SlideShare una empresa de Scribd logo

Seguridad WordPress Meetup Majadahonda

Pedro Santos
Pedro Santos

Presentación charla Seguridad WordPress para el 1er Meetup Majadahonda

Internet
1 de 20
Descargar para leer sin conexión
WordPress Majadahonda 2015
Seguridad en WordPress Pedro Santos
La seguridad empieza por uno mismo Contraseñas Seguras y diferentes S.O. y navegadores actualizados Antivirus completos, PC y Mac Core, plugins y themes actualizados NUNCA UTILIZAR THEMES Y PLUGINS NULLED BACKUPS
Instalando WordPress Nombre de la Base de Datos, no usar wp Prefijo tablas de la BD, no usar wp No usar admin, Admin, Administrator, administrator, nombre de dominio
robots.txt User-agent: * Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /cgi-bin/ # No indexar archivos con extensión Disallow: /*.php$ Disallow: /*.js$ Disallow: /*.inc$ Disallow: /*.css$ Disallow: /*.gz$ Disallow: /*.wmv$ Disallow: /*.cgi$ Disallow: /*.xhtml$ Disallow: /*?* # LIMITAR BOTS Yahoo, MSN y Noxtrum User-agent: noxtrumbot Crawl-delay: 50 User-agent: msnbot Crawl-delay: 30 User-agent: Slurp Crawl-delay: 10
Ataques de fuerza en bruto Doble autenticación Creamos dos archivos en la raíz del hosting .htaccess y .wpadmin Contenido .htaccess ErrorDocument 401 "Unauthorized Access" ErrorDocument 403 "Forbidden" <FilesMatch "wp-login.php"> AuthName "Authorized Only" AuthType Basic AuthUserFile /home/usuario/.wpadmin require valid-user </FilesMatch> Contenido .wpadmin http://www.htaccesstools.com/htpasswd-generator/ pepitodelospalotes:$apr1$Vo5OdtZe$irw0TeFV.ImpUFKIVDL/A
Ataques de fuerza en bruto Dirección ip única Desde el .htaccess de WordPress <Files wp-login.php> order deny,allow allow from xxx.xxx.xxx.xxx deny from all </Files> Sustituir xxx.xxx.xxx.xxx por nuestra ip
Plugins Doble factor • Clef Two-Factor Authentication • Latch • Two Factor Authentication • Duo Two-Factor Authentication
Protección en .htaccess de WordPress # sin acceso a proc/self/environ RewriteCond %{QUERY_STRING} proc/self/environ [OR] # bloquear cualquier script que trate de establecer un valor mosConfig a traves de una URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR] # bloquear cualquier script que trate de colocarte codigo codificado base64_encode a traves de una URL RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR] # bloquea cualquier script que incluya la tag <script> en la URL RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] # bloquea cualquier script que trate de establecer la variable PHP GLOBALS a traves de una URL RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR] # bloquea cualquier script que trate de modificar una variable _REQUEST a traves de una URL RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) # proteger wp-config.php <files wp-config.php> order allow,deny deny from all </files>
Protección de los headers en .htaccess de WordPress <IfModule mod_headers.c> Header set X-XSS-Protection "1; mode=block” </IfModule> <IfModule mod_headers.c> Header set X-Content-Type-Options nosniff </IfModule> <IfModule mod_headers.c> Header always append X-Frame-Options SAMEORIGIN </IfModule>
Protección de directorios con .htaccess wp-content y wp-content/uploads <Files *.php> deny from all </Files> <Files *.php> deny from all </Files> wp-includes
Protección contra edición de plugins y themes Incluir en wp-config.php define('DISALLOW_FILE_EDIT', TRUE);
Archivos que se pueden borrar de WordPress readme.html xmlrpc.php
Aquellos maravillosos plugins para WordPress
Wordfence antivirus, firewall -Scanner antimalware -Comparador archivos -Restauración de archivos -Firewall bloqueo bots -Bloqueo ipv4+ipv6 y rangos -Doble factor autenticación -Bloqueo países -Auditoría contraseñas -Network Wordfence -Ataques fuerza en bruto -Caché (Falcon) -Protección directorios -Aviso actualizaciones
Sucuri Security -Scanner antimalware -Modificación archivos -Aviso login -Oculta versión WordPress -Protege directorio uploads -Protege directorio wp-content -Protege directorio wp-includes -Chequea Security Keys (salts) -Elimina readme.html -Bloquea edición themes y plugins -Chequea prefix BD -Borra archivo error_log -Herramientas post hack, reset de salts, contraseña y plugins
Ninjafirewall WAF -Estadísticas intentos hacks -Comparador archivos -Firewall múltiple opciones -Políticas de Firewall -Bloqueo bots -Bloqueo uploads de archivos -Chequeo de archivos -Doble factor autenticación -Bloqueo países -Protección headers -Firewall log + log live -Editor de reglas de seguridad -Actualización automática reglas de seguridad -Ataques fuerza en bruto -Protección directorios -Notificaciones -Doble factor de autenticación
Seguridad para paranóicos • Servidor con ModSecurity • Servidor con Firewall • Servidor LMD • Cloudflare CDN • Ninjafirewall • Sucuri Security • Wordfence
Recursos para estar al día • https://wpvulndb.com/ • https://blog.sucuri.net/ • Plugin Vulnerabilities https://wordpress.org/ plugins/plugin-vulnerabilities/ • No Longer in Directory https://wordpress.org/ plugins/no-longer-in-directory/
GRACIAS Pedro Santos @hostfusion

