SlideShare una empresa de Scribd logo

Seguridad WordPress con OWASP

R
Ramón Salado Lucena

El documento proporciona una guía sobre seguridad en WordPress, cubriendo temas como alojamiento seguro, instalación, hardening del servidor y WordPress con plugins, copias de seguridad, y auditoría. Recomienda mantener WordPress, themes y plugins actualizados, usar contraseñas robustas, ocultar información de versiones, y realizar copias de seguridad periódicas para proteger el sitio WordPress.

Internet
1 de 28
Descargar para leer sin conexión
SEGURIDAD WORDPRESS BY OWASP #OWASPsevilla6@OWASP_Sevilla
#whoami Administración General del Estado Docente Master Social Media Universidad de Sevilla CoLeader OWASP Sevilla CiberCooperante de INCIBE 10 años de experiencia en Sistemas y Seguridad 5 años en Desarrollo y Seguridad en WordPress Ramón Salado @ramon_salado #OWASPsevilla6@OWASP_Sevilla
#OWASPsevilla6@OWASP_Sevilla
SEGURIDAD WORDPRESS BY OWASP • INTRODUCCIÓN A LA SEGURIDAD • ALOJAMIENTO • INSTALACIÓN Y PRIMEROS PASOS • SEGURIDAD DE DIRECTORIOS Y ARCHIVOS • HARDENING SERVIDOR • HARDENING CON PLUGINS • COPIAS DE SEGURIDAD • AUDITORÍA #OWASPsevilla6@OWASP_Sevilla
INTRODUCCIÓN • EQUIPOS SEGUROS • COMUNICACIONES SEGURAS (wifi, vpn, …) • CONTRASEÑAS ROBUSTAS (distintas, doble factor, cambios periódicos, …) • VERIFICAR PERMISOS DE APPS y API´S • BYOD Y TELETRABAJO • ¿ES WP INSEGURO? • ¿QUÉ LO HACE INSEGURO? #OWASPsevilla6@OWASP_Sevilla
ALOJAMIENTO • REPUTACIÓN DEL PROVEEDOR • TIPO DE ALOJAMIENTO (windows o linux, compartido, vps, …) • ESPACIO Y TRANSFERENCIA • SOPORTE • ELEMENTOS TÉCNICOS (cpanel, phpmyadmin, …) • SEGURIDAD #OWASPsevilla6@OWASP_Sevilla
INSTALACIÓN Y PRIMEROS PASOS • CORE, THEMES Y PLUGINS ACTUALIZADOS • NO USER “ADMIN” • UTILIZAR ALIAS DE USUARIO • CONTRASEÑAS FORTIFICADAS • ROLES ADECUADOS • PREFIJOS WP EN BB.DD • WP-ADMIN OCULTO • VERSIONES README • CONTROL DE COMENTARIOS • DESACTIVAR EDICIÓN EN BACK-END • EVITAR COMPLEMENTOS DE “DUDOSA PROCEDENCIA” #OWASPsevilla6@OWASP_Sevilla
ACTUALIZACIONES Un WordPress actualizado con plugins y themes actualizados protege nuestra web de posibles ataque por vulnerabilidades del code o de los complementos utilizados. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
NO DEFAULT -Reducir exposición: Limitar el uso de perfiles con altos privilegios sólo a la propia administración del sitio. (Si sólo quieres publicar una entrada, puedes hacerlo con un usuario básico, no es necesario hacerlo desde ADMINISTRADOR) -Claves robustas y cambio periódico de éstas. (Panel de control, FTP, BD) -No instalar plugins ni themes “piratas”. TODOS incluyen malware y a la larga pueden causarte un gran perjuicio. -No abusar de plugins. Hacen más lenta la carga de la web y también más insegura. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
NO DEFAULT Prefijos wp_ Usuario INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
NO DEFAULT id user =1 -> /?author=1 Utilización de Alias INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
