admisiónPSICOLOGÍA si quieres aprender los temas principales para el examen de admisión
PSICOLOGÍA si quieres aprender los temas principales para el examen de admisión
 

WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS

  • 2. ESET / WHITEPAPER 2015 / WORDPRESSESET / WHITEPAPER 2015 / WORDPRESS 32 Índice Overview 4 Introducción 5 • ¿Qué es un CMS? • ¿Quién usa WordPress? • Vulnerabilidades en WordPress Medidas de seguridad básicas 6 - 7 • Mantener WordPress y plugins actualizados • Desinstalar temas y plugins que no usamos • Doble factor de autenticación • Forzar contraseñas robustas • Copia de seguridad del sitio • Antivirus en el servidor • Permisos correctos en el servidor Medidas de seguridad avanzadas 8 - 9 • Protección contra fuerza bruta • Forzar SSL en el login • Bloquear“user agents” maliciosos • Renombrar y cambiar ID del usuario“admin” • Bloquear ejecución de código en la carpeta uploads • Bloquear métodos http innecesarios Ocultando nuestro WordPress 10 - 11 • Cambiar URL del administrador • Detección y bloqueo de errores 404 consecutivos • Cambiar mensajes de error por defecto • Renombrar y cambiar ID del usuario“admin” • Eliminar cabeceras informativas de WordPress y componentes • Bloquear el acceso a archivos de WordPress Soluciones automáticas 12 • Plugins • ESET Secure Authentication • Web Application Firewalls Conclusiones 12
  • 3. ESET / WHITEPAPER 2015 / WORDPRESSESET / WHITEPAPER 2015 / WORDPRESS 54 Desde siempre en ESET España hemos promovido la idea de que un factor fundamental en la seguridad informática es la concienciación y la educación tanto de usuarios como de ingenieros, administradores o personal técnico de nuestra empresa. En este documento encontrareis los motivos por los que debemos te- ner en cuenta la seguridad a la hora de trabajar con uno de los ges- tores de contenidos más populares del panorama actual, WordPress, y orientaremos tanto a los usuarios como a los administradores con algunos pasos a seguir y medidas de seguridad a tener en cuenta a la hora de implementar este tipo de sistemas. Overview ¿Qué es un CMS? Los CMS o Content Management System son programas informáticos diseñados para facilitar el manejo y la visualización de contenidos ge- neralmente utilizados para la creación de portales web, blogs, foros, etc. Los CMS más conocidos dentro del mundo de la creación de webs son WordPress, Joomla! y Drupal, y por ello vamos a dedicar este White Pa- per a hablar de un aspecto tan importante como es la seguridad en el más utilizado de ellos: WordPress. Introducción ¿Quién usa WordPress? Gracias a la versatilidad y a la comodidad que los CMS proporcionan tanto a los administradores de las webs como a los creadores de con- tenido, su uso está altamente extendido a lo largo y ancho de Internet. Los últimos estudios realizados al respecto dicen que aproximadamen- te el 55% de los CMS utilizados en Internet son WordPress y además calculan que existen más de 14 millones de sitios web creados a partir de este gestor de contenidos. Vulnerabilidades en WordPress Debido a su amplia extensión, WordPress es cada día más objetivo de ciberdelincuentes que intentan encontrar y explotar vulnerabilidades de todo tipo en estos sistemas. En la actualidad podemos encontrar vulnerabilidades publicadas tanto en el propio CMS como en los te- mas, plugins y todo tipo de piezas de software adicionales que continuamente se utilizan en la creación y configuración de sitios web. ! 55%
  • 4. ESET / WHITEPAPER 2015 / WORDPRESSESET / WHITEPAPER 2015 / WORDPRESS 76 Como hemos visto hasta el momento, WordPress ofrece a usuarios y administradores una gran comodidad a la hora de mantener y gestionar las páginas web, pero debido a su popu- laridad debemos tomar medidas de seguridad adicionales si queremos mantener nuestros sitios web seguros. Medidas de seguridad básicas Mantener WordPress y plugins actualizados Los desarrolladores de WordPress trabajan continuamente para mejortar la seguridad de su CMS y lo mismo ocurre con los temas y plugins. Por este motivo una medida de seguridad de vital importancia es mantener siempre nuestros sitios web bien actualizados para evitar que nos afecten antiguas vulnerabilidades en cualquier componente o en el propio CMS. Desinstalar temas y plugins que no usamos Los gestores de contenidos traen por defecto varios temas o plugins instalados, incluso los administra- dores tienden a dejar instalados plugins o temas que en algún momento usaron en el sitio. Una buena práctica es la desinstalación total de los componentes que no se usan en nuestras webs para minimizar los vectores de ataque que tendremos que proteger. Doble factor de autenticación Bien es sabido que en la actualidad el simple uso de una contraseña ya no es suficiente