SlideShare una empresa de Scribd logo

Seguridad en WordPress

Pedro Santos
Pedro Santos

Ponencia Seguridad en WordPress (WordPress Day Marbella 2015)

Diseño
1 de 20
Descargar para leer sin conexión
WordPress Day Marbella 2015
Seguridad en WordPress Pedro Santos
La seguridad empieza por uno mismo Contraseñas Seguras y diferentes S.O. y navegadores actualizados Antivirus completos, PC y Mac Core, plugins y themes actualizados NUNCA UTILIZAR THEMES Y PLUGINS NULLED BACKUPS
Instalando WordPress Nombre de la Base de Datos, no usar wp Prefijo tablas de la BD, no usar wp No usar admin, Admin, Administrator, administrator, nombre de dominio
robots.txt User-agent: * Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /cgi-bin/ # No indexar archivos con extensión Disallow: /*.php$ Disallow: /*.js$ Disallow: /*.inc$ Disallow: /*.css$ Disallow: /*.gz$ Disallow: /*.wmv$ Disallow: /*.cgi$ Disallow: /*.xhtml$ Disallow: /*?* # LIMITAR BOTS Yahoo, MSN y Noxtrum User-agent: noxtrumbot Crawl-delay: 50 User-agent: msnbot Crawl-delay: 30 User-agent: Slurp Crawl-delay: 10
Ataques de fuerza en bruto Doble autenticación Creamos dos archivos en la raíz del hosting .htaccess y .wpadmin Contenido .htaccess ErrorDocument 401 "Unauthorized Access" ErrorDocument 403 "Forbidden" <FilesMatch "wp-login.php"> AuthName "Authorized Only" AuthType Basic AuthUserFile /home/usuario/.wpadmin require valid-user </FilesMatch> Contenido .wpadmin http://www.htaccesstools.com/htpasswd-generator/ pepitodelospalotes:$apr1$Vo5OdtZe$irw0TeFV.ImpUFKIVDL/A
Ataques de fuerza en bruto Dirección ip única Desde el .htaccess de WordPress <Files wp-login.php> order deny,allow allow from xxx.xxx.xxx.xxx deny from all </Files> Sustituir xxx.xxx.xxx.xxx por nuestra ip
Plugins Doble factor • Clef Two-Factor Authentication • Latch • Two Factor Authentication • Duo Two-Factor Authentication
Protección en .htaccess de WordPress # sin acceso a proc/self/environ RewriteCond %{QUERY_STRING} proc/self/environ [OR] # bloquear cualquier script que trate de establecer un valor mosConfig a traves de una URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR] # bloquear cualquier script que trate de colocarte codigo codificado base64_encode a traves de una URL RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR] # bloquea cualquier script que incluya la tag <script> en la URL RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] # bloquea cualquier script que trate de establecer la variable PHP GLOBALS a traves de una URL RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR] # bloquea cualquier script que trate de modificar una variable _REQUEST a traves de una URL RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) # proteger wp-config.php <files wp-config.php> order allow,deny deny from all </files>
Protección de los headers en .htaccess de WordPress <IfModule mod_headers.c> Header set X-XSS-Protection "1; mode=block” </IfModule> <IfModule mod_headers.c> Header set X-Content-Type-Options nosniff </IfModule> <IfModule mod_headers.c> Header always append X-Frame-Options SAMEORIGIN </IfModule>
Protección de directorios con .htaccess wp-content y wp-content/uploads <Files *.php> deny from all </Files> <Files *.php> deny from all </Files> wp-includes
Protección contra edición de plugins y themes Incluir en wp-config.php define('DISALLOW_FILE_EDIT', TRUE);
Archivos que se pueden borrar de WordPress readme.html xmlrpc.php
Aquellos maravillosos plugins para WordPress
Wordfence antivirus, firewall -Scanner antimalware -Comparador archivos -Restauración de archivos -Firewall bloqueo bots -Bloqueo ipv4+ipv6 y rangos -Doble factor autenticación -Bloqueo países -Auditoría contraseñas -Network Wordfence -Ataques fuerza en bruto -Caché (Falcon) -Protección directorios -Aviso actualizaciones
Sucuri Security -Scanner antimalware -Modificación archivos -Aviso login -Oculta versión WordPress -Protege directorio uploads -Protege directorio wp-content -Protege directorio wp-includes -Chequea Security Keys (salts) -Elimina readme.html -Bloquea edición themes y plugins -Chequea prefix BD -Borra archivo error_log -Herramientas post hack, reset de salts, contraseña y plugins
Ninjafirewall WAF -Estadísticas intentos hacks -Comparador archivos -Firewall múltiple opciones -Políticas de Firewall -Bloqueo bots -Bloqueo uploads de archivos -Chequeo de archivos -Doble factor autenticación -Bloqueo países -Protección headers -Firewall log + log live -Editor de reglas de seguridad -Actualización automática reglas de seguridad -Ataques fuerza en bruto -Protección directorios -Notificaciones -Doble factor de autenticación
Seguridad para paranóicos • Servidor con ModSecurity • Servidor con Firewall • Servidor LMD • Cloudflare CDN • Ninjafirewall • Sucuri Security • Wordfence
Recursos para estar al día • https://wpvulndb.com/ • https://blog.sucuri.net/ • Plugin Vulnerabilities https://wordpress.org/ plugins/plugin-vulnerabilities/ • No Longer in Directory https://wordpress.org/ plugins/no-longer-in-directory/
GRACIAS Pedro Santos @hostfusion