VERSIÓN README Evitamos ofrecer información, dificultando cualquier ataque. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
COMENTARIOS La moderación de comentarios reduce mucho el riesgo de sufrir inyecciones de código a través de los comentarios. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
SEGURIDAD DE DIRECTORIOS Y ARCHIVOS ● RESTRICCIÓN DE ACCESO .htaccess (allow y deny) ● ACCESO A FICHEROS CON sFTP, VPN O TÚNELES SSH ● REVISAR PERMISOS DE CARPETAS Y FICHEROS ● INDEX.PHP VACÍO EN DIRECTORIOS CLAVE #OWASPsevilla6@OWASP_Sevilla #limitar el acceso por IP Order allow, deny Allow from XXX.XXX.XXX.XXX Deny from all
HARDENING SERVIDOR #OWASPsevilla6@OWASP_Sevilla ● APACHE, PHP Y MYSQL ACTUALIZADOS ● DESACTIVAR MÓDULOS INNECESARIOS ● OCULTAR VERSIONES ● WAF (mod_security) ● SSL
HARDENING SERVIDOR #OWASPsevilla6@OWASP_Sevilla
HARDENING WORDPRESS #OWASPsevilla6@OWASP_Sevilla
Es necesario que protejamos de ataques de fuerza bruta el acceso al panel de control, podemos hacerlo configurando las reglas del firewall que incluye Wordfence. Además nos ofrece un log, donde podemos ver todos los sucesos relativos a seguridad de nuestra web y alarmas. WORDFENCE • Configuración ‘default’ muy completa • Incluye varios niveles preconfigurados • Verifica core, themes y plugins con WP • Cortafuegos para bloquear amenazas • Limita intentos de login y uso de blacklist • Visión en tiempo real de todo el tráfico HARDENING CON PLUGINS #OWASPsevilla6@OWASP_Sevilla
ITHEMES SECURITY • Security Check • Cambiar la ruta de /wp-admin • Verifica los permisos de las carpetas • WordPress Tweaks HARDENING CON PLUGINS #OWASPsevilla6@OWASP_Sevilla
• Nos permite deshabilitar las cuentas en periodos de inactividad. • Sistema de doble factor de autenticación • Sistema español diseñado por Eleven Paths LATCH HARDENING CON PLUGINS #OWASPsevilla6@OWASP_Sevilla
SPLOGGERS: usuarios que se registran en blogs con el fin de publicar publicidad en estos #OWASPsevilla6@OWASP_Sevilla HARDENING CON PLUGINS
CloudFlare Prevención DOS / DDOS #OWASPsevilla6@OWASP_Sevilla HARDENING CON PLUGINS
SSL factor de posicionamiento en Google #OWASPsevilla6@OWASP_Sevilla HARDENING CON PLUGINS
COPIAS DE SEGURIDAD Plugins de Backups Es una parte esencial, nos permite programarlos y almacenarlos en la nube o en otro alojamiento. Si ocurre cualquier problema, basta con restaurar una copia anterior. Permite cifrado y automatización. #OWASPsevilla6@OWASP_Sevilla
CONTROL DE INDEXACIÓN DEL CONTENIDO # PoC http://localhost/wp-admin/admin-ajax.php?action=revolution-slider_show_image&img=../wp-config.php # DORK "Index of" /wp-content/plugins/revolution-slider/ Plugin Slider Revolution v < 4.1.4 @OWASP_Sevilla AUDITORÍA #OWASPsevilla6
wpscan, nikto, … #OWASPsevilla6@OWASP_Sevilla AUDITORÍA
WordPress Scanner, Nipper, … #OWASPsevilla6@OWASP_Sevilla AUDITORÍA
Análisis de Malware Wordpress https://sitecheck.sucuri.net/ #OWASPsevilla6@OWASP_Sevilla AUDITORÍA