Recomendados

Seguridad en WordPress
Seguridad en WordPressSeguridad en WordPress
Seguridad en WordPressPedro Santos
 
Play2012
Play2012Play2012
Play2012Guillermo Sornoza
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasLucy Tomas
 
Tema14
Tema14Tema14
Tema14Lizardo Villavicencio
 
Reventando WordPress
Reventando WordPressReventando WordPress
Reventando WordPressToni Escamilla Pardo
 
Blinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustosBlinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustosCarlos Perez de Mendiola
 
10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WPIñaki Arenaza
 
Las claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPressLas claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPressIñaki Arenaza
 

Recomendados

Seguridad en WordPress
Seguridad en WordPressSeguridad en WordPress
Seguridad en WordPressPedro Santos
 
Play2012
Play2012Play2012
Play2012Guillermo Sornoza
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasLucy Tomas
 
Tema14
Tema14Tema14
Tema14Lizardo Villavicencio
 
Reventando WordPress
Reventando WordPressReventando WordPress
Reventando WordPressToni Escamilla Pardo
 
Blinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustosBlinda tu WordPress y evitate disgustos
Blinda tu WordPress y evitate disgustosCarlos Perez de Mendiola
 
10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WP10 Claves para mejorar la seguridad de tu WP
10 Claves para mejorar la seguridad de tu WPIñaki Arenaza
 
Las claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPressLas claves para optimizar la seguridad de tu sitio WordPress
Las claves para optimizar la seguridad de tu sitio WordPressIñaki Arenaza
 
Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sqlAndrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sqlAndrés González Suárez
 
Montar moodle en una instancia de pruebas de amazon con docker
Montar moodle en una instancia de pruebas de amazon con dockerMontar moodle en una instancia de pruebas de amazon con docker
Montar moodle en una instancia de pruebas de amazon con dockerErick Cabrera
 
WordPress Multisite, un WordPress para dominarlos a todos
WordPress Multisite, un WordPress para dominarlos a todosWordPress Multisite, un WordPress para dominarlos a todos
WordPress Multisite, un WordPress para dominarlos a todosOscar Abad Folgueira
 
Presentación Congreso Internet del Mediterráneo
Presentación Congreso Internet del MediterráneoPresentación Congreso Internet del Mediterráneo
Presentación Congreso Internet del MediterráneoFernando Serer
 
20 claves de Seguridad WordPress
20 claves de Seguridad WordPress20 claves de Seguridad WordPress
20 claves de Seguridad WordPressFernando Tellado
 
Javier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp MálagaJavier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp MálagaJavier Santos
 
Instalación básica vSphere 5.5
Instalación básica vSphere 5.5Instalación básica vSphere 5.5
Instalación básica vSphere 5.5RaGaZoMe
 