Recomendados

Seguridad WordPress Meetup Majadahonda
Seguridad WordPress Meetup MajadahondaSeguridad WordPress Meetup Majadahonda
Seguridad WordPress Meetup Majadahonda
Pedro Santos
 
Play2012
Play2012Play2012
Play2012
Guillermo Sornoza
 
Tema14
Tema14Tema14
Tema14
Lizardo Villavicencio
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticas
Lucy Tomas
 
Reventando WordPress
Reventando WordPressReventando WordPress
Reventando WordPress
Toni Escamilla Pardo
 
Blinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustosBlinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustos
Carlos Perez de Mendiola
 
10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP
Iñaki Arenaza
 
Las claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPressLas claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPress
Iñaki Arenaza
 

Recomendados

Seguridad WordPress Meetup Majadahonda
Seguridad WordPress Meetup MajadahondaSeguridad WordPress Meetup Majadahonda
Seguridad WordPress Meetup Majadahonda
Pedro Santos
 
Play2012
Play2012Play2012
Play2012
Guillermo Sornoza
 
Tema14
Tema14Tema14
Tema14
Lizardo Villavicencio
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticas
Lucy Tomas
 
Reventando WordPress
Reventando WordPressReventando WordPress
Reventando WordPress
Toni Escamilla Pardo
 
Blinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustosBlinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustos
Carlos Perez de Mendiola
 
10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP
Iñaki Arenaza
 
Las claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPressLas claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPress
Iñaki Arenaza
 
Montar moodle en una instancia de pruebas de amazon con docker
Montar moodle en una instancia de pruebas de amazon con dockerMontar moodle en una instancia de pruebas de amazon con docker
Montar moodle en una instancia de pruebas de amazon con docker
Erick Cabrera
 
Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sqlAndrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
Andrés González Suárez
 
WordPress Multisite, un WordPress para dominarlos a todos
WordPress Multisite, un WordPress para dominarlos a todosWordPress Multisite, un WordPress para dominarlos a todos
WordPress Multisite, un WordPress para dominarlos a todos
Oscar Abad Folgueira
 
Presentación Congreso Internet del Mediterráneo
Presentación Congreso Internet del MediterráneoPresentación Congreso Internet del Mediterráneo
Presentación Congreso Internet del Mediterráneo
Fernando Serer
 
20 claves de Seguridad WordPress
20 claves de Seguridad WordPress20 claves de Seguridad WordPress
20 claves de Seguridad WordPress
Fernando Tellado
 
Javier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp MálagaJavier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp Málaga
Javier Santos
 
Instrucciones instalacion labcase software 1.0
Instrucciones instalacion labcase software 1.0Instrucciones instalacion labcase software 1.0
Instrucciones instalacion labcase software 1.0
nicolasmunozvera
 