Recomendados

Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaRamón Salado Lucena
 
[Partner TechForum] 금융 서비스를 위한 블록체인 구축사례 소개
[Partner TechForum] 금융 서비스를 위한 블록체인 구축사례 소개[Partner TechForum] 금융 서비스를 위한 블록체인 구축사례 소개
[Partner TechForum] 금융 서비스를 위한 블록체인 구축사례 소개Amazon Web Services Korea
 
Web Application Security Strategy
Web Application Security Strategy Web Application Security Strategy
Web Application Security Strategy Network Intelligence India
 
AnonimaTOR
AnonimaTORAnonimaTOR
AnonimaTORRamón Salado Lucena
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
Plaquette3quarks
Plaquette3quarksPlaquette3quarks
Plaquette3quarksAsma BEN FREDJ
 
Pptexamen
PptexamenPptexamen
PptexamenChloe Gosselin
 

Recomendados

Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaRamón Salado Lucena
 
[Partner TechForum] 금융 서비스를 위한 블록체인 구축사례 소개
[Partner TechForum] 금융 서비스를 위한 블록체인 구축사례 소개[Partner TechForum] 금융 서비스를 위한 블록체인 구축사례 소개
[Partner TechForum] 금융 서비스를 위한 블록체인 구축사례 소개Amazon Web Services Korea
 
Web Application Security Strategy
Web Application Security Strategy Web Application Security Strategy
Web Application Security Strategy Network Intelligence India
 
AnonimaTOR
AnonimaTORAnonimaTOR
AnonimaTORRamón Salado Lucena
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
Plaquette3quarks
Plaquette3quarksPlaquette3quarks
Plaquette3quarksAsma BEN FREDJ
 
Pptexamen
PptexamenPptexamen
PptexamenChloe Gosselin
 
InformeFinal
InformeFinalInformeFinal
InformeFinalAnastasia Belikow
 
Evolucion de la web
Evolucion de la webEvolucion de la web
Evolucion de la webalex milan
 
M07 einsatz von pp einf pt2004
M07 einsatz von pp einf pt2004M07 einsatz von pp einf pt2004
M07 einsatz von pp einf pt2004matschu
 
Taller SEO - Analytics
Taller SEO - AnalyticsTaller SEO - Analytics
Taller SEO - AnalyticsCarlos Chacon
 
Get narrative 2 - oral presentation
Get narrative 2 - oral presentationGet narrative 2 - oral presentation
Get narrative 2 - oral presentationDespreaux Leonard
 
Le monde 20150702
Le monde 20150702Le monde 20150702
Le monde 20150702Laura Feliu Martinez
 
Synthese sur HTML
Synthese sur HTMLSynthese sur HTML
Synthese sur HTMLyoutisha
 
Perception de compétences technologiques de futurs enseignants en début de fo...
Perception de compétences technologiques de futurs enseignants en début de fo...Perception de compétences technologiques de futurs enseignants en début de fo...
Perception de compétences technologiques de futurs enseignants en début de fo...Prof_UQAM_TIC
 
En toutes lettres - Exemple invitation
En toutes lettres - Exemple invitationEn toutes lettres - Exemple invitation
En toutes lettres - Exemple invitationen-toutes-lettres
 
Presentation christian matthys Diocèses et Internet
Presentation christian matthys Diocèses et InternetPresentation christian matthys Diocèses et Internet
Presentation christian matthys Diocèses et InternetACPcef
 
La chandeleur
La chandeleur La chandeleur
La chandeleur bibliofranciscoaguiar
 
Guide de mise en place pour le web-to-store
Guide de mise en place pour le web-to-storeGuide de mise en place pour le web-to-store
Guide de mise en place pour le web-to-storePtiteRapporteuZ
 
150515 - FFBB Infos 047
150515 - FFBB Infos 047150515 - FFBB Infos 047
150515 - FFBB Infos 047ComiteBasketCalvados
 
Europa tour 2015
Europa tour 2015Europa tour 2015
Europa tour 2015Bakka Karim
 
LAS MEJORES FLORES
LAS MEJORES FLORESLAS MEJORES FLORES
LAS MEJORES FLORESIliana Balarezo
 
Usuaria research
Usuaria researchUsuaria research
Usuaria researchRicardo Gómez Vecchio
 
Ein tag im leben der frau zahl
Ein tag im leben der frau zahlEin tag im leben der frau zahl
Ein tag im leben der frau zahltrbecker
 
Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2OTCREONNAIS
 
Ma nouvelle adresse_-_mar
Ma nouvelle adresse_-_marMa nouvelle adresse_-_mar
Ma nouvelle adresse_-_marronnymp
 
Recomendaciones para evitar la contaminación en el salvador
Recomendaciones para evitar la contaminación en el salvadorRecomendaciones para evitar la contaminación en el salvador
Recomendaciones para evitar la contaminación en el salvadornancy carolina lopez perez
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressJuan José Domenech
 