Instrucciones instalacion labcase software 1.0
Instrucciones instalacion labcase software 1.0Instrucciones instalacion labcase software 1.0
Instrucciones instalacion labcase software 1.0nicolasmunozvera
 
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)RaGaZoMe
 
Implementación VMWare Center Server 6 Appliance
Implementación VMWare Center Server 6 ApplianceImplementación VMWare Center Server 6 Appliance
Implementación VMWare Center Server 6 ApplianceRaGaZoMe
 
Servidores Web en GNU/Linux
Servidores Web en GNU/LinuxServidores Web en GNU/Linux
Servidores Web en GNU/LinuxMartin Gregorio
 
Procedimiento de creacion de archivo php
Procedimiento de creacion de archivo phpProcedimiento de creacion de archivo php
Procedimiento de creacion de archivo phpClau Doria
 
Wordpress hardening (Campus Party Mexico 4)
Wordpress hardening (Campus Party Mexico 4)Wordpress hardening (Campus Party Mexico 4)
Wordpress hardening (Campus Party Mexico 4)hecky NeobitsOrg
 
Instalar joomla 2017
Instalar joomla 2017Instalar joomla 2017
Instalar joomla 2017Emerson Garay
 
7 131104180255-phpapp02
7 131104180255-phpapp027 131104180255-phpapp02
7 131104180255-phpapp02Andres Camilo Ochoa Sanchez
 
Instalación de word press en ubuntu
Instalación de word press en ubuntuInstalación de word press en ubuntu
Instalación de word press en ubuntukeniameraris
 
VPN Site to Site FortiGate 100D-60C
VPN Site to Site FortiGate 100D-60CVPN Site to Site FortiGate 100D-60C
VPN Site to Site FortiGate 100D-60CRaGaZoMe
 
Roma
RomaRoma
RomaEduardo Romero Frías
 
Гимназия №6 как ресурсный центр по изменению педагогической практики учителей...
Гимназия №6 как ресурсный центр по изменению педагогической практики учителей...Гимназия №6 как ресурсный центр по изменению педагогической практики учителей...
Гимназия №6 как ресурсный центр по изменению педагогической практики учителей...Vladimir
 
Pendix Teachers Essay On Ict
Pendix Teachers Essay On IctPendix Teachers Essay On Ict
Pendix Teachers Essay On Ictbasilio duller
 
Seabank interiors
Seabank interiorsSeabank interiors
Seabank interiorsseabank
 
Образовательный чат
Образовательный чатОбразовательный чат
Образовательный чатVladimir
 

Más contenido relacionado

La actualidad más candente

Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sqlAndrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sqlAndrés González Suárez
 
Montar moodle en una instancia de pruebas de amazon con docker
Montar moodle en una instancia de pruebas de amazon con dockerMontar moodle en una instancia de pruebas de amazon con docker
Montar moodle en una instancia de pruebas de amazon con dockerErick Cabrera
 
WordPress Multisite, un WordPress para dominarlos a todos
WordPress Multisite, un WordPress para dominarlos a todosWordPress Multisite, un WordPress para dominarlos a todos
WordPress Multisite, un WordPress para dominarlos a todosOscar Abad Folgueira
 
Presentación Congreso Internet del Mediterráneo
Presentación Congreso Internet del MediterráneoPresentación Congreso Internet del Mediterráneo
Presentación Congreso Internet del MediterráneoFernando Serer
 
20 claves de Seguridad WordPress
20 claves de Seguridad WordPress20 claves de Seguridad WordPress
20 claves de Seguridad WordPressFernando Tellado
 
Javier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp MálagaJavier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp MálagaJavier Santos
 
Instalación básica vSphere 5.5
Instalación básica vSphere 5.5Instalación básica vSphere 5.5
Instalación básica vSphere 5.5RaGaZoMe
 
Instrucciones instalacion labcase software 1.0
Instrucciones instalacion labcase software 1.0Instrucciones instalacion labcase software 1.0
Instrucciones instalacion labcase software 1.0nicolasmunozvera
 
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)RaGaZoMe
 
Implementación VMWare Center Server 6 Appliance
Implementación VMWare Center Server 6 ApplianceImplementación VMWare Center Server 6 Appliance
Implementación VMWare Center Server 6 ApplianceRaGaZoMe
 