Instalación básica vSphere 5.5
Instalación básica vSphere 5.5Instalación básica vSphere 5.5
Instalación básica vSphere 5.5
RaGaZoMe
 
Servidores Web en GNU/Linux
Servidores Web en GNU/LinuxServidores Web en GNU/Linux
Servidores Web en GNU/Linux
Martin Gregorio
 
Procedimiento de creacion de archivo php
Procedimiento de creacion de archivo phpProcedimiento de creacion de archivo php
Procedimiento de creacion de archivo php
Clau Doria
 
Instalar joomla 2017
Instalar joomla 2017Instalar joomla 2017
Instalar joomla 2017
Emerson Garay
 
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
RootedCON
 
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
RaGaZoMe
 
Instalación de word press en ubuntu
Instalación de word press en ubuntuInstalación de word press en ubuntu
Instalación de word press en ubuntu
keniameraris
 
Wordpress hardening (Campus Party Mexico 4)
Wordpress hardening (Campus Party Mexico 4)Wordpress hardening (Campus Party Mexico 4)
Wordpress hardening (Campus Party Mexico 4)
hecky NeobitsOrg
 
Implementación VMWare Center Server 6 Appliance
Implementación VMWare Center Server 6 ApplianceImplementación VMWare Center Server 6 Appliance
Implementación VMWare Center Server 6 Appliance
RaGaZoMe
 
Mike Schroder: Administra WordPress automáticamente con WP-CLI
Mike Schroder: Administra WordPress automáticamente con WP-CLIMike Schroder: Administra WordPress automáticamente con WP-CLI
Mike Schroder: Administra WordPress automáticamente con WP-CLI
mvkoen
 
N5
N5N5
N5
Le National
 
Class 9 & 10 accounting_chapter five_class 4
Class 9 & 10 accounting_chapter five_class 4Class 9 & 10 accounting_chapter five_class 4
Class 9 & 10 accounting_chapter five_class 4
Cambriannews
 
Sre
SreSre
Sre
Ahsan Riaz
 
Sandeep Panchal
Sandeep PanchalSandeep Panchal
Sandeep Panchal
Sandeep Panchal
 
Интернет-магазин: Что считать, или бизнес-модель 2015
Интернет-магазин: Что считать, или бизнес-модель 2015Интернет-магазин: Что считать, или бизнес-модель 2015
Интернет-магазин: Что считать, или бизнес-модель 2015
Perederey Alexander
 

Más contenido relacionado

La actualidad más candente

Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sqlAndrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
Andrés González Suárez
 
Javier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp MálagaJavier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp Málaga
Javier Santos
 
Instrucciones instalacion labcase software 1.0
Instrucciones instalacion labcase software 1.0Instrucciones instalacion labcase software 1.0
Instrucciones instalacion labcase software 1.0
nicolasmunozvera
 
Procedimiento de creacion de archivo php
Procedimiento de creacion de archivo phpProcedimiento de creacion de archivo php
Procedimiento de creacion de archivo php
Clau Doria
 
Instalación de word press en ubuntu
Instalación de word press en ubuntuInstalación de word press en ubuntu
Instalación de word press en ubuntu
keniameraris
 

La actualidad más candente (17)

Montar moodle en una instancia de pruebas de amazon con docker
Montar moodle en una instancia de pruebas de amazon con dockerMontar moodle en una instancia de pruebas de amazon con docker
Montar moodle en una instancia de pruebas de amazon con docker
 
Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sqlAndrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
 
WordPress Multisite, un WordPress para dominarlos a todos
WordPress Multisite, un WordPress para dominarlos a todosWordPress Multisite, un WordPress para dominarlos a todos
WordPress Multisite, un WordPress para dominarlos a todos
 
Presentación Congreso Internet del Mediterráneo
Presentación Congreso Internet del MediterráneoPresentación Congreso Internet del Mediterráneo
Presentación Congreso Internet del Mediterráneo
 
20 claves de Seguridad WordPress
20 claves de Seguridad WordPress20 claves de Seguridad WordPress
20 claves de Seguridad WordPress
 