Bypassing waf advanced
Bypassing waf advancedBypassing waf advanced
Bypassing waf advancedlimahack
 

Más contenido relacionado

Destacado

Evolucion de la web
Evolucion de la webEvolucion de la web
Evolucion de la webalex milan
 
M07 einsatz von pp einf pt2004
M07 einsatz von pp einf pt2004M07 einsatz von pp einf pt2004
M07 einsatz von pp einf pt2004matschu
 
Taller SEO - Analytics
Taller SEO - AnalyticsTaller SEO - Analytics
Taller SEO - AnalyticsCarlos Chacon
 
Get narrative 2 - oral presentation
Get narrative 2 - oral presentationGet narrative 2 - oral presentation
Get narrative 2 - oral presentationDespreaux Leonard
 
Synthese sur HTML
Synthese sur HTMLSynthese sur HTML
Synthese sur HTMLyoutisha
 
Perception de compétences technologiques de futurs enseignants en début de fo...
Perception de compétences technologiques de futurs enseignants en début de fo...Perception de compétences technologiques de futurs enseignants en début de fo...
Perception de compétences technologiques de futurs enseignants en début de fo...Prof_UQAM_TIC
 
En toutes lettres - Exemple invitation
En toutes lettres - Exemple invitationEn toutes lettres - Exemple invitation
En toutes lettres - Exemple invitationen-toutes-lettres
 
Presentation christian matthys Diocèses et Internet
Presentation christian matthys Diocèses et InternetPresentation christian matthys Diocèses et Internet
Presentation christian matthys Diocèses et InternetACPcef
 
Guide de mise en place pour le web-to-store
Guide de mise en place pour le web-to-storeGuide de mise en place pour le web-to-store
Guide de mise en place pour le web-to-storePtiteRapporteuZ
 
Europa tour 2015
Europa tour 2015Europa tour 2015
Europa tour 2015Bakka Karim
 
Ein tag im leben der frau zahl
Ein tag im leben der frau zahlEin tag im leben der frau zahl
Ein tag im leben der frau zahltrbecker
 
Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2OTCREONNAIS
 
Ma nouvelle adresse_-_mar
Ma nouvelle adresse_-_marMa nouvelle adresse_-_mar
Ma nouvelle adresse_-_marronnymp
 
Recomendaciones para evitar la contaminación en el salvador
Recomendaciones para evitar la contaminación en el salvadorRecomendaciones para evitar la contaminación en el salvador
Recomendaciones para evitar la contaminación en el salvadornancy carolina lopez perez
 

Destacado (20)

InformeFinal
InformeFinalInformeFinal
InformeFinal
 
Evolucion de la web
Evolucion de la webEvolucion de la web
Evolucion de la web
 
M07 einsatz von pp einf pt2004
M07 einsatz von pp einf pt2004M07 einsatz von pp einf pt2004
M07 einsatz von pp einf pt2004
 
Taller SEO - Analytics
Taller SEO - AnalyticsTaller SEO - Analytics
Taller SEO - Analytics
 
Get narrative 2 - oral presentation
Get narrative 2 - oral presentationGet narrative 2 - oral presentation
Get narrative 2 - oral presentation
 
Le monde 20150702
Le monde 20150702Le monde 20150702
Le monde 20150702
 
Synthese sur HTML
Synthese sur HTMLSynthese sur HTML
Synthese sur HTML
 
Perception de compétences technologiques de futurs enseignants en début de fo...
Perception de compétences technologiques de futurs enseignants en début de fo...Perception de compétences technologiques de futurs enseignants en début de fo...
Perception de compétences technologiques de futurs enseignants en début de fo...
 
