Charla de la Meetup de WordPress Asturias celebrada el Jueves 22 de diciembre de 2016 sobre los consejos básicos de seguridad en WordPress

1. Seguridad en WordPress
Las 5 cosas que todo WordPress debería tener
22 Diciembre de 2016
@samuriosa

2. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
Samuel Álvarez Sariego
• Administrador de Sistemas
informáticos en Red
• Desarrollador Web con
WordPress
• Organizador de WordPress
Asturias
• Colaborador en los equipos
de Soporte, Comunidad y
Traducciones de WordPress
España
samugrandiella@gmail.com
@samuriosa
samuriosa.com
2

3. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
¿Son seguras tus webs?
3

4. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
Los malos están ahí fuera
Hay un montón de grupos de
hackers que se coordinan para
preparar y lanzar este tipo de
ataques, y no paran de pensar en
cómo explotar las
vulnerabilidades de WordPress.
Lo mejor es ponérselo difícil. Cuanto
más, mejor.
White Hat —> Los buenos
Black Hat —> Los malos
Grey Hat —> Los menos malos
4

5. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
Más vale prevenir que curar
5

6. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#1 - Un buen hosting
• No todos los hosting son
igual de válidos
• Los más baratos,
normalmente, no son
especialmente seguros
• Además, a más barato, más
posibilidades de que
alberguen “secretos” en su
interior
“Bueno, bonito y
barato ¡No
existe!”
6

7. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#2 - WordPress Actualizado
1. El “core” o versión de WordPress de tu blog.
2. Tu theme o plantilla. Cuidado con los temas que instalas en tu web. No
instales lo primero que encuentres
3. Los plugins. No instales plugins desconocidos con pocas descargas.
“Repositorios de plugins oficiales, premium
con soporte oficial”
7

8. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#2 - Actualiza, actualiza y
finalmente, actualiza
Los ataques suelen basarse en vulnerabilidades que los hackers
encuentran en tu sistema, y rápidamente los desarrolladores corrigen con
actualizaciones.
Por eso tienes que prestar especial atención y en cuanto veas que hay una
actualización disponible, ponerte manos a la obra.
¡ACTUALIZA!
Nada de utilizar plantillas o plugins pirateados, sé que la tentación es
fuerte. Cuidado con eso, porque pueden contener código malicioso o
vulnerabilidades extra.
8

9. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#3 - Login Seguro
Tener un login débil en WordPress es
cómo cerrar tu casa y dejar las llaves
puestas en la cerradura
Utiliza una contraseña segura
Cambia el slug de acceso al admin
No uses nombres de usuarios comunes
y mucho menos por defecto (admin,
administrador…)
No dejes pistas a tu paso
Norma: Principio de mínimo privilegio
“Cambia tu contraseña
regularmente”
9

10. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#4 - Backup, backup y más
backup
Haz backups periódicas de tu sitio
web, son la forma más rápida y
sencilla de volver a la normalidad
Haz varias copias y guárdalas en un
lugar seguro. Nunca en el mismo sitio
que el propio sitio web.
Dropbox, Google Drive, Amazon
Drive… servicios en la nube en
general pueden ser una buena
solución“Haz backups y guárdalas en
lugar seguro”
10

11. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#5 - Pon un segurata en tu web
Ayúdate de plugins para incrementar
la seguridad de tu web.
Es preferible sacrificar un poco de
rendimiento en pro de mejorar la
seguridad de nuestra web.
Hay multitud de plugins en el
repositorio de WordPress que pueden
ayudarte a mejorar los niveles de
seguridad de tu instalación.
“Pero procura que sea uno
bueno o el mejor si puede ser”
11

12. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
Los ataques más
comunes

13. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#1 - Ingeniería social
La Ingeniería Social es la
manipulación inteligente de la
tendencia natural de la gente a
confiar en los demás
“Poco puedo enseñaros respecto a esto, salvo concienciar
de la importancia de cada pequeña acción realizada”
13

14. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#2 - Phishing o Suplantación
Phishing o suplantación de identidad es un
término informático que denomina un modelo
de abuso informático y que se comete
mediante el uso de un tipo de ingeniería social,
caracterizado por intentar adquirir información
confidencial de forma fraudulenta (como puede
ser una contraseña o información detallada
sobre tarjetas de crédito otra información
bancaria).
El cibercriminal, conocido como phisher, se
hace pasar por una persona o empresa de
confianza en una aparente comunicación oficial
electrónica, por lo común un correo electrónico,
o algún sistema de mensajería instantánea o
incluso utilizando también llamadas telefónicas.
14

15. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
#3 - Fuerza Bruta
En criptografía, se denomina ataque de fuerza bruta
a la forma de recuperar una clave probando todas las
combinaciones posibles hasta encontrar aquella que
permite el acceso.
Los ataques por fuerza bruta, dado que utilizan el
método de prueba y error, son muy costosos en
tiempo computacional.
La fuerza bruta suele combinarse con un ataque de
diccionario, en el que se encuentran diferentes
palabras para ir probando con ellas.
“Posiblemente el ataque más común en WordPress y frente
al que más tenemos que protegernos”
15

16. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
¿Y ahora qué?
Vamos a intentar que nuestro WordPress sea más seguro
16

17. #WPAsturias
@samuriosaWP Asturias - “Seguridad en WordPress”
¡¡Gracias por seguir
despiertos hasta el
final!!