Servidores Web en GNU/Linux
Servidores Web en GNU/LinuxServidores Web en GNU/Linux
Servidores Web en GNU/LinuxMartin Gregorio
 
Procedimiento de creacion de archivo php
Procedimiento de creacion de archivo phpProcedimiento de creacion de archivo php
Procedimiento de creacion de archivo phpClau Doria
 
Wordpress hardening (Campus Party Mexico 4)
Wordpress hardening (Campus Party Mexico 4)Wordpress hardening (Campus Party Mexico 4)
Wordpress hardening (Campus Party Mexico 4)hecky NeobitsOrg
 
Instalar joomla 2017
Instalar joomla 2017Instalar joomla 2017
Instalar joomla 2017Emerson Garay
 
Instalación de word press en ubuntu
Instalación de word press en ubuntuInstalación de word press en ubuntu
Instalación de word press en ubuntukeniameraris
 
VPN Site to Site FortiGate 100D-60C
VPN Site to Site FortiGate 100D-60CVPN Site to Site FortiGate 100D-60C
VPN Site to Site FortiGate 100D-60CRaGaZoMe
 

La actualidad más candente (17)

Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sqlAndrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
Andrés gonzález suárez acceso a ftp a través de usuarios almacenados en my sql
 
Montar moodle en una instancia de pruebas de amazon con docker
Montar moodle en una instancia de pruebas de amazon con dockerMontar moodle en una instancia de pruebas de amazon con docker
Montar moodle en una instancia de pruebas de amazon con docker
 
WordPress Multisite, un WordPress para dominarlos a todos
WordPress Multisite, un WordPress para dominarlos a todosWordPress Multisite, un WordPress para dominarlos a todos
WordPress Multisite, un WordPress para dominarlos a todos
 
Presentación Congreso Internet del Mediterráneo
Presentación Congreso Internet del MediterráneoPresentación Congreso Internet del Mediterráneo
Presentación Congreso Internet del Mediterráneo
 
20 claves de Seguridad WordPress
20 claves de Seguridad WordPress20 claves de Seguridad WordPress
20 claves de Seguridad WordPress
 
Javier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp MálagaJavier Santos - Presentación WordCamp Málaga
Javier Santos - Presentación WordCamp Málaga
 
Instalación básica vSphere 5.5
Instalación básica vSphere 5.5Instalación básica vSphere 5.5
Instalación básica vSphere 5.5
 
Instrucciones instalacion labcase software 1.0
Instrucciones instalacion labcase software 1.0Instrucciones instalacion labcase software 1.0
Instrucciones instalacion labcase software 1.0
 
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
Instalación asincrónica de controladores en VMWare 6.0.X (ESXi)
 
Implementación VMWare Center Server 6 Appliance
Implementación VMWare Center Server 6 ApplianceImplementación VMWare Center Server 6 Appliance
Implementación VMWare Center Server 6 Appliance
 
Servidores Web en GNU/Linux
Servidores Web en GNU/LinuxServidores Web en GNU/Linux
Servidores Web en GNU/Linux
 
Procedimiento de creacion de archivo php
Procedimiento de creacion de archivo phpProcedimiento de creacion de archivo php
Procedimiento de creacion de archivo php
 
Wordpress hardening (Campus Party Mexico 4)
Wordpress hardening (Campus Party Mexico 4)Wordpress hardening (Campus Party Mexico 4)
Wordpress hardening (Campus Party Mexico 4)
 
Instalar joomla 2017
Instalar joomla 2017Instalar joomla 2017
Instalar joomla 2017
 
7 131104180255-phpapp02
7 131104180255-phpapp027 131104180255-phpapp02
7 131104180255-phpapp02
 
Instalación de word press en ubuntu
Instalación de word press en ubuntuInstalación de word press en ubuntu
Instalación de word press en ubuntu
 
VPN Site to Site FortiGate 100D-60C
VPN Site to Site FortiGate 100D-60CVPN Site to Site FortiGate 100D-60C
VPN Site to Site FortiGate 100D-60C
 

Destacado

Гимназия №6 как ресурсный центр по изменению педагогической практики учителей...
Гимназия №6 как ресурсный центр по изменению педагогической практики учителей...Гимназия №6 как ресурсный центр по изменению педагогической практики учителей...
Гимназия №6 как ресурсный центр по изменению педагогической практики учителей...Vladimir
 
