Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Mantén tu WordPress seguro

Carl Alexander
September 02, 2017
Technology
0
390

Mantén tu WordPress seguro

Estas son las diapositivas de una charla dada en WordCamp San José 2017.

Seamos sinceros: ninguna persona quiere despertarse una mañana con su sitio WordPress hackeado, o peor, el sitio de tu cliente hackeado.

¿Que pasa cuando Google marca tu sitio como malware? ¿Que si la empresa de alojamiento web cierra tu cuenta? ¿O si tu cuenta de correo electronico termina en una lista negra? Cosas como estas pueden poner tu reputacion y tu empresa en peligro. Y encima de eso, ¡solo es si tu te das cuenta! Un hacker puede tomar el control de tu sitio sin que tú lo sepas.

La seguridad de web es un tema importante para todos los utilizadores de WordPress. Esta charla va a cubrir las mejores practicas alrededor de la configuracion y la maintenancia de tu sitio WordPress. Despues de esta charla, seras capaz de dormir sabiendo que tu sitio está seguro.

Carl Alexander

September 02, 2017
Tweet

More Decks by Carl Alexander

See All by Carl Alexander
A look at serverless WordPress
carlalexander
0
70
Getting Started with Serverless PHP
carlalexander
0
120
How to beat technical writer's block
carlalexander
0
960
How to approach object-oriented programming with WordPress
carlalexander
0
5.7k
Cómo solucionar problemas de rendimiento de WordPress
carlalexander
0
1.2k
Getting started with continuous integration and WordPress
carlalexander
0
35k
What is software complexity and how can you manage it?
carlalexander
1
35k
How to troubleshoot WordPress performance
carlalexander
0
6.4k
Introduction to automated WordPress deployments
carlalexander
2
27k

Other Decks in Technology

See All in Technology
20240416_devopsdaystokyo
kzkmaeda
1
210
コードを書く隙間を見つけて生きていく技術/Findy 思考の現在地
fujiwara3
27
5.8k
SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた
coconala_engineer
0
280
Cracking the KubeCon CfP
inductor
2
220
GraphQL 成熟度モデルの紹介と、プロダクトに当てはめた事例 / GraphQL maturity model
mh4gf
7
1.3k
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
0
2k
レガシーをぶっ壊せ。AEONで始めるDevRelの話 / Qiita Night 2024-2-22
aeonpeople
3
1.2k
長期間TiDBを使ってきた話 @ 私たちはなぜNewSQLを使うのかTiDB選定5社が語る選定理由と活用LT / Experiences with TiDB Over Time
chibiegg
2
870
コンパウンドスタートアップのためのスケーラブルでセキュアなInfrastructure as Codeパイプラインを考える / Scalable and Secure Infrastructure as Code Pipeline for a Compound Startup
yuyatakeyama
3
4.6k
MapLibreとAmazon Location Service
dayjournal
1
140
生産性向上チームの紹介
cybozuinsideout
PRO
1
850
〜小さく始めて大きく育てる〜データ分析基盤の開発から活用まで
kniino
0
2.1k

Featured

See All Featured
Being A Developer After 40
akosma
57
580k
The Cult of Friendly URLs
andyhume
74
5.7k
4 Signs Your Business is Dying
shpigford
175
21k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
274
13k
Unsuck your backbone
ammeep
663
57k
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
Raft: Consensus for Rubyists
vanstee
132
6.3k
Writing Fast Ruby
sferik
621
60k
We Have a Design System, Now What?
morganepeng
43
6.7k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
78
42k
A designer walks into a library…
pauljervisheath
200
23k
Clear Off the Table
cherdarchuk
84
310k

