Mantén tu WordPress seguro

5a4758faa5ba6c1322bdfb0f6ebcf56c?s=47 Carl Alexander
September 02, 2017

Mantén tu WordPress seguro

Estas son las diapositivas de una charla dada en WordCamp San José 2017.

Seamos sinceros: ninguna persona quiere despertarse una mañana con su sitio WordPress hackeado, o peor, el sitio de tu cliente hackeado.

¿Que pasa cuando Google marca tu sitio como malware? ¿Que si la empresa de alojamiento web cierra tu cuenta? ¿O si tu cuenta de correo electronico termina en una lista negra? Cosas como estas pueden poner tu reputacion y tu empresa en peligro. Y encima de eso, ¡solo es si tu te das cuenta! Un hacker puede tomar el control de tu sitio sin que tú lo sepas.

La seguridad de web es un tema importante para todos los utilizadores de WordPress. Esta charla va a cubrir las mejores practicas alrededor de la configuracion y la maintenancia de tu sitio WordPress. Despues de esta charla, seras capaz de dormir sabiendo que tu sitio está seguro.

5a4758faa5ba6c1322bdfb0f6ebcf56c?s=128

Carl Alexander

September 02, 2017
Tweet

Transcript

  1. MANTÉN TU WORDPRESS SEGURO

  2. Carl Alexander

  3. @twigpress

  4. es.carlalexander.ca

  5. None
  6. Conceptos

  7. Tipos de ataques

  8. Generalizado

  9. Ataques generalizados son oportunistas

  10. Ataques generalizados son automatizadas

  11. Ataques generalizados son asociadas con hacerte hackeado

  12. Dirigido

  13. Dirigido a un sitio específico

  14. Sitios grande con mucho tráfico

  15. Potencial de recompensar los agresores

  16. No es común por la mayoría de nosotros

  17. Excepción: ex empleados o contratistas

  18. Nunca bajo-estimar una persona descontenta

  19. Vectores

  20. Maneras de infectar tu sitio

  21. Menos que tú tengas, el más seguro tú estás

  22. Recomendaciones van a centrar sobre estos

  23. Software vulnerable

  24. Vulnerable ≠ Anticuados

  25. Son las vulnerabilidades que fueron reparadas

  26. Devienen conocimientos públicos

  27. Fácil a explotar

  28. Más un problema con los plugins que con WordPress

  29. Contraseñas

  30. Hecho: No nos gustan las contraseñas

  31. Asume que tu contraseña está ahí fuera

  32. Es tu contraseña WordPress

  33. Es tu contraseña FTP

  34. Es tu contraseña base de datos

  35. Es tu contraseña cPanel

  36. Es tu contraseña [inserta servicio aquí]

  37. Utiliza haveibeenpwned para avertirte

  38. Servidores contaminados

  39. No es solamente WordPress

  40. Servidores también pueden infectarse

  41. Dice hola a la contaminación cruzada

  42. Dice adiós a tus precauciones de seguridad

  43. Es una #@!*$ a limpiar

  44. Infecciones

  45. Puertas traseras

  46. Da acceso a tu sitio

  47. No hace daño

  48. Utilizado para hacer daño

  49. Inyecciones

  50. Objetivo es añadir contenido no deseado

  51. Los comunes son enlaces

  52. Los comunes son iFrames

  53. Los comunes son redirecciones

  54. Los comunes son guiones maliciosos

  55. Es para el dinero

  56. Recomendaciones

  57. Configuración

  58. No utilices valores predeterminados

  59. None
  60. No utilices “admin” como el nombre de usuario

  61. No utilices “wp_” como el prefijo

  62. Utiliza contraseñas fuertes y únicas

  63. ¡La recomendación que nadie le guste escuchar!

  64. Buenas contraseñas tienen más de 14 caracteres

  65. Buenas contraseñas tienen letras minúculas y mayúsculas

  66. Buenas contraseñas tienen caracteres especiales

  67. Buenas contraseñas tienen numeros

  68. Otra solución es utilizar una frase de contraseña

  69. Mejor solución: administrador de contraseñas

  70. Siempre haz dos cuentas

  71. Principio de mínimo privilegio

  72. Estás publicando contenido

  73. No estás instalando plugins

  74. ¡Bájate de tu cuenta de administrador!

  75. Desactivar el editado de archivos

  76. Capacidad muy poderosa

  77. Permite a un agresor de ejecutar código malicioso

  78. No deberías editar archivos

  79. Desactiva esta función

  80. Mantenimiento

  81. Utiliza fuentes confiables

  82. Fácil de manipular y redistribuir código

  83. Utiliza fuentes conocidas

  84. Eso significa WordPress.org

  85. Eso significa ThemeForest

  86. Eso significa CodeCanyon

  87. Mantén todo actualizado

  88. Otra recomendación obvia

  89. Agresores les gusta explotar sitios no actualizados

  90. Son objetivos fáciles

  91. Mantente fuera de sus radares

  92. Mantén copias de seguridad regulares

  93. No van a hacer tu sitio más seguro

  94. Minimizan el daño

  95. Te permite reparar tu sitio en ningún tiempo

  96. Retira plugins o temas no utilizados

  97. Es fácil de instalar y olvidar

  98. Retíralos inmediato

  99. Guarda sólo lo que usa

  100. Alojamiento web

  101. Evita servidores compartidos

  102. Causa comuna de contaminación cruzada

  103. Invalida la mayoría de tus precauciones de seguridad

  104. Casi imposible limpiar

  105. Utiliza un servidor dedicado o VPS

  106. Una instalación por servidor

  107. Tomando un paso más allá

  108. Limita las instalaciones a una por servidor

  109. Si lo quieres absolutamente, utiliza WordPress como red

  110. Utiliza cifrado SSL

  111. Previene la interceptación de tu tráfico

  112. Casi obligatorio

  113. ¿No sabes como? Utiliza CloudFlare (¡Es gratis!)

  114. El objetivo es manejar riesgo

  115. Imposible tener una protección completa

  116. Utiliza los que te sientas cómodo

  117. ¿Preguntas?

  118. ¡Gracias!