Pendix Teachers Essay On Ict
Pendix Teachers Essay On IctPendix Teachers Essay On Ict
Pendix Teachers Essay On Ictbasilio duller
 
Seabank interiors
Seabank interiorsSeabank interiors
Seabank interiorsseabank
 
Образовательный чат
Образовательный чатОбразовательный чат
Образовательный чатVladimir
 
Unit 11a Investing in property
Unit 11a Investing in propertyUnit 11a Investing in property
Unit 11a Investing in propertyAndrew Hingston
 
Cem Karaca Kültür Merkezinde SERAP MUTLU AKBULUT Konseri resimleri 09_11_2013
Cem Karaca Kültür Merkezinde SERAP MUTLU AKBULUT Konseri resimleri 09_11_2013Cem Karaca Kültür Merkezinde SERAP MUTLU AKBULUT Konseri resimleri 09_11_2013
Cem Karaca Kültür Merkezinde SERAP MUTLU AKBULUT Konseri resimleri 09_11_2013aokutur
 
BBcon 2014 Moneyball: How Analytics Improves Fundraising
BBcon 2014 Moneyball: How Analytics Improves FundraisingBBcon 2014 Moneyball: How Analytics Improves Fundraising
BBcon 2014 Moneyball: How Analytics Improves FundraisingCharity Dynamics
 
Pmo Forum Network Presentation
Pmo Forum Network PresentationPmo Forum Network Presentation
Pmo Forum Network PresentationDennis Bolles
 
technorati
technoratitechnorati
technoratiFELIX75
 
Malaysia Assembly powerpoint
Malaysia Assembly powerpointMalaysia Assembly powerpoint
Malaysia Assembly powerpointjoannalindon
 
Patient engagement report for California
Patient engagement report for CaliforniaPatient engagement report for California
Patient engagement report for Californiamikekirkwood
 
Malaysia Study Trip, Impact - Jo Lindon
Malaysia Study Trip, Impact - Jo LindonMalaysia Study Trip, Impact - Jo Lindon
Malaysia Study Trip, Impact - Jo Lindonjoannalindon
 
Learn Past Exp Summary
Learn Past Exp SummaryLearn Past Exp Summary
Learn Past Exp Summaryeuweben01
 
Stretch 25 Template Tst
Stretch 25 Template TstStretch 25 Template Tst
Stretch 25 Template TstHyde School
 
Science Advising in Entertainment
Science Advising in EntertainmentScience Advising in Entertainment
Science Advising in EntertainmentJovana Grbic
 
Google+ for Nonprofits
Google+ for NonprofitsGoogle+ for Nonprofits
Google+ for NonprofitsShelly Kramer
 

Destacado (20)

Roma
RomaRoma
Roma
 
Гимназия №6 как ресурсный центр по изменению педагогической практики учителей...
Гимназия №6 как ресурсный центр по изменению педагогической практики учителей...Гимназия №6 как ресурсный центр по изменению педагогической практики учителей...
Гимназия №6 как ресурсный центр по изменению педагогической практики учителей...
 
Pendix Teachers Essay On Ict
Pendix Teachers Essay On IctPendix Teachers Essay On Ict
Pendix Teachers Essay On Ict
 
Seabank interiors
Seabank interiorsSeabank interiors
Seabank interiors
 
Образовательный чат
Образовательный чатОбразовательный чат
Образовательный чат
 
Ingles
InglesIngles
Ingles
 
Unit 11a Investing in property
Unit 11a Investing in propertyUnit 11a Investing in property
Unit 11a Investing in property
 
Cem Karaca Kültür Merkezinde SERAP MUTLU AKBULUT Konseri resimleri 09_11_2013
Cem Karaca Kültür Merkezinde SERAP MUTLU AKBULUT Konseri resimleri 09_11_2013Cem Karaca Kültür Merkezinde SERAP MUTLU AKBULUT Konseri resimleri 09_11_2013
Cem Karaca Kültür Merkezinde SERAP MUTLU AKBULUT Konseri resimleri 09_11_2013
 