Transcript

  1. MANTÉN TU WORDPRESS SEGURO

  2. Carl Alexander

  3. @twigpress

  4. es.carlalexander.ca

  5. None

  6. Conceptos

  7. Tipos de ataques

  8. Generalizado

  9. Ataques generalizados son oportunistas

  10. Ataques generalizados son automatizadas

  11. Ataques generalizados son asociadas con hacerte hackeado

  12. Dirigido

  13. Dirigido a un sitio específico

  14. Sitios grande con mucho tráfico

  15. Potencial de recompensar los agresores

  16. No es común por la mayoría de nosotros

  17. Excepción: ex empleados o contratistas

  18. Nunca bajo-estimar una persona descontenta

  19. Vectores

  20. Maneras de infectar tu sitio

  21. Menos que tú tengas, el más seguro tú estás

  22. Recomendaciones van a centrar sobre estos

  23. Software vulnerable

  24. Vulnerable ≠ Anticuados

  25. Son las vulnerabilidades que fueron reparadas

  26. Devienen conocimientos públicos

  27. Fácil a explotar

  28. Más un problema con los plugins que con WordPress

  29. Contraseñas

  30. Hecho: No nos gustan las contraseñas

  31. Asume que tu contraseña está ahí fuera

  32. Es tu contraseña WordPress

  33. Es tu contraseña FTP

  34. Es tu contraseña base de datos

  35. Es tu contraseña cPanel

  36. Es tu contraseña [inserta servicio aquí]

  37. Utiliza haveibeenpwned para avertirte

  38. Servidores contaminados

  39. No es solamente WordPress

  40. Servidores también pueden infectarse

  41. Dice hola a la contaminación cruzada

  42. Dice adiós a tus precauciones de seguridad

  43. Es una #@!*$ a limpiar

  44. Infecciones

  45. Puertas traseras

  46. Da acceso a tu sitio

  47. No hace daño

  48. Utilizado para hacer daño

  49. Inyecciones

  50. Objetivo es añadir contenido no deseado

  51. Los comunes son enlaces

  52. Los comunes son iFrames

  53. Los comunes son redirecciones

  54. Los comunes son guiones maliciosos

  55. Es para el dinero

  56. Recomendaciones

  57. Configuración

  58. No utilices valores predeterminados

  59. None

  60. No utilices “admin” como el nombre de usuario

  61. No utilices “wp_” como el prefijo

  62. Utiliza contraseñas fuertes y únicas

  63. ¡La recomendación que nadie le guste escuchar!

  64. Buenas contraseñas tienen más de 14 caracteres

  65. Buenas contraseñas tienen letras minúculas y mayúsculas

  66. Buenas contraseñas tienen caracteres especiales

  67. Buenas contraseñas tienen numeros

  68. Otra solución es utilizar una frase de contraseña

  69. Mejor solución: administrador de contraseñas

  70. Siempre haz dos cuentas

  71. Principio de mínimo privilegio

  72. Estás publicando contenido

  73. No estás instalando plugins

  74. ¡Bájate de tu cuenta de administrador!

  75. Desactivar el editado de archivos

  76. Capacidad muy poderosa

  77. Permite a un agresor de ejecutar código malicioso

  78. No deberías editar archivos

  79. Desactiva esta función

  80. Mantenimiento

  81. Utiliza fuentes confiables

  82. Fácil de manipular y redistribuir código

  83. Utiliza fuentes conocidas

  84. Eso significa WordPress.org

  85. Eso significa ThemeForest

  86. Eso significa CodeCanyon

  87. Mantén todo actualizado

  88. Otra recomendación obvia

  89. Agresores les gusta explotar sitios no actualizados

  90. Son objetivos fáciles

  91. Mantente fuera de sus radares

  92. Mantén copias de seguridad regulares

  93. No van a hacer tu sitio más seguro

  94. Minimizan el daño

  95. Te permite reparar tu sitio en ningún tiempo

  96. Retira plugins o temas no utilizados

  97. Es fácil de instalar y olvidar

  98. Retíralos inmediato

  99. Guarda sólo lo que usa

  100. Alojamiento web

  101. Evita servidores compartidos

  102. Causa comuna de contaminación cruzada

  103. Invalida la mayoría de tus precauciones de seguridad

  104. Casi imposible limpiar

  105. Utiliza un servidor dedicado o VPS

  106. Una instalación por servidor

  107. Tomando un paso más allá

  108. Limita las instalaciones a una por servidor

  109. Si lo quieres absolutamente, utiliza WordPress como red

  110. Utiliza cifrado SSL

  111. Previene la interceptación de tu tráfico

  112. Casi obligatorio

  113. ¿No sabes como? Utiliza CloudFlare (¡Es gratis!)

  114. El objetivo es manejar riesgo

  115. Imposible tener una protección completa

  116. Utiliza los que te sientas cómodo

  117. ¿Preguntas?

  118. ¡Gracias!