para certificar la seguridad de un acceso, por ello es recomendable usar doble factor de autenticación en nuestros sitios web. Existen muchos tipos de sistemas de autenticación de doble factor como por ejemplo la autenticación biométrica o los tokens físicos o virtuales, entre muchos otros. En ESET España recomendamos el uso de ESET Secure Authentication para mejorar la seguridad de WordPress en este aspecto. Forzar contraseñas robustas A pesar de utilizar doble factor de autenticación sigue siendo impor- tante que todas las contraseñas sean robustas, con lo que es una buena práctica forzar a todos los usuarios deWordPress a que así sea. Existen infinidad de plugins que facilitan esta tarea. Copia de seguridad del sitio Las copias de seguridad no son una medida de fortificación pero sí una importantísima medida de recuperación ante desastres, con lo que recomendamos encarecidamente tener siempre las copias al día. Antivirus en el servidor Muchos de los ataques a páginas web tienen como objetivo subir ficheros al servidor que pueden ser detectados y eliminados por un antivirus. Permisos correctos en el servidor Como se explica en el punto anterior, algunos ataques intentan subir archivos maliciosos o ilegítimos al servidor. Una simple y muy buena medida de seguridad es no dar permisos de escritura al servidor web (Apache, Nginx, IIS…) en las carpetas del si- tio donde no sea estrictamente necesario. 1 2 3 4 5 6 7
  • 5. ESET / WHITEPAPER 2015 / WORDPRESSESET / WHITEPAPER 2015 / WORDPRESS 98 Como hemos visto hasta el momento, WordPress ofrece a usuarios y administradores una gran comodidad a la hora de mantener y gestionar las páginas web, pero debido a su popu- laridad debemos tomar medidas de seguridad adicionales si queremos mantener nuestros sitios web seguros. Medidas de seguridad avanzadas Protección contra fuerza bruta Además de las recomendaciones anteriores en relación a las contraseñas, es importante controlar y bloquear los ataques de fuerza bruta (se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso) lo antes posible en la página de login de nuestro WordPress. Para ello existen plugins que nos facilitan la tarea, o a un nivel más bajo, existen aplicaciones que se encargan de leer e interpretar los logs en busca de este tipo de ataques y tomar medidas de contención al respecto, como por ejemplo fail2ban en servidores Linux. 1 Forzar SSL en el login Si nuestros usuarios se tienen que conectar al Dashboard desde redes públicas o inseguras, es impor- tante forzar que la conexión sea bajo https para evitar ataques de MITM (Man in the middle). 2 Bloquear “user agents” maliciosos Una buena medida de seguridad para evitar rastreos o ataques automatizados es bloquear las peti- ciones que provengan de user agents conocidamente maliciosos, como por ejemplo el user agent por defecto de herramientas como Acunetix, Nikto o similares. Como en casi todos los ejemplos que aparecen en este documento, esta medida se puede adoptar de diferentes modos, uno de ellos es a través del .htaccess con las siguientes líneas: 3 RewriteCond %{HTTP_USER_AGENT} ^USERAGENT default [NC,OR] RewriteRule ^.* - [F] Renombrar y cambiar ID del usuario “admin” Por defecto en WordPress el ID del usuario admin es el 1. Muchas vul- nerabilidades usan este dato para elevar privilegios de otros usuarios. Si cambiamos el ID del admin o incluso el nombre del usuario evitare- mos muchos problemas de este tipo. 4 Bloquear ejecución de código en la carpe- ta uploads La mayoría de plugins, temas y el propio CMS cuando suben un archi- vo al servidor, lo hacen a la carpeta“uploads”. Esto significa que en la mayoría de los casos esta carpeta tendrá permisos de escritura para el servidor web. Con lo cual la mayoría de ataques que tengan como objetivo subir un fichero con código php para ejecutarlo de forma ilegítima en nuestro servidor irán dirigidos a este directorio. Para evitar queApache ejecute código en esta carpeta en el .htaccess colocaremos la siguiente línea: 5 Bloquear métodos http innecesarios La navegación a través de un WordPress no necesita ni de lejos todas las funcionalidades que ofrece el protocolo HTTP. Los métodos Trace, Delete y Track no son utilizados y pueden ser ob- jetivo o herramienta para realizar distintos tipos de ataques. Siguiendo la filosofía de uno de los puntos anteriores, si no lo vamos a usar mejor deshabilitarlo con la siguiente línea en el .htaccess: 6 RewriteRule ^(.*)/uploads/(.*).php(.?) - [F] RewriteCond %{REQUEST_METHOD} ^(TRACE|DELETE|TRACK) [NC]