BBcon 2014 Moneyball: How Analytics Improves Fundraising
BBcon 2014 Moneyball: How Analytics Improves FundraisingBBcon 2014 Moneyball: How Analytics Improves Fundraising
BBcon 2014 Moneyball: How Analytics Improves Fundraising
 
edu
eduedu
edu
 
Balanço CAIXA: Anual 2015
Balanço CAIXA: Anual 2015 Balanço CAIXA: Anual 2015
Balanço CAIXA: Anual 2015
 
Pmo Forum Network Presentation
Pmo Forum Network PresentationPmo Forum Network Presentation
Pmo Forum Network Presentation
 
technorati
technoratitechnorati
technorati
 
Malaysia Assembly powerpoint
Malaysia Assembly powerpointMalaysia Assembly powerpoint
Malaysia Assembly powerpoint
 
Patient engagement report for California
Patient engagement report for CaliforniaPatient engagement report for California
Patient engagement report for California
 
Malaysia Study Trip, Impact - Jo Lindon
Malaysia Study Trip, Impact - Jo LindonMalaysia Study Trip, Impact - Jo Lindon
Malaysia Study Trip, Impact - Jo Lindon
 
Learn Past Exp Summary
Learn Past Exp SummaryLearn Past Exp Summary
Learn Past Exp Summary
 
Stretch 25 Template Tst
Stretch 25 Template TstStretch 25 Template Tst
Stretch 25 Template Tst
 
Science Advising in Entertainment
Science Advising in EntertainmentScience Advising in Entertainment
Science Advising in Entertainment
 
Google+ for Nonprofits
Google+ for NonprofitsGoogle+ for Nonprofits
Google+ for Nonprofits
 

Similar a Seguridad WordPress Meetup Majadahonda

Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting José Conti Calveras
 
Cursowordpress 091124113422-phpapp02
Cursowordpress 091124113422-phpapp02Cursowordpress 091124113422-phpapp02
Cursowordpress 091124113422-phpapp02Josefina Moratalla
 
La seguridad en WordPress de la A a la Z
La seguridad en WordPress de la A a la ZLa seguridad en WordPress de la A a la Z
La seguridad en WordPress de la A a la Zwpbarcelona
 
Cómo blindar tu sitio WordPress (Rodrigo Donini, WCBA 2017)
Cómo blindar tu sitio WordPress (Rodrigo Donini, WCBA 2017) Cómo blindar tu sitio WordPress (Rodrigo Donini, WCBA 2017)
Cómo blindar tu sitio WordPress (Rodrigo Donini, WCBA 2017)wpargentina
 
Curso avanzado de programación y configuración de Wordpress
Curso avanzado de programación y configuración de WordpressCurso avanzado de programación y configuración de Wordpress
Curso avanzado de programación y configuración de WordpressIrontec
 
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...Asociación Webmasters Cantabria
 
Monta WordPress en tu empresa
Monta WordPress en tu empresaMonta WordPress en tu empresa
Monta WordPress en tu empresaIñaki Arenaza
 
Wp config.php
Wp config.phpWp config.php
Wp config.phpgregozz
 
Wp config.php
Wp config.phpWp config.php
Wp config.phpgregozz
 
OWASP y seguridad WordPress
OWASP y seguridad WordPressOWASP y seguridad WordPress
OWASP y seguridad WordPressFernando Tellado
 
Curso Blog Marketing con Wordpress 02 instalacion local
Curso Blog Marketing con Wordpress 02 instalacion localCurso Blog Marketing con Wordpress 02 instalacion local
Curso Blog Marketing con Wordpress 02 instalacion localDavid Vaquero
 
Instalar y configurar wordpress en debian gnu
Instalar y configurar wordpress en debian gnuInstalar y configurar wordpress en debian gnu
Instalar y configurar wordpress en debian gnuIsidor Jiménez
 
Instalación y configuración de un sitio web en Wordpress 3.8
Instalación y configuración de un sitio web en Wordpress 3.8Instalación y configuración de un sitio web en Wordpress 3.8
Instalación y configuración de un sitio web en Wordpress 3.8Dani Reguera Bakhache
 
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...Darío BF
 

Similar a Seguridad WordPress Meetup Majadahonda (20)

Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting Aplicar la seguridad en WordPress desde la selección de un hosting
Aplicar la seguridad en WordPress desde la selección de un hosting
 
Carlos Pascual #WPvalladolid 2014
Carlos Pascual #WPvalladolid 2014Carlos Pascual #WPvalladolid 2014
Carlos Pascual #WPvalladolid 2014
 
Cursowordpress 091124113422-phpapp02
Cursowordpress 091124113422-phpapp02Cursowordpress 091124113422-phpapp02
Cursowordpress 091124113422-phpapp02
 
Webperf wordpress
Webperf wordpressWebperf wordpress
Webperf wordpress
 
La seguridad en WordPress de la A a la Z
La seguridad en WordPress de la A a la ZLa seguridad en WordPress de la A a la Z
La seguridad en WordPress de la A a la Z
 
Cómo blindar tu sitio WordPress (Rodrigo Donini, WCBA 2017)
Cómo blindar tu sitio WordPress (Rodrigo Donini, WCBA 2017) Cómo blindar tu sitio WordPress (Rodrigo Donini, WCBA 2017)
Cómo blindar tu sitio WordPress (Rodrigo Donini, WCBA 2017)
 
Curso avanzado de programación y configuración de Wordpress
Curso avanzado de programación y configuración de WordpressCurso avanzado de programación y configuración de Wordpress
Curso avanzado de programación y configuración de Wordpress
 
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
La potencia sin control no sirve de nada, claves para aprovechar el uso de Wo...
 
Monta WordPress en tu empresa
Monta WordPress en tu empresaMonta WordPress en tu empresa
Monta WordPress en tu empresa
 
Deploying Wordpress
Deploying WordpressDeploying Wordpress
Deploying Wordpress
 
Sesion n°6
Sesion n°6Sesion n°6
Sesion n°6
 
Wp config.php
Wp config.phpWp config.php
Wp config.php
 
Wp config.php
Wp config.phpWp config.php
Wp config.php
 
OWASP y seguridad WordPress
OWASP y seguridad WordPressOWASP y seguridad WordPress
OWASP y seguridad WordPress
 
Curso Blog Marketing con Wordpress 02 instalacion local
Curso Blog Marketing con Wordpress 02 instalacion localCurso Blog Marketing con Wordpress 02 instalacion local
Curso Blog Marketing con Wordpress 02 instalacion local
 
wp-cli
wp-cliwp-cli
wp-cli
 
Instalar y configurar wordpress en debian gnu
Instalar y configurar wordpress en debian gnuInstalar y configurar wordpress en debian gnu
Instalar y configurar wordpress en debian gnu
 
Instalación y configuración de un sitio web en Wordpress 3.8
Instalación y configuración de un sitio web en Wordpress 3.8Instalación y configuración de un sitio web en Wordpress 3.8
Instalación y configuración de un sitio web en Wordpress 3.8
 
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
WPEuskadi 2015 - La potencia sin control no sirve de nada, claves para aprove...
 
Entorno PHP
Entorno PHPEntorno PHP
Entorno PHP
 

Último

NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 

Último (9)

NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
 

Seguridad WordPress Meetup Majadahonda

  • 3. La seguridad empieza por uno mismo Contraseñas Seguras y diferentes S.O. y navegadores actualizados Antivirus completos, PC y Mac Core, plugins y themes actualizados NUNCA UTILIZAR THEMES Y PLUGINS NULLED BACKUPS
  • 4. Instalando WordPress Nombre de la Base de Datos, no usar wp Prefijo tablas de la BD, no usar wp No usar admin, Admin, Administrator, administrator, nombre de dominio
  • 5. robots.txt User-agent: * Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /cgi-bin/ # No indexar archivos con extensión Disallow: /*.php$ Disallow: /*.js$ Disallow: /*.inc$ Disallow: /*.css$ Disallow: /*.gz$ Disallow: /*.wmv$ Disallow: /*.cgi$ Disallow: /*.xhtml$ Disallow: /*?* # LIMITAR BOTS Yahoo, MSN y Noxtrum User-agent: noxtrumbot Crawl-delay: 50 User-agent: msnbot Crawl-delay: 30 User-agent: Slurp Crawl-delay: 10
  • 6. Ataques de fuerza en bruto Doble autenticación Creamos dos archivos en la raíz del hosting .htaccess y .wpadmin Contenido .htaccess ErrorDocument 401 "Unauthorized Access" ErrorDocument 403 "Forbidden" <FilesMatch "wp-login.php"> AuthName "Authorized Only" AuthType Basic AuthUserFile /home/usuario/.wpadmin require valid-user </FilesMatch> Contenido .wpadmin http://www.htaccesstools.com/htpasswd-generator/ pepitodelospalotes:$apr1$Vo5OdtZe$irw0TeFV.ImpUFKIVDL/A
  • 7. Ataques de fuerza en bruto Dirección ip única Desde el .htaccess de WordPress <Files wp-login.php> order deny,allow allow from xxx.xxx.xxx.xxx deny from all </Files> Sustituir xxx.xxx.xxx.xxx por nuestra ip
  • 8. Plugins Doble factor • Clef Two-Factor Authentication • Latch • Two Factor Authentication • Duo Two-Factor Authentication
  • 9. Protección en .htaccess de WordPress # sin acceso a proc/self/environ RewriteCond %{QUERY_STRING} proc/self/environ [OR] # bloquear cualquier script que trate de establecer un valor mosConfig a traves de una URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR] # bloquear cualquier script que trate de colocarte codigo codificado base64_encode a traves de una URL RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR] # bloquea cualquier script que incluya la tag <script> en la URL RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] # bloquea cualquier script que trate de establecer la variable PHP GLOBALS a traves de una URL RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR] # bloquea cualquier script que trate de modificar una variable _REQUEST a traves de una URL RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) # proteger wp-config.php <files wp-config.php> order allow,deny deny from all </files>
  • 10. Protección de los headers en .htaccess de WordPress <IfModule mod_headers.c> Header set X-XSS-Protection "1; mode=block” </IfModule> <IfModule mod_headers.c> Header set X-Content-Type-Options nosniff </IfModule> <IfModule mod_headers.c> Header always append X-Frame-Options SAMEORIGIN </IfModule>
  • 11. Protección de directorios con .htaccess wp-content y wp-content/uploads <Files *.php> deny from all </Files> <Files *.php> deny from all </Files> wp-includes
  • 12. Protección contra edición de plugins y themes Incluir en wp-config.php define('DISALLOW_FILE_EDIT', TRUE);
  • 13. Archivos que se pueden borrar de WordPress readme.html xmlrpc.php
  • 15. Wordfence antivirus, firewall -Scanner antimalware -Comparador archivos -Restauración de archivos -Firewall bloqueo bots -Bloqueo ipv4+ipv6 y rangos -Doble factor autenticación -Bloqueo países -Auditoría contraseñas -Network Wordfence -Ataques fuerza en bruto -Caché (Falcon) -Protección directorios -Aviso actualizaciones
  • 16. Sucuri Security -Scanner antimalware -Modificación archivos -Aviso login -Oculta versión WordPress -Protege directorio uploads -Protege directorio wp-content -Protege directorio wp-includes -Chequea Security Keys (salts) -Elimina readme.html -Bloquea edición themes y plugins -Chequea prefix BD -Borra archivo error_log -Herramientas post hack, reset de salts, contraseña y plugins
  • 17. Ninjafirewall WAF -Estadísticas intentos hacks -Comparador archivos -Firewall múltiple opciones -Políticas de Firewall -Bloqueo bots -Bloqueo uploads de archivos -Chequeo de archivos -Doble factor autenticación -Bloqueo países -Protección headers -Firewall log + log live -Editor de reglas de seguridad -Actualización automática reglas de seguridad -Ataques fuerza en bruto -Protección directorios -Notificaciones -Doble factor de autenticación
  • 18. Seguridad para paranóicos • Servidor con ModSecurity • Servidor con Firewall • Servidor LMD • Cloudflare CDN • Ninjafirewall • Sucuri Security • Wordfence
  • 19. Recursos para estar al día • https://wpvulndb.com/ • https://blog.sucuri.net/ • Plugin Vulnerabilities https://wordpress.org/ plugins/plugin-vulnerabilities/ • No Longer in Directory https://wordpress.org/ plugins/no-longer-in-directory/