Javier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp MálagaJavier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp Málaga
 
Instrucciones instalacion labcase software 1.0
Instrucciones instalacion labcase software 1.0Instrucciones instalacion labcase software 1.0
Instrucciones instalacion labcase software 1.0
 
Instalación básica vSphere 5.5
Instalación básica vSphere 5.5Instalación básica vSphere 5.5
Instalación básica vSphere 5.5
 
Servidores Web en GNU/Linux
Servidores Web en GNU/LinuxServidores Web en GNU/Linux
Servidores Web en GNU/Linux
 
Procedimiento de creacion de archivo php
Procedimiento de creacion de archivo phpProcedimiento de creacion de archivo php
Procedimiento de creacion de archivo php
 
Instalar joomla 2017
Instalar joomla 2017Instalar joomla 2017
Instalar joomla 2017
 
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript...
 
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
 
Instalación de word press en ubuntu
Instalación de word press en ubuntuInstalación de word press en ubuntu
Instalación de word press en ubuntu
 
Wordpress hardening (Campus Party Mexico 4)
Wordpress hardening (Campus Party Mexico 4)Wordpress hardening (Campus Party Mexico 4)
Wordpress hardening (Campus Party Mexico 4)
 
Implementación VMWare Center Server 6 Appliance
Implementación VMWare Center Server 6 ApplianceImplementación VMWare Center Server 6 Appliance
Implementación VMWare Center Server 6 Appliance
 
Mike Schroder: Administra WordPress automáticamente con WP-CLI
Mike Schroder: Administra WordPress automáticamente con WP-CLIMike Schroder: Administra WordPress automáticamente con WP-CLI
Mike Schroder: Administra WordPress automáticamente con WP-CLI
 

Destacado

Destacado (8)

N5
N5N5
N5
 
Class 9 & 10 accounting_chapter five_class 4
Class 9 & 10 accounting_chapter five_class 4Class 9 & 10 accounting_chapter five_class 4
Class 9 & 10 accounting_chapter five_class 4
 
Sre
SreSre
Sre
 
Sandeep Panchal
Sandeep PanchalSandeep Panchal
Sandeep Panchal
 
Интернет-магазин: Что считать, или бизнес-модель 2015
Интернет-магазин: Что считать, или бизнес-модель 2015Интернет-магазин: Что считать, или бизнес-модель 2015
Интернет-магазин: Что считать, или бизнес-модель 2015
 
1505 JGIC 2015 - El Portal de la Recerca de Catalunya
1505 JGIC 2015 - El Portal de la Recerca de Catalunya1505 JGIC 2015 - El Portal de la Recerca de Catalunya
1505 JGIC 2015 - El Portal de la Recerca de Catalunya
 
សិក្សាមេរៀន Css ជាភាសាខ្មែរ
សិក្សាមេរៀន Css ជាភាសាខ្មែរសិក្សាមេរៀន Css ជាភាសាខ្មែរ
សិក្សាមេរៀន Css ជាភាសាខ្មែរ
 
Nike ZhuanGui 7782
Nike ZhuanGui 7782Nike ZhuanGui 7782
Nike ZhuanGui 7782
 

Similar a Seguridad en WordPress

Cursowordpress 091124113422-phpapp02
Cursowordpress 091124113422-phpapp02Cursowordpress 091124113422-phpapp02
Cursowordpress 091124113422-phpapp02
Josefina Moratalla
 
Curso avanzado de programación y configuración de Wordpress
Curso avanzado de programación y configuración de WordpressCurso avanzado de programación y configuración de Wordpress
Curso avanzado de programación y configuración de Wordpress
Irontec
 
Curso Blog Marketing con Wordpress 02 instalacion local
Curso Blog Marketing con Wordpress 02 instalacion localCurso Blog Marketing con Wordpress 02 instalacion local
Curso Blog Marketing con Wordpress 02 instalacion local
David Vaquero
 

Similar a Seguridad en WordPress (20)

Carlos Pascual #WPvalladolid 2014
Carlos Pascual #WPvalladolid 2014Carlos Pascual #WPvalladolid 2014
Carlos Pascual #WPvalladolid 2014
 
Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting
 
Cursowordpress 091124113422-phpapp02
Cursowordpress 091124113422-phpapp02Cursowordpress 091124113422-phpapp02
Cursowordpress 091124113422-phpapp02
 
Webperf wordpress
Webperf wordpressWebperf wordpress
Webperf wordpress
 
La seguridad en WordPress de la A a la Z
La seguridad en WordPress de la A a la ZLa seguridad en WordPress de la A a la Z
La seguridad en WordPress de la A a la Z
 
Curso avanzado de programación y configuración de Wordpress
Curso avanzado de programación y configuración de WordpressCurso avanzado de programación y configuración de Wordpress
Curso avanzado de programación y configuración de Wordpress
 
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
 
Cómo blindar tu sitio WordPress (Rodrigo Donini, WCBA 2017)
Cómo blindar tu sitio WordPress (Rodrigo Donini, WCBA 2017) Cómo blindar tu sitio WordPress (Rodrigo Donini, WCBA 2017)
Cómo blindar tu sitio WordPress (Rodrigo Donini, WCBA 2017)
 
Monta WordPress en tu empresa
Monta WordPress en tu empresaMonta WordPress en tu empresa
Monta WordPress en tu empresa
 
Deploying Wordpress
Deploying WordpressDeploying Wordpress
Deploying Wordpress
 
Sesion n°6
Sesion n°6Sesion n°6
Sesion n°6
 
Wp config.php
Wp config.phpWp config.php
Wp config.php
 
Wp config.php
Wp config.phpWp config.php
Wp config.php
 
wp-cli
wp-cliwp-cli
wp-cli
 
Curso Blog Marketing con Wordpress 02 instalacion local
Curso Blog Marketing con Wordpress 02 instalacion localCurso Blog Marketing con Wordpress 02 instalacion local
Curso Blog Marketing con Wordpress 02 instalacion local
 
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
 
Instalar y configurar wordpress en debian gnu
Instalar y configurar wordpress en debian gnuInstalar y configurar wordpress en debian gnu
Instalar y configurar wordpress en debian gnu
 
OWASP y seguridad WordPress
OWASP y seguridad WordPressOWASP y seguridad WordPress
OWASP y seguridad WordPress
 
Entorno PHP
Entorno PHPEntorno PHP
Entorno PHP
 
Instalación y configuración de un sitio web en Wordpress 3.8
Instalación y configuración de un sitio web en Wordpress 3.8Instalación y configuración de un sitio web en Wordpress 3.8
Instalación y configuración de un sitio web en Wordpress 3.8
 

Último

Sesión 02- Elaboramos sesiones de aprendizaje con CHATGPT - EL TECNOLÓGICO.pdf
Sesión 02- Elaboramos sesiones de aprendizaje con CHATGPT - EL TECNOLÓGICO.pdfSesión 02- Elaboramos sesiones de aprendizaje con CHATGPT - EL TECNOLÓGICO.pdf
Sesión 02- Elaboramos sesiones de aprendizaje con CHATGPT - EL TECNOLÓGICO.pdf
chumpitazzchristian
 
NATURALEZA DE LOS “ONTOS” mapa mental. Edu
NATURALEZA DE LOS “ONTOS” mapa mental. EduNATURALEZA DE LOS “ONTOS” mapa mental. Edu
NATURALEZA DE LOS “ONTOS” mapa mental. Edu
MxAvalos
 
Estilos de cajas Flexibles CSS-Flexbox-y-Grid.pdf
Estilos de cajas Flexibles CSS-Flexbox-y-Grid.pdfEstilos de cajas Flexibles CSS-Flexbox-y-Grid.pdf
Estilos de cajas Flexibles CSS-Flexbox-y-Grid.pdf
JosueJuanez1
 
Trabajo slides , mapa trabajo de sistema político
Trabajo slides , mapa trabajo de sistema políticoTrabajo slides , mapa trabajo de sistema político
Trabajo slides , mapa trabajo de sistema político
dkzrbgsm5t
 
aprende mas sobre la moda y el estilo y las tendencias mas usadas
aprende mas sobre la moda y el estilo y las tendencias mas usadasaprende mas sobre la moda y el estilo y las tendencias mas usadas
aprende mas sobre la moda y el estilo y las tendencias mas usadas
anacamilagurrolaflor
 