  • 6. ESET / WHITEPAPER 2015 / WORDPRESSESET / WHITEPAPER 2015 / WORDPRESS 1110 Debido a la gran popularidad de este gestor de contenidos, existen centenares de vulnerabilidades ya conocidas. Por este motivo nos será muy útil ocultar todo lo posible la identidad real de nuestra web. Ocultando nuestro WordPress Cambiar URL del administrador La URL de acceso al Dashboard por defecto en WordPress es“http://mipagina.es/ wp-admin”. Si esta dirección existe ya de por sí nos da el dato de que la página está hecha con WordPress, pero, además, le da al atacante acceso directamente a la página de login de nuestra web. RewriteRule ^/loginwp/?$ /wp-login.php [QSA,L] Detección y bloqueo de errores 404 consecutivos Cuando un atacante intenta descubrir el contenido de nuestra web suele usar varias técnicas como fuzzing o spi- ders web. Casi todas tienen una característica en común, que es que incurren muchas veces en errores 404. Es decir, si desde el mismo origen tenemos muchos errores 404 consecutivos podemos considerarlo un ataque y bloquear al origen en nuestro servidor. Combinado con la medida anterior, además de ocultar el acceso al Dashboard, bloquearemos la IP de los atacan- tes que intenten encontrarlo mediante este tipo de técnicas. Cambiando esta dirección conseguimos ocultar ambas cosas y combinándolo con el punto siguiente podemos detectar y bloquear atacantes de forma permanente. Como siempre esta medida se puede adoptar de diferentes formas, pero la más sencilla es a través del .htaccess redireccionando las peticiones de la URL de login a otra de nuestra elección. En el siguiente ejemplo dejamos“http://mipagina.es/loginwp” como URL de acceso al Dashboard: ! Cambiar mensajes de error por defecto Como casi todos los sistemas, WordPress también tiene sus propios mensajes de error. Un atacante con experiencia podría identificarlos y tirar por tierra toda nuestra estrategia de ocultación. Se recomienda cambiar o eliminar todos los mensajes de error por defecto del CMS. Eliminar cabeceras informativas de WordPress y componentes Todos los componentes de WordPress, al igual que el propio CMS, tienen archivos o partes de archivos, generalmente cabeceras, donde identifican al componente y la versión utilizada. Es recomendable siempre que sea posible eliminar este tipo de información o en todo caso falsearla para dificultar la labor de los atacantes y repeler ataques automatizados. Bloquear el acceso a archivos de WordPress Todos los componentes de WordPress, al Todos los CMS contienen archivos dirigidos a una labor especí- fica como por ejemplo la instalación, la actualización o el típico“readme” que no son en absoluto necesa- rios para el correcto funcionamiento de la web una vez puesta en producción. Es altamente recomendable ocultar este tipo de archivos para que no sea posible acceder a ellos desde el navegador, ya que pueden dar información valiosa a los atacantes. NOTA: se pueden eliminar, pero cuando actualicemos el CMS o los componentes volverán a crearse. Para bloquear el acceso a estos ficheros pondremos las siguientes líneas en el .htaccess sustituyendo “readme.html” por todos los ficheros que queremos ocultar. Los más comunes son: readme.html, readme.txt, install.php, wp-config.php <files readme.html> Order allow,deny Deny from all </files>
  • 7. ESET / WHITEPAPER 2015 / WORDPRESS 12 Todas las medidas se pueden aplicar de forma manual pero existen muchos métodos que nos facilitan la labor, como pueden ser aplicaciones específicas para el servidor o plugins para el propio CMS. Plugins Existen muchos plugins de seguridad para WordPress que nos automatizan prácticamente todas las medidas de seguridad descritas anteriormente,como pueden ser iThemes Security oWordfence Security o BackUpWordPress. ESET Secure Authentication ESET Secure Authentication proporciona más seguridad en el acceso remoto a la red y la información de la em- presa, de forma totalmente sencilla. Incorpora un programa para móviles que ofrece una contraseña de doble factor y un solo uso (2FA OTP). Las OTPs que utiliza se generan aleatoriamente, por lo que no se pueden predecir o reutilizar. Web Application Firewalls Los WAF funcionan de forma parecida a los firewalls tradicionales. Se colocan en medio del flujo de datos e inter- ceptan, examinan y actúan sobre el tráfico dependiendo de unas condiciones. De forma gratuita podemos instalar el módulo Mod_Security a Apache ,que actúa como tal. Soluciones automáticas Conclusiones Los sistemas como los CMS son muy útiles, ya que nos facilitan muchísimo la vida tanto a administradores como a desarrolladores y a usuarios a la hora de crear y mantener sitios web, pero debido a su popularidad debemos hacer especial hincapié en su seguridad. A pesar de implementar mucha seguridad por defecto gracias al trabajo de los desarrolladores de este tipo de sistemas, debemos aplicar medidas extra de fortificación para asegurarnos de que nuestros sitios web no se van a ver comprometidos. @eset_es fb.com/Eset.Espana