En toutes lettres - Exemple invitation
En toutes lettres - Exemple invitationEn toutes lettres - Exemple invitation
En toutes lettres - Exemple invitation
 
Presentation christian matthys Diocèses et Internet
Presentation christian matthys Diocèses et InternetPresentation christian matthys Diocèses et Internet
Presentation christian matthys Diocèses et Internet
 
La chandeleur
La chandeleur La chandeleur
La chandeleur
 
Guide de mise en place pour le web-to-store
Guide de mise en place pour le web-to-storeGuide de mise en place pour le web-to-store
Guide de mise en place pour le web-to-store
 
150515 - FFBB Infos 047
150515 - FFBB Infos 047150515 - FFBB Infos 047
150515 - FFBB Infos 047
 
Europa tour 2015
Europa tour 2015Europa tour 2015
Europa tour 2015
 
LAS MEJORES FLORES
LAS MEJORES FLORESLAS MEJORES FLORES
LAS MEJORES FLORES
 
Usuaria research
Usuaria researchUsuaria research
Usuaria research
 
Ein tag im leben der frau zahl
Ein tag im leben der frau zahlEin tag im leben der frau zahl
Ein tag im leben der frau zahl
 
Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2
 
Ma nouvelle adresse_-_mar
Ma nouvelle adresse_-_marMa nouvelle adresse_-_mar
Ma nouvelle adresse_-_mar
 
Recomendaciones para evitar la contaminación en el salvador
Recomendaciones para evitar la contaminación en el salvadorRecomendaciones para evitar la contaminación en el salvador
Recomendaciones para evitar la contaminación en el salvador
 

Similar a Seguridad WordPress con OWASP

WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressJuan José Domenech
 
Bypassing waf advanced
Bypassing waf advancedBypassing waf advanced
Bypassing waf advancedlimahack
 
Webinar - Seguridad en WordPress
Webinar - Seguridad en WordPressWebinar - Seguridad en WordPress
Webinar - Seguridad en WordPressArsys
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WPIñaki Arenaza
 
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSWHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSESET España
 
Implementación básica VMWare Data Protection 6
Implementación básica VMWare Data Protection 6Implementación básica VMWare Data Protection 6
Implementación básica VMWare Data Protection 6RaGaZoMe
 
Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14QuantiKa14
 
Pfsense: securizando tu infraestructura
Pfsense: securizando tu infraestructuraPfsense: securizando tu infraestructura
Pfsense: securizando tu infraestructuraAlex Casanova
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasLucy Tomas
 
Manejo de software de seguridad en el equipo de computo!
Manejo de software de seguridad en el equipo de computo!Manejo de software de seguridad en el equipo de computo!
Manejo de software de seguridad en el equipo de computo!gisell_diciembre
 
Manejo de software de seguridad en el equipo de computo!
Manejo de software de seguridad en el equipo de computo!Manejo de software de seguridad en el equipo de computo!
Manejo de software de seguridad en el equipo de computo!nayeliirivera
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Raúl Requero García
 
Consejos de seguridad con Alfresco
Consejos de seguridad con AlfrescoConsejos de seguridad con Alfresco
Consejos de seguridad con AlfrescoToni de la Fuente
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Wordpress como framework - DarioBF en WordCamp Barcelona
Wordpress como framework - DarioBF en WordCamp BarcelonaWordpress como framework - DarioBF en WordCamp Barcelona
Wordpress como framework - DarioBF en WordCamp BarcelonaDarío BF
 

Similar a Seguridad WordPress con OWASP (20)

WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Bypassing waf advanced
Bypassing waf advancedBypassing waf advanced
Bypassing waf advanced
 
Webinar - Seguridad en WordPress
Webinar - Seguridad en WordPressWebinar - Seguridad en WordPress
Webinar - Seguridad en WordPress
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
 
10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESSWHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
WHITEPAPER ESET ESPAÑA – AUMENTADO LA SEGURIDAD DE WORDPRESS
 
Implementación básica VMWare Data Protection 6
Implementación básica VMWare Data Protection 6Implementación básica VMWare Data Protection 6
Implementación básica VMWare Data Protection 6
 
Proyecto 6
Proyecto 6Proyecto 6
Proyecto 6
 
Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14Proyecto WordPressA - QuantiKa14
Proyecto WordPressA - QuantiKa14
 
Pfsense: securizando tu infraestructura
Pfsense: securizando tu infraestructuraPfsense: securizando tu infraestructura
Pfsense: securizando tu infraestructura
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticas
 
Manejo de software de seguridad en el equipo de computo!
Manejo de software de seguridad en el equipo de computo!Manejo de software de seguridad en el equipo de computo!
Manejo de software de seguridad en el equipo de computo!
 