ARQ BIZANTINA Y PALEOCRISTIANA .pptx
ARQ BIZANTINA Y PALEOCRISTIANA .pptxARQ BIZANTINA Y PALEOCRISTIANA .pptx
ARQ BIZANTINA Y PALEOCRISTIANA .pptx
dnmxd1213
 

Último (20)

DIFERENCIAS ENTRE LA ARQUITECTURA ECLECTICA E HISTORICISTA ENTRE EUROPA Y LAT...
DIFERENCIAS ENTRE LA ARQUITECTURA ECLECTICA E HISTORICISTA ENTRE EUROPA Y LAT...DIFERENCIAS ENTRE LA ARQUITECTURA ECLECTICA E HISTORICISTA ENTRE EUROPA Y LAT...
DIFERENCIAS ENTRE LA ARQUITECTURA ECLECTICA E HISTORICISTA ENTRE EUROPA Y LAT...
 
Sesión 02- Elaboramos sesiones de aprendizaje con CHATGPT - EL TECNOLÓGICO.pdf
Sesión 02- Elaboramos sesiones de aprendizaje con CHATGPT - EL TECNOLÓGICO.pdfSesión 02- Elaboramos sesiones de aprendizaje con CHATGPT - EL TECNOLÓGICO.pdf
Sesión 02- Elaboramos sesiones de aprendizaje con CHATGPT - EL TECNOLÓGICO.pdf
 
ARQ BARROCA - ADRIANN DIAZ 30.118.599 ESC 41.pdf
ARQ BARROCA - ADRIANN DIAZ 30.118.599 ESC 41.pdfARQ BARROCA - ADRIANN DIAZ 30.118.599 ESC 41.pdf
ARQ BARROCA - ADRIANN DIAZ 30.118.599 ESC 41.pdf
 
Calculo-de-calibres-de-conductores electricos.pptx
Calculo-de-calibres-de-conductores electricos.pptxCalculo-de-calibres-de-conductores electricos.pptx
Calculo-de-calibres-de-conductores electricos.pptx
 
NATURALEZA DE LOS “ONTOS” mapa mental. Edu
NATURALEZA DE LOS “ONTOS” mapa mental. EduNATURALEZA DE LOS “ONTOS” mapa mental. Edu
NATURALEZA DE LOS “ONTOS” mapa mental. Edu
 
Estilos de cajas Flexibles CSS-Flexbox-y-Grid.pdf
Estilos de cajas Flexibles CSS-Flexbox-y-Grid.pdfEstilos de cajas Flexibles CSS-Flexbox-y-Grid.pdf
Estilos de cajas Flexibles CSS-Flexbox-y-Grid.pdf
 
CUADROSINOPTICOPAOLAPEREZARQUITECTURABARROCA.pdf
CUADROSINOPTICOPAOLAPEREZARQUITECTURABARROCA.pdfCUADROSINOPTICOPAOLAPEREZARQUITECTURABARROCA.pdf
CUADROSINOPTICOPAOLAPEREZARQUITECTURABARROCA.pdf
 
Infografía profesional cronología horizontal bloques de colores fondo negro.pdf
Infografía profesional cronología horizontal bloques de colores fondo negro.pdfInfografía profesional cronología horizontal bloques de colores fondo negro.pdf
Infografía profesional cronología horizontal bloques de colores fondo negro.pdf
 
Trabajo slides , mapa trabajo de sistema político
Trabajo slides , mapa trabajo de sistema políticoTrabajo slides , mapa trabajo de sistema político
Trabajo slides , mapa trabajo de sistema político
 
Patrimundi Recuperadora Bancaria en Cancun
Patrimundi Recuperadora Bancaria en CancunPatrimundi Recuperadora Bancaria en Cancun
Patrimundi Recuperadora Bancaria en Cancun
 
Arquitectura Ecléctica e Historicista en Latinoamérica.pdf
Arquitectura Ecléctica e Historicista en Latinoamérica.pdfArquitectura Ecléctica e Historicista en Latinoamérica.pdf
Arquitectura Ecléctica e Historicista en Latinoamérica.pdf
 
aprende mas sobre la moda y el estilo y las tendencias mas usadas
aprende mas sobre la moda y el estilo y las tendencias mas usadasaprende mas sobre la moda y el estilo y las tendencias mas usadas
aprende mas sobre la moda y el estilo y las tendencias mas usadas
 
DIFERENCIAS ENTRE LA ARQUITECTURA ECLECTICA E HISTORICISTA EUROPEA Y LATINOAM...
DIFERENCIAS ENTRE LA ARQUITECTURA ECLECTICA E HISTORICISTA EUROPEA Y LATINOAM...DIFERENCIAS ENTRE LA ARQUITECTURA ECLECTICA E HISTORICISTA EUROPEA Y LATINOAM...
DIFERENCIAS ENTRE LA ARQUITECTURA ECLECTICA E HISTORICISTA EUROPEA Y LATINOAM...
 
ARQ BIZANTINA Y PALEOCRISTIANA .pptx
ARQ BIZANTINA Y PALEOCRISTIANA .pptxARQ BIZANTINA Y PALEOCRISTIANA .pptx
ARQ BIZANTINA Y PALEOCRISTIANA .pptx
 
ECLECTICISMO EN ARQUITECTURA .pptx
ECLECTICISMO EN ARQUITECTURA .pptxECLECTICISMO EN ARQUITECTURA .pptx
ECLECTICISMO EN ARQUITECTURA .pptx
 
Renacer, feliz otra vez - Sermones | Reencuentro
Renacer, feliz otra vez - Sermones | ReencuentroRenacer, feliz otra vez - Sermones | Reencuentro
Renacer, feliz otra vez - Sermones | Reencuentro
 
Pensamiento de Diseño y prompts para investigación del usuario
Pensamiento de Diseño y prompts para investigación del usuarioPensamiento de Diseño y prompts para investigación del usuario
Pensamiento de Diseño y prompts para investigación del usuario
 
Eclecticismo en Arquitectura. Jennifer Rodriguez F.pdf
Eclecticismo en Arquitectura. Jennifer Rodriguez F.pdfEclecticismo en Arquitectura. Jennifer Rodriguez F.pdf
Eclecticismo en Arquitectura. Jennifer Rodriguez F.pdf
 
La Proporción Áurea y Diagramación el las Artes Graficas.
La Proporción Áurea y Diagramación el las Artes Graficas.La Proporción Áurea y Diagramación el las Artes Graficas.
La Proporción Áurea y Diagramación el las Artes Graficas.
 
Modelo de Tríptico Fiestas Patronales de una Unidad Educativa
Modelo de Tríptico Fiestas Patronales de una Unidad EducativaModelo de Tríptico Fiestas Patronales de una Unidad Educativa
Modelo de Tríptico Fiestas Patronales de una Unidad Educativa
 