Tarea del blog
Tarea del blogTarea del blog
Tarea del blog
 
Manejo de software de seguridad en el equipo de computo!
Manejo de software de seguridad en el equipo de computo!Manejo de software de seguridad en el equipo de computo!
Manejo de software de seguridad en el equipo de computo!
 
Presentación Web application firewall
Presentación Web application firewallPresentación Web application firewall
Presentación Web application firewall
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)Desarrollo seguro en NodeJS (OWASP top ten y JWT)
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
 
Consejos de seguridad con Alfresco
Consejos de seguridad con AlfrescoConsejos de seguridad con Alfresco
Consejos de seguridad con Alfresco
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
 
Wordpress como framework - DarioBF en WordCamp Barcelona
Wordpress como framework - DarioBF en WordCamp BarcelonaWordpress como framework - DarioBF en WordCamp Barcelona
Wordpress como framework - DarioBF en WordCamp Barcelona
 

Último

12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 

Último (9)

12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 

Seguridad WordPress con OWASP

  • 1. SEGURIDAD WORDPRESS BY OWASP #OWASPsevilla6@OWASP_Sevilla
  • 2. #whoami Administración General del Estado Docente Master Social Media Universidad de Sevilla CoLeader OWASP Sevilla CiberCooperante de INCIBE 10 años de experiencia en Sistemas y Seguridad 5 años en Desarrollo y Seguridad en WordPress Ramón Salado @ramon_salado #OWASPsevilla6@OWASP_Sevilla
  • 4. SEGURIDAD WORDPRESS BY OWASP • INTRODUCCIÓN A LA SEGURIDAD • ALOJAMIENTO • INSTALACIÓN Y PRIMEROS PASOS • SEGURIDAD DE DIRECTORIOS Y ARCHIVOS • HARDENING SERVIDOR • HARDENING CON PLUGINS • COPIAS DE SEGURIDAD • AUDITORÍA #OWASPsevilla6@OWASP_Sevilla
  • 5. INTRODUCCIÓN • EQUIPOS SEGUROS • COMUNICACIONES SEGURAS (wifi, vpn, …) • CONTRASEÑAS ROBUSTAS (distintas, doble factor, cambios periódicos, …) • VERIFICAR PERMISOS DE APPS y API´S • BYOD Y TELETRABAJO • ¿ES WP INSEGURO? • ¿QUÉ LO HACE INSEGURO? #OWASPsevilla6@OWASP_Sevilla
  • 6. ALOJAMIENTO • REPUTACIÓN DEL PROVEEDOR • TIPO DE ALOJAMIENTO (windows o linux, compartido, vps, …) • ESPACIO Y TRANSFERENCIA • SOPORTE • ELEMENTOS TÉCNICOS (cpanel, phpmyadmin, …) • SEGURIDAD #OWASPsevilla6@OWASP_Sevilla
  • 7. INSTALACIÓN Y PRIMEROS PASOS • CORE, THEMES Y PLUGINS ACTUALIZADOS • NO USER “ADMIN” • UTILIZAR ALIAS DE USUARIO • CONTRASEÑAS FORTIFICADAS • ROLES ADECUADOS • PREFIJOS WP EN BB.DD • WP-ADMIN OCULTO • VERSIONES README • CONTROL DE COMENTARIOS • DESACTIVAR EDICIÓN EN BACK-END • EVITAR COMPLEMENTOS DE “DUDOSA PROCEDENCIA” #OWASPsevilla6@OWASP_Sevilla
  • 8. ACTUALIZACIONES Un WordPress actualizado con plugins y themes actualizados protege nuestra web de posibles ataque por vulnerabilidades del code o de los complementos utilizados. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  • 9. NO DEFAULT -Reducir exposición: Limitar el uso de perfiles con altos privilegios sólo a la propia administración del sitio. (Si sólo quieres publicar una entrada, puedes hacerlo con un usuario básico, no es necesario hacerlo desde ADMINISTRADOR) -Claves robustas y cambio periódico de éstas. (Panel de control, FTP, BD) -No instalar plugins ni themes “piratas”. TODOS incluyen malware y a la larga pueden causarte un gran perjuicio. -No abusar de plugins. Hacen más lenta la carga de la web y también más insegura. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  • 10. NO DEFAULT Prefijos wp_ Usuario INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  • 11. NO DEFAULT id user =1 -> /?author=1 Utilización de Alias INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  • 12. VERSIÓN README Evitamos ofrecer información, dificultando cualquier ataque. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  • 13. COMENTARIOS La moderación de comentarios reduce mucho el riesgo de sufrir inyecciones de código a través de los comentarios. INSTALACIÓN Y PRIMEROS PASOS #OWASPsevilla6@OWASP_Sevilla
  • 14. SEGURIDAD DE DIRECTORIOS Y ARCHIVOS ● RESTRICCIÓN DE ACCESO .htaccess (allow y deny) ● ACCESO A FICHEROS CON sFTP, VPN O TÚNELES SSH ● REVISAR PERMISOS DE CARPETAS Y FICHEROS ● INDEX.PHP VACÍO EN DIRECTORIOS CLAVE #OWASPsevilla6@OWASP_Sevilla #limitar el acceso por IP Order allow, deny Allow from XXX.XXX.XXX.XXX Deny from all
  • 15. HARDENING SERVIDOR #OWASPsevilla6@OWASP_Sevilla ● APACHE, PHP Y MYSQL ACTUALIZADOS ● DESACTIVAR MÓDULOS INNECESARIOS ● OCULTAR VERSIONES ● WAF (mod_security) ● SSL
  • 18. Es necesario que protejamos de ataques de fuerza bruta el acceso al panel de control, podemos hacerlo configurando las reglas del firewall que incluye Wordfence. Además nos ofrece un log, donde podemos ver todos los sucesos relativos a seguridad de nuestra web y alarmas. WORDFENCE • Configuración ‘default’ muy completa • Incluye varios niveles preconfigurados • Verifica core, themes y plugins con WP • Cortafuegos para bloquear amenazas • Limita intentos de login y uso de blacklist • Visión en tiempo real de todo el tráfico HARDENING CON PLUGINS #OWASPsevilla6@OWASP_Sevilla
  • 19. ITHEMES SECURITY • Security Check • Cambiar la ruta de /wp-admin • Verifica los permisos de las carpetas • WordPress Tweaks HARDENING CON PLUGINS #OWASPsevilla6@OWASP_Sevilla
  • 20. • Nos permite deshabilitar las cuentas en periodos de inactividad. • Sistema de doble factor de autenticación • Sistema español diseñado por Eleven Paths LATCH HARDENING CON PLUGINS #OWASPsevilla6@OWASP_Sevilla
  • 21. SPLOGGERS: usuarios que se registran en blogs con el fin de publicar publicidad en estos #OWASPsevilla6@OWASP_Sevilla HARDENING CON PLUGINS
  • 22. CloudFlare Prevención DOS / DDOS #OWASPsevilla6@OWASP_Sevilla HARDENING CON PLUGINS
  • 23. SSL factor de posicionamiento en Google #OWASPsevilla6@OWASP_Sevilla HARDENING CON PLUGINS
  • 24. COPIAS DE SEGURIDAD Plugins de Backups Es una parte esencial, nos permite programarlos y almacenarlos en la nube o en otro alojamiento. Si ocurre cualquier problema, basta con restaurar una copia anterior. Permite cifrado y automatización. #OWASPsevilla6@OWASP_Sevilla
  • 25. CONTROL DE INDEXACIÓN DEL CONTENIDO # PoC http://localhost/wp-admin/admin-ajax.php?action=revolution-slider_show_image&img=../wp-config.php # DORK "Index of" /wp-content/plugins/revolution-slider/ Plugin Slider Revolution v < 4.1.4 @OWASP_Sevilla AUDITORÍA #OWASPsevilla6
  • 27. WordPress Scanner, Nipper, … #OWASPsevilla6@OWASP_Sevilla AUDITORÍA
  • 28. Análisis de Malware Wordpress https://sitecheck.sucuri.net/ #OWASPsevilla6@OWASP_Sevilla AUDITORÍA