Seguridad en WordPress

  • 3. La seguridad empieza por uno mismo Contraseñas Seguras y diferentes S.O. y navegadores actualizados Antivirus completos, PC y Mac Core, plugins y themes actualizados NUNCA UTILIZAR THEMES Y PLUGINS NULLED BACKUPS
  • 4. Instalando WordPress Nombre de la Base de Datos, no usar wp Prefijo tablas de la BD, no usar wp No usar admin, Admin, Administrator, administrator, nombre de dominio
  • 5. robots.txt User-agent: * Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /cgi-bin/ # No indexar archivos con extensión Disallow: /*.php$ Disallow: /*.js$ Disallow: /*.inc$ Disallow: /*.css$ Disallow: /*.gz$ Disallow: /*.wmv$ Disallow: /*.cgi$ Disallow: /*.xhtml$ Disallow: /*?* # LIMITAR BOTS Yahoo, MSN y Noxtrum User-agent: noxtrumbot Crawl-delay: 50 User-agent: msnbot Crawl-delay: 30 User-agent: Slurp Crawl-delay: 10
  • 6. Ataques de fuerza en bruto Doble autenticación Creamos dos archivos en la raíz del hosting .htaccess y .wpadmin Contenido .htaccess ErrorDocument 401 "Unauthorized Access" ErrorDocument 403 "Forbidden" <FilesMatch "wp-login.php"> AuthName "Authorized Only" AuthType Basic AuthUserFile /home/usuario/.wpadmin require valid-user </FilesMatch> Contenido .wpadmin http://www.htaccesstools.com/htpasswd-generator/ pepitodelospalotes:$apr1$Vo5OdtZe$irw0TeFV.ImpUFKIVDL/A
  • 7. Ataques de fuerza en bruto Dirección ip única Desde el .htaccess de WordPress <Files wp-login.php> order deny,allow allow from xxx.xxx.xxx.xxx deny from all </Files> Sustituir xxx.xxx.xxx.xxx por nuestra ip
  • 8. Plugins Doble factor • Clef Two-Factor Authentication • Latch • Two Factor Authentication • Duo Two-Factor Authentication
  • 9. Protección en .htaccess de WordPress # sin acceso a proc/self/environ RewriteCond %{QUERY_STRING} proc/self/environ [OR] # bloquear cualquier script que trate de establecer un valor mosConfig a traves de una URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR] # bloquear cualquier script que trate de colocarte codigo codificado base64_encode a traves de una URL RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR] # bloquea cualquier script que incluya la tag <script> en la URL RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] # bloquea cualquier script que trate de establecer la variable PHP GLOBALS a traves de una URL RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR] # bloquea cualquier script que trate de modificar una variable _REQUEST a traves de una URL RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) # proteger wp-config.php <files wp-config.php> order allow,deny deny from all </files>
  • 10. Protección de los headers en .htaccess de WordPress <IfModule mod_headers.c> Header set X-XSS-Protection "1; mode=block” </IfModule> <IfModule mod_headers.c> Header set X-Content-Type-Options nosniff </IfModule> <IfModule mod_headers.c> Header always append X-Frame-Options SAMEORIGIN </IfModule>
  • 11. Protección de directorios con .htaccess wp-content y wp-content/uploads <Files *.php> deny from all </Files> <Files *.php> deny from all </Files> wp-includes
  • 12. Protección contra edición de plugins y themes Incluir en wp-config.php define('DISALLOW_FILE_EDIT', TRUE);
  • 13. Archivos que se pueden borrar de WordPress readme.html xmlrpc.php
  • 15. Wordfence antivirus, firewall -Scanner antimalware -Comparador archivos -Restauración de archivos -Firewall bloqueo bots -Bloqueo ipv4+ipv6 y rangos -Doble factor autenticación -Bloqueo países -Auditoría contraseñas -Network Wordfence -Ataques fuerza en bruto -Caché (Falcon) -Protección directorios -Aviso actualizaciones
  • 16. Sucuri Security -Scanner antimalware -Modificación archivos -Aviso login -Oculta versión WordPress -Protege directorio uploads -Protege directorio wp-content -Protege directorio wp-includes -Chequea Security Keys (salts) -Elimina readme.html -Bloquea edición themes y plugins -Chequea prefix BD -Borra archivo error_log -Herramientas post hack, reset de salts, contraseña y plugins
  • 17. Ninjafirewall WAF -Estadísticas intentos hacks -Comparador archivos -Firewall múltiple opciones -Políticas de Firewall -Bloqueo bots -Bloqueo uploads de archivos -Chequeo de archivos -Doble factor autenticación -Bloqueo países -Protección headers -Firewall log + log live -Editor de reglas de seguridad -Actualización automática reglas de seguridad -Ataques fuerza en bruto -Protección directorios -Notificaciones -Doble factor de autenticación
  • 18. Seguridad para paranóicos • Servidor con ModSecurity • Servidor con Firewall • Servidor LMD • Cloudflare CDN • Ninjafirewall • Sucuri Security • Wordfence
  • 19. Recursos para estar al día • https://wpvulndb.com/ • https://blog.sucuri.net/ • Plugin Vulnerabilities https://wordpress.org/ plugins/plugin-vulnerabilities/ • No Longer in Directory https://wordpress.org/ plugins/no-longer